Ondsindet rootkit truer danske netbanker

Danske netbank-kunder er igen i skudlinjen. Et malware-angreb, der er døbt 'Patcher', har fået nyt liv i nye varianter, og flere tusinde danske Windows-computere er allerede ramt, advarer Finansrådet og it-sikkerhedsfirmaet CSIS.

Ligesom med mange andre angreb udnytter Patcher sårbarheder i tredjepartsprogrammer som Acrobat Reader, Quicktime og Flash, så det bedste værn er altid at have installeret de nyeste opdateringer til disse småprogrammer, der ofte havner under opmærksomhedsradaren.

Da Patcher er hurtig til at forklæde sig i nye varianter, har antivirusprogrammerne ifølge CSIS svært ved at følge med, og de fleste af dem vil derfor ikke være til megen hjælp, hvis man havner på en webside, som sender Patcher-infektionen via et script - et såkaldt drive-by-angreb.

Rent teknisk går Patcher-infektionen ind og ændrer i nogle Windows-systemfiler - deraf navnet Patcher - og lægger sig som et rootkit, der er næsten umuligt at drive ud igen. Er ens computer blevet inficeret, er den eneste sikre løsning derfor at tage backup af alle data, formatere harddisken og geninstallere Windows fra bunden.

Hvis Patcher får lov at ligge på computeren, vil den ubemærket snige ekstra komponenter ind i Internet Explorer, såkaldte Browser Helper Objects, som overvåger trafikken og sender oplysninger tilbage til bagmændene. Via et 'man in the browser'-angreb kan den slags malware også ændre i netbanktransaktioner, på en måde hvor alt ser rigtigt ud for kunden, men pengene sendes til en anden bankkonto, end hvad kunden bad om.

Bankerne og CSIS har lagt en vejledning ud om Patcher, samt et lille program, der kan tjekke, om en computer er inficeret (under fanebladet 'eksterne links').