TOPHISTORIE:Henrik Bodskov fratræder som topchef for Aeven - ny topchef allerede klar

Artikel top billede

DK-CERT: Trojansk hest forfalsker links

Opachki omdirigerer links, skjuler sig og forhindrer fejlsikret tilstand, skriver Shehzad Ahmad fra DK-CERT i denne måneds klumme om it-sikkerhed.

Hvordan tjener en forbryder penge på et skadeligt program? Hvis programmet stjæler passwords, kan han overføre penge til en bankkonto.

Men det giver et problem med at få fat i pengene uden at blive opdaget.

En anden metode går ud på at snyde websteder, der anvender såkaldt affiliate-baseret annoncering.

Disse websteder betaler et lille beløb til deres partnere, hver gang partneren fører trafik hen til dem.

Partnerne er ofte søgemaskiner eller prissammenligningssteder.

Hvis forbryderen driver en søgemaskine, kan han tjene penge på at føre sine ofre hen til den, hvorefter de får links til de sider, han får betaling fra.

Omskriver links

Vi har længe kendt til skadelige programmer, der omskriver koden på søgesider, så ofrene ledes hen til andre websider.

De seneste måneder er den trojanske hest Opachki dukket op. Den er ikke særlig udbredt, men den indeholder nogle interessante teknologier.

For det første nøjes den ikke med at omdirigere søgeresultater.

Når Opachki er installeret på en pc, opsnapper den al kommunikation mellem kendte web-applikationer og nettet.

Hver gang den ser et link, omskriver den det. Hvor linket før førte direkte til en side, fører det nu til en søgemaskine, hvor linkteksten bliver afleveret som den tekst, der skal søges efter.

Hvis offeret så klikker på et af søgeresultaterne, får bagmanden en lille gevinst i form af betaling fra partneren.

Skjuler sig grundigt

Noget af det interessante ved Opachki er, at udvikleren har gjort meget for at skjule den.

Programmet har form af en DLL-fil, der loades ind i alle kørende processer på systemet.

Kan være svær at genkende

DLL-filen bliver løbende ændret, så den kan være svær at genkende for antivirusprogrammer.

Da det er en trojansk hest, har den ikke selv en metode til at sprede sig med.

Den spredes sandsynligvis ved hjælp af skadelige serverprogrammer.

De udnytter sårbarheder i de pc'er, som besøger deres websteder, til at installere den.
Allerede under installationen gør den sig umage for at forblive skjult.

Således udpakker installationsprogrammet ikke alle filer, men kun dem, det lige i øjeblikket har brug for.

Det sletter også den såkaldte PE-header (Portable Executable) fra RAM'en, så det bliver sværere at finde og debugge koden.

Forhindrer fejlsikret tilstand

Opachki er naturligvis sat til at køre automatisk, når Windows starter. Det er gængs praksis for skadelig software.

Men desuden gør den det umuligt at slette de nøgler i registreringsdatabasen, der indeholder navnene på dens DLL-filer.

Dermed kan man ikke hindre, at den starter automatisk.

Endelig fjerner den muligheden for at starte i fejlsikret tilstand.

Alle disse hindringer gør det svært for antivirusprogrammer at fjerne Opachki.

Da den blev opdaget, var man henvist til at følge komplicerede opskrifter for manuelt at desinficere pc'en.

På det seneste er antivirusprogrammerne dog også blevet i stand til at slette den.

Skønt Opachki ikke er særlig udbredt, er den værd at lægge mærke til. Den er et godt eksempel på de udfordringer, moderne skadelige programmer giver sikkerhedsbranchen.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Cloud & AI Festival 2025

Glæd dig til to dage, hvor du kan netværke med over 2.400 it-professionelle, møde mere end 50 it-leverandører og høre indlæg fra +90 talere. Vi sætter fokus på emner som AI; infrastruktur, compliance, sikkerhed og løsninger for både private og offentlige organisationer.

17. september 2025 | Læs mere


IT og OT i harmoni: Sikring uden at gå på kompromis med effektiviteten

IT og OT smelter sammen – men med risiko for dyre fejl. Få metoder til sikker integration med ERP, kundesystemer og produktion. Tilmeld dig og få styr på forskellene og faldgruberne.

24. september 2025 | Læs mere


NIS2: Vi gør status efter tre måneder og lærer af erfaringerne

Vær med, når vi deler oplevelser med implementering af NIS2 og drøfter, hvordan du undgår at gentage erfaringerne fra GDPR – og særligt undgår kostbar overimplementering.

30. september 2025 | Læs mere