Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 18/1/2005
Det er lykkedes for hackere at skjule et angrebsprogram ved at ændre på en af systemfilerne i Windows. Angrebsprogrammet fremtrådte derefter som en legitim proces i Windows.Robert Hensing, der arbejder i Microsofts PSS Security Team, beskriver i sin weblog, hvordan hans team for nylig faldt over fænomenet. En computer hos en kunde var blevet overtaget af en hacker. Vedkommende havde placeret en fil med det uskyldigt udseende navn Users.dll på computeren. Den gav hackeren mulighed for at kontrollere computeren.
Men når man så på en oversigt over aktive processer, var det ikke muligt at finde frem til Users.dll. Forsøgsvis prøvede Microsoft-folkene at omdøbe filen. Nu kunne pc'en ikke længere starte Windows. Nærmere undersøgelser viste, at Users.dll blev kaldt fra filen Winlogon.exe, der er en af de centrale komponenter i Windows.
Det viste sig, at der var blevet ændret i Winlogon, så programmet nu krævede hackerens Users.dll for at køre. Den type angreb ses oftest på styresystemer, hvor kildekoden er frit tilgængelig - så er det let for en angriber at programmere sin egen udgave af en systemfil. Men Windows har været beskyttet mod angrebstypen af to ting: Dels har kildekoden ikke været tilgængelig, dels forhindrer funktionen System File Protection, at vigtige systemfiler bliver overskrevet.
Men begge disse beskyttelsesmetoder ser ud til at være overvundet. Dele af kildekoden til Windows 2000 blev stjålet sidste år. Og der findes en velkendt metode til at slå System File Protection fra, skriver Robert Hensing. Han mener dog ikke, at hackeren har haft adgang til kildekoden - i stedet ser det ud til, at ændringerne i Winlogon.exe er foretaget direkte på den binære fil.