Mebroot kaprer PC-er:
Nytt virus tømmer kontoen din
Godt skjult og umulig å oppdage: men når du logger deg på i nettbanken, våkner Mebroot.
Et nytt virus er i stand til å gjemme seg på din PC og våkne når du går inn i nettbanken.
Over 100 europeiske nettbanker skal være angrepet av viruset som blir kalt Mebroot.
- Det er uhyre avansert og velskrevet. I tillegg er det svært effektivt når det gjelder å tappe kontoer, skriver Dag Arne Jerstad i F-Secure i nettmøte på Klikk.no.
LES OGSÅ: Svenske myndigheter kan lese eposten din
Smitter via nettsteder
Mebroot er mer enn et virus. Ekspertene kaller det et malware-operativsystem. Malware er betegnelsen it-industrien bruker på fiendtlig programvare, mens virus egentlig er en ikke-teknisk samlebetegnelse.
Dette programmet infiserer brukerne ved at koden er «smuglet» inn på populære nettsteder. Når så disse nettstedene klikkes på av brukerne, blir den skadelige koden umerkelig overført til brukermaskinen.
Opp mot 50.000 nettsteder om dagen skal i perioder har blitt smittet av Mebroot.
Her er ti gode tips om hva du må passe på når du bruker nettbank .
Uhyre komplisert
F-Secure og Symantec, de to sikkerhetsselskapene som har oppdaget og forsket på Mebroot, mener at Mebroot er det aller mest avanserte og treffsikre fiendtlige dataprogrammet de har sett så langt.
Det er ennå ikke avdekket hvem som står bak, men det er uhyre komplisert teknologi som er tatt i bruk. Programmet er usynlig for antivirusprogrammer og benytter avansert kryptering.
På den måten kan en infisert maskin «snakke» med andre maskiner og arrangere et samlet angrep.
LES OGSÅ:
Immunt mot antivirus
Teknikken som brukes av Mebroot programmet er mildt sagt skremmende. Miko Hyppönen, en anerkjent finsk sikkerhetsekspert, forklarer hvordan det virker i sin blogg:
Programmet installerer seg på dypeste nivå i Windows og skriver sin egen oppstartskode.
Når en infisert maskin startes opp, lastes Mebroot først, uten at dette merkes gjennom oppstarten av Windows. Mebroot skjuler alle endringer det gjør i det infiserte systemet og utnytter udokumenterte funksjoner i Windows
Programmet oppretter et komplekst system for nettverkskommunikasjon. Store deler av programkoden er svært godt skjult.
LES OGSÅ: To av hundre PC-er er friske
Unngår analyse
Ved å benytte en svært komplisert installeringsmekanisme omgås sikkerhetsprogrammer og en automatisk analyse vanskeliggjøres. Derfor blir det så å si umulig for vanlige antivirus-programmer å oppdage den skadelige programkoden.
Maskiner som blir smittet, inngår i et kapret nettverk av maskiner. Kommunikasjonen med andre maskiner (i et såkalt botnet) er kryptert med høynivå-kryptering.
Det fiendtlige programmet er godt kvalitetsikret. Ifølge F-Secure krasjer Mebroot aldri maskinen det infiserer, selv om det kjøres på maskinens kjernenivå.
Fornyes stadig
Folkene bak Mebroot har registrert over 1000 com/net/biz-domener som brukes i kommunikasjon med andre kaprede maskiner.
Mebroot angriper over 100 europeiske nettbanker ved å forsøke å stjele penger fra brukere mens de er logget på med infiserte maskiner, ifølge F-Secure.
LES OGSÅ:
Symantec har lagt ut en oppskrift og et verktøy for å fjerne Mebroot .
Men ifølge F-Secure er det siden denne reparasjonen ble laget sist vinter, gjort en rekke endringer og «forbedringer» av det fiendtlige programmet. Videreutviklingen av Mebroot er forklart i teknisk detalj her.
Registert i Norge
Også i Norge er det den siste måneden registrert hendelser der Mebroot (som også kalles torpig, anserin og sinowal) har vært involvert.
Det viser informasjon som Klikk.no har innhentet fra Telenor SOC (TSOC), en avdeling i Telenor som sikkerhetsovervåker kunders nettverk hele døgnet.
TSOC melder også om økning av en annen bank/phishing-trojaner, Zbot (også kalt Prg/ wsnpoen/ Zeus /ntos), som primært har vært rettet mot spanske og britiske banker samt populære nettsteder som MySpace, eBay og PayPal.
- Lavere aktivitet
Men opplysningene fra norske varslingssteder er motstridende.
Ifølge NorCERT (Norwegian Computer Emergency Response Team), som overvåker og varsler om alvorlige internett-relaterte trusler og angrep, var norske banker mer utsatt for denne typen virus i 2006, mens aktiviteten siden det har gått ned.
Den nyere banktrojaneren Wsnpoen har vært rettet mot svenske, danske og finske banker, men ikke norske.
- Det meldes om lav aktivitet fra norske bankers side og det kan jo tyde på at det er relativt liten utbredelse i Norge, sier Vidar Sandland ved Norsk senter for informasjonssikring (NORsis)
LES OGSÅ: Vinn lydkort til PC-en
Denne saken ble første gang publisert 09/12 2008, og sist oppdatert 05/05 2017.