Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/7/2007
Det første eksempel på en trojansk hest, der udfører alle sine opgaver i Windows-kernen, er set på nettet.Programmer i Windows kan køre på to måder: User mode og kernel mode. Normalt kører programmer i user mode, mens kernen er reserveret til drivere og anden systemnær software.
Man har tidligere set skadelige programmer, der skjuler sig ved at udnytte nogle kernefunktioner. Men for nylig fandt sikkerhedsforskere fra Symantec en trojansk hest, der udelukkende kører i kernen. De kalder den Trojan.Srizbi.
Når programmet installeres på en pc, bruges det til at udsende spam. Det er svært at opdage for firewalls og antivirusprogrammer, fordi det kører i kernen. Endvidere benytter det nogle velkendte rootkit-teknikker til at skjule sig.
Sikkerhedsforsker Kaoru Hayashi skriver på Symantecs blog, at programmet øjensynlig er i en tidlig version. Han venter derfor, at det vil dukke op i nye varianter i den kommende tid.
Srizbi er blevet spredt via web-serverprogrammet Mpack, der udnytter en række kendte sårbarheder til at installere flere skadelige programmer.