Ny trojaner bruger gammelt trick for at gemme sig

I løbet af den sidste måned er en ny type ondsindet software fremkommet, som bruger en teknik, der er årtier gammel, til at gemme sig fra antivirussoftware.

Artikel top billede

Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden.
Foto: Frederic Prochasson/Goldmund/iStockphoto

Computerworld News Service: Denne nye malware, som Symantic kalder Trojan.Mebroot, installerer sig selv på den første del af computerens harddisk, så den bliver indlæst ved opstart, og derefter laver ændringer i Windows kernel.

Det gør det overordentligt svært for sikkerhedssoftware at opdage den.

Kriminelle har siden midten af december været i gang med at installere Trojan.Mebroot, kendt som et master boot record rootkit, og det er lykkedes dem at inficere næsten 5.000 brugere i to separate angreb 12. december og 19. december, ifølge VeriSigns iDefense Intelligence Team.

Fjernkontrol

For at installere denne software på et offers computer, lokker angriberne dem først over på et kompromitteret website, som så iværksætter en vifte af angreb mod offerets computer i håbet om at finde et sikkerhedshul hvorigennem, det er muligt at afvikle rootkittets kode på computeren.

Når den først er installeret, giver malwaren angriberne kontrol over offerets computer.

Gruppen, der står bag dette seneste rootkit, er den samme, som var ansvarlig for den trojanske hest Torpig, og man regner med, at denne gruppe allerede har installeret mere end 250.000 trojanske heste, beskriver iDefense i en rapport om rootkittet, der udkom i mandags.

Det interessante ved Trojan.Mebroot er, at den installerer sig selv på computerens master boot record (MBR). Dette er den første sektor på computerens harddisk og det første der indlæses under opstart af operativsystemet.

"Dybest set, hvis du har kontrol over MBR, har du kontrol over operativsystemet og derfor over den computer, operativsystemet ligger på," skrev Elia Florio, forsker ved Symantic, i en blogpost om Trojan.Mebroot.

Forbryderne bruger adskillige versioner af denne angrebskode, hvoraf nogle p.t. ikke bliver opdaget af visse antivirusprogrammer," udtaler iDefense.

"I øjeblikket arbejder antivirusdetektering med bind for øjnene, dog har et antal antivirusprodukter fået tilføjet detektering af denne ondsindede kode allerede den seneste dags tid," siger Andrew Storms, leder af sikkerhedsoperationer hos nCircle Network Security.

"I forhold til indtrængen ser det for mange stadig ud til, at der er en overordnet lav distribution. Bekymringen er, at gruppen, der muligvis er ved at forberede en større distribution, er velforberedt."


Teknisk udfordring
Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden, men den tilgang har kun sjældent været brugt i angreb de senere år.

I 2005 holdte forskere fra eEye Digital Security dog et oplæg ved Black Hat sikkerhedskonferencen, hvor de fremviste, hvordan et rootkit kunne gemme sig på MBR'en. Dette Trojan.Mebroot-software er afledt af den kode, udtaler iDefence.

"Det er en teknisk udfordring at få denne form for ondsindet software til at fungere pålideligt, og der har generelt været nemmere måder at få kontrol over computere på i de senere år," siger Marc Maiffret.

Han er selvstændig sikkerhedsforsker og var chief technology officer hos eEye, mens koden blev udviklet.

Angribere fik dog en hånd sidste år, da forskere ved NV Labs udgav et 'proof of concept' for et MBR rootkit.

Maiffret udtaler, at selv om vi muligvis snart vil se flere af disse MBR rootkits, "vil det ikke tage lang tid for samtlige antivirusvirksomheder at reagere."

"Det er ikke nogen splinterny angrebsretning, som bliver svær at modvirke," siger han.

"Det er blot, at man ikke rigtigt har givet det nogen særlig opmærksomhed endnu."

Oversat af Thomas Bøndergaard

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    TDC Erhverv har pr. 1. maj 2026 ansat Peter Bjerregaard Harden som Senior Vice President (SVP), Enterprise Sales. Peter skal især beskæftige sig med at drive transformationen mod at blive en førende, kundecentreret partner inden for Cloud, Cyber og integrerede ICT-løsninger. Peter kommer fra en stilling som Country Manager hos Google Cloud Danmark. Peter er uddannet Cand. Merc (AU), HD, Organisation og Ledelse (CBS), Bestyrelsesuddannelse (CBS). Peter har tidligere beskæftiget sig med at opbygge Google Cloud i Danmark samt roller hos Microsoft, Salesforce og i management consulting. Nyt job
    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse