Spyware-bagmændene har smidt handskerne og har taget et gammelt camouflage-kneb i brug for at holde forretningen kørende i takt med, at anti-spyware nærmest er blevet standard i antivirus-software.
Forsvarsmekanismen for spyware-programmørerne er de såkaldte "rootkits".
Det er en særlig type bagdørsprogrammer, som kan være ekstremt vanskelige at spore, når først de er installeret på et system.
Rootkits har eksisteret i mere end et årti til primært Unix-systemer, men er i løbet af det sidste år for alvor dukket op i Windows-verdenen, som er spyware-bagmændenes primære mål.
- Den mest udbredte og alarmerende tendens, vi har set med disse bagdøre, er sammenkoblingen med profit-motiveret kriminalitet som eksempelvis kreditkortsvindel og identitetstyveri, siger udviklingschef Alfred Huger fra Symantec til Network World.
Microsoft advarede tidligere på året om den nye tendens og flere antivirusfirmaer har udviklet specialiserede værktøjer, som kan finde og fjerne de kendte rootkits.
Microsofts advarsel kom efter, selskabet havde fundet rootkits, som lægger sig i selve kernen af Windows og derfor ikke kan ses af konventionelle antivirusprogrammer.
Rootkits spredes typisk ved besøg på usikre hjemmesider, hvor bagmændene udnytter sårbarheder i webbrowseren til at installere den ondsindede software. Både sårbarheder i Internet Explorer og Mozilla-browsere bliver udnyttet på denne måde, oplyser sikkerhedsfirmaet Symantec.
Firmaet Websense registrerede i første halvår af 2005 mere end 2.500 personlige hjemmesider og weblogs, som lagde plads til installation af ondsindede programmer. De fleste findes på servere, som tilbyder gratis hjemmesideplads.
For at bekæmpe rootkits er den første forsvarsbastion at sørge for at holde softwaren på klient-cp'erne opdateret for at lukke de mest udnyttede sikkerhedshuller.
Dernæst kan anti-spyware og antivirus give en vis beskyttelse, men der er ikke tale om en stensikker garanti over for de nyeste typer af rootkits.
Når et rootkit er installeret på systemet, vil det lægge sig mellem det, brugeren oplever, og selve styresystemet. Det betyder, at brugeren ikke kan se, at spionprogrammet kører, fordi det ikke kan ses i eksempelvis Windows' Jobliste.
Mange anti-rootkit-programmer forsøger at spore rootkits ved at sammenligne Joblisten med Windows' interne liste af aktive processer for at finde forskelle.
De nyeste rootkits formår imidlertid at gemme sig så godt, at de kun kan findes ved at se, om der er sket ændringer i de undersystemer, der behandler undtagelser i systemets hukommelse, oplyser Mikko Hypponen fra finske F-Secure til Network World.
Det kan betyde, at antivirus-firmaernes konventionelle modtræk måske ikke er tiltrækkelige til at eliminere truslen fra rootkits.
- Rootkits er per definition svære at spore. De bedre af dem er endnu sværere at spore, siger teknisk chef Alan Paller fra SANS Institute til Network World.
Løsningen for it-chefen kan derfor være at satse mindre på specialiseret anti-rootkit-software på klienterne og i stedet holde bedre øje med netværket.
Ved at overvåge trafikken er det muligt at opspore inficerede systemer ud fra usædvanlig trafik. Det kan eksempelvis være en webserver, som begynder at transmittere FTP-trafik.
Netværkstrafikken følger typisk nogle simple regler, hvor trafikken fra spionprogrammer vil skille sig ud. Servere er blot servere og begynder ikke af sig selv at etablere forbindelser. Klient-pc'er sender normalt ikke data mellem hinanden. Det kan være et signal om, at der er noget galt.
