Tema: Sikkerhedsfirmaet SecureWorks har identificeret en ny trojansk hest, som de har døbt SpamThru.
Kendetegnet for SpamThru er, at kun ganske få antivirusprogrammer fanger programmet, der installerer sin helt egen udgave af Kaspersky AntiVirus på maskinen.
Samtidig benyttes port 25, den der normalt anvendes til at sende e-mails, til at opretholde en peer-to-peer-lignende kontakt andre servere i netværket.
Det gør det meget svært for sikkerhedsfirmaerne at gøre kål på programmet.
En trojansk hest et program, der giver angriberen kontrol over den inficerede computer. Formålet med en trojanskhest er at åbne en bagdør som kan udnyttes af angriberen, til eksempelvis at udsende spam.
Velsmurt pengemaskine
SpamThru gør den inficerede maskine til en del af et netværk, der er designet til at udsende spam.
Det er der sådan set ikke noget nyt i, men SpamThru er den hidtil mest avancerede bot, der udvikles og vedligeholdes helt på linje med de kommercielle programmer.
Samtidig er SpamThrus funktioner markant anderledes en dem, man finder i eksisterende bot-programmer.
- SpamThru er en pengemaskine, og udviklerne bruger mange kræfter på at vedligeholde koden så programmet ikke opdages af sikkerhedsfirmaernes produkter, skriver SecureWorks sikkerhedsekspert Joe Stewart i sin analyse af programmet.
- Programmets kompleksitet og vedvarende opdateringer kan matche mange af de kommercielle programmer på markedet, spammerne har opbygget en imponerende infrastruktur for at beholde deres indtægtskilde, fortsætter han.
Denne udmelding bakkes op af en dansk sikkerhedsekspert, der samtidig beskriver SpamThru som unik.
- Koden er ikke det bemærkelsesværdig, men det er de funktioner, som SpamThru benytter sig af, siger Peter Kruse fra sikkerhedsfirmaet CSIS.
- Der er masser af nytænkning i denne trojanske hest. Det er grunden til at den adskiller sig markant fra, hvad vi tidligere har set.
Installerer sit eget antivirusprogram
Trojanske heste, der forsøger at frakoble programmer på den inficerede maskine er ikke noget nyt, men SpamThrus metode er opsigtsvækkende.
Programmet installerer en piratversion af Kaspersky AntiVirus, der er skræddersyet til ikke at lukke for de filer, som er en del af SpamThru.
Programmet patcher licenssignaturen i Kasperskys DLL-fil, så Kaspersky kan eksekveres i en ulovlig udgave.
Samtidig benytter programmet port 25, der anvendes af e-mail-klienten, til en P2P-lignende kontakt til de øvrige servere i netværket, hvilket gør det meget svært at dræbe programmet.
- Det er meget svært, at filtrerer på denne port. Filtrering er traditionelt en effektiv metode til at bekæmpe denne type programmer på, men den kam man ikke benytte sig af i dette tilfælde, fortæller Peter Kruse, der har samarbejdet med med SecureWorks om, at identificere SpamThru.
Den trojanske hest blokerer samtidig adgangen til flere sikkerhedsrelaterede sites, ved at modificerer Windows host-fil.
En anden mulighed for at bekæmpe programmet er at gribe fat om udsenderen, men også her har udviklerne af SpamThru tænkt sig om.
- Angriberen har sine servere i Rusland, der desværre ikke sætter mange kræfter ind i bekæmpelsen af it-kriminalitet af denne type, siger han.
- Derfor bliver det meget svært at sætte en stopper for den avancerede trojanske hest.