Derfor udløser skjult NemID-kode virusalarm

NemID's Java-applet bliver kategoriseret som et ondsindet program af McAfees Stinger-værktøj. Se her hvorfor.

Kører man McAfees Stinger-værktøj til scanning efter virus og har man været logget på en hjemmeside via NemID, så får man en alarm om, at værktøjet har fundet et ondsindet program.

Læs også: McAfee advarer om virus i NemID

Antivirusværktøjet reagerer på indholdet af en pakket fil, som bliver gemt på brugerens pc, efter han har været logget på med NemID.

Læs også: DanID camouflerer programkode på din pc som billedfiler

Version2 har kontaktet sikkerhedsfirmaet CSIS, der har indvilget i at se på, hvorfor indholdet af den pakkede fil får McAfees værktøj til at reagere.

»Der er tale om en falsk positiv. Stinger har en ekstra følsom heuristisk scanner, fordi brugeren kører det under formodning om, at systemet er inficeret,« siger sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Ifølge Peter Kruse er der ingen af de øvrige antivirusprodukter, som reagerer på filerne, og McAfees almindelige antivirussoftware reagerer heller ikke på indholdet af NemID-filen.

Stinger er beregnet til, at en bruger kan hente programmet, hvis han har mistanke om, at hans pc er inficeret. Det kan eksempelvis være i et tilfælde, hvor et ondsindet program er sluppet forbi den almindelige antivirusscanner, og derfor er Stinger beregnet til at lægge ekstra vægt på programkode, som virker mistænkelig.

Filen, som lægges på brugerens pc af NemID's Java-applet, indeholder da også flere af de ting, som antivirusscannere holder øje med.

Det første advarselsflag hejses, fordi NemID-filen indeholder fire filer, som er camoufleret som GIF-billedfiler, men reelt er programfiler til Windows, Unix og Mac.

Java-appletten til NemID er signeret af sikkerhedsgrunde, så den blandt andet får mulighed for at kunne gemme filer lokalt på brugerens pc, men de fire programfiler, som ligger skjult i den lokale fil, er ifølge Peter Kruse ikke signeret.

»Der er en årsag til, at malware som Duqu og Stuxnet var signeret,« siger Peter Kruse.

En gyldig digital signatur af en ukendt fil tæller positivt i antivirussoftwarens vurdering af troværdigheden, og derfor blev det brugt i Stuxnet-ormen, hvor bagmændene havde stjålet certifikater fra anerkendte hardwareproducenter.

Næste alarmklokke ringer ved scanningen af NemID-filen, fordi selve programkoden indeholder nogle bestemte systemkald, der eksempelvis tjekker, om programmet kører i debugging-tilstand. Hvis det er tilfældet, skal programmet stoppe.

»Det er også noget, man typisk ser i skadelig kode, fordi de ikke vil have, at antivirusfirmaerne laver reverse engineering for at analysere koden. Det er en helt klassisk ting, som antivirusscannere kigger efter,« siger Peter Kruse til Version2.

Han understreger, at der ikke er noget, der tyder på, at filerne indeholder noget skadeligt. Den skjulte programkode ser heller ikke ud til at sende information fra brugerens pc til en ekstern server.

Peter Kruse ønsker ikke at kommentere, hvorfor DanID kan have valgt at designe systemet på denne måde, men påpeger, at man kunne undgå sådan en falsk virusalarm ved eksempelvis at gøre filerne sessionsbestemte, så de kun ligger på brugerens pc, mens brugeren er logget ind med NemID.

Kommentarer (4)

Mathias Svensson

Der er helt klart noget der tyder på at de bruges til at sende information fra computeren til en ekstern server - dog ikke i et format som kan bruges til noget direkte.

Formålet med filerne er at tage en SHA256-hash af diverse systemresourcer, som så kan tilgås af java-koden (og formentlig sendes til nemid).

Se http://pwnies.dk/nemid.py for en (ret simplificeret) udgave af hvad koden gør.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Word kursus grundlæggende

Hvornår: 2015-09-09 Hvor: Storkøbenhavn Pris: kr. 5100.00

Access kursus grundlæggende

Hvornår: 2015-10-01 Hvor: Storkøbenhavn Pris: kr. 5100.00

Sales Management in Microsoft Dynamics CRM 2013

Hvornår: 2015-09-07 Hvor: Storkøbenhavn Pris: kr. 4200.00

PowerPoint course experienced (conducted in English)

Hvornår: 2015-12-22 Hvor: Storkøbenhavn Pris: kr. 2950.00

Grundl?ggende programmering i C

Hvornår: 2015-09-14 Hvor: Storkøbenhavn Pris: kr. 19500.00