Alarm: 32.000 danske pc'er ramt af modbydeligt rootkit

It-sikkerhedsfirmaet CSIS advarer mod rootkit'et ZeroAccess. Mindst 32.000 danskeres pc'er bliver lige nu misbrugt.

Uden du ved det, kan din pc lige nu være i gang med at klikke vildt og frådende på bannerannoncer, du ikke engang anede eksisterede. Samtidig kan du være i fuld gang med at downloade en lang række programmer, du aldrig har bedt om - og heller ikke har brug for.

Sådan er situationen for mindst 32.000 danskere, hvis pc er havnet i et såkaldt botnet. Det er it-sikkerhedsfirmaet CSIS, der har analyseret data fra rootkit'et ZeroAccess og i den forbindelse har optalt antallet af danske IP-adresser til over 32.000.

Peter Kruse, CSIS Illustration: Peter Kruse - LinkedIn

»Det er et meget højt tal, især fordi det er noget modbydeligt noget at få ind på sin maskine. Jeg havde ikke regnet med, at det ville være så alvorligt,« siger it-sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Bagmændene bag ZeroAccess anvender primært rootkit'et til at indlemme inficerede pc'er i botnet, der bruges til click fraud i f.eks. Facebook-kampagner og til svindel med såkaldt pay per install-software.

»Vi har en mistanke om, at bagmændene kommer fra Rusland, men af hensyn til den videre efterforskning kan jeg desværre ikke sige mere lige nu,« siger Peter Kruse til Version2.

CSIS offentliggør senere i dag en officiel advarsel, og firmaet er i fuld gang med at advisere kunderne. Malwaren er dog allerede blokeret i CSIS' Heimdal-software i Pro- og Corporate-versionerne.

»Vi er også lige på trapperne med et detektionsværktøj, der kan svare på, om din pc er inficeret med ZeroAccess. Vi lægger det ud på vores hjemmeside til gratis download måske allerede i dag og allersenest i morgen,« siger Peter Kruse til Version2.

Læs også: Opråb til danske virksomheder: Skjul ikke hackerangreb

Ifølge det konkurrerende sikkerhedsfirma F-Secure ligger Danmark på en tredjeplads over de lande i verden, som er hårdest angrebet af ZeroAccess, og i andet kvartal af 2012 var ZeroAccess skyldig i ni procent af alle registreringer i F-secures malware-overvågning.

ZeroAccess eksisterer i øvrigt kun på Windows-platformen, så Mac-, Linux- og andre brugere kan ånde lettet op.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Benni Bennetsen

Der er fra 2011 og som der er rigelig af muligheder for at fjerne i forvejen... Er det ikke bare en omgang billig reklame ? http://www.symantec.com/security_response/writeup.jsp?docid=2011-121607-...

For at checke om man er smittet (pænt praktisk?) kan man hente NFTF link http://www.nirsoft.net/utils/ntfs_links_view.html

og i c:\windows checke om der er nogen skjulte mapper - Der hedder noget med c:\windows\$NtUninstallKBXXXXX jævnfør whitepaper om det her http://nakedsecurity.sophos.com/zeroaccess3/

  • 3
  • 0
#2 Andreas Korsgaard

jeg må indrømme at jeg er en smule forvirret over den her artikel.

Hvad er pointen med at annoncere at der kommer nærmere detaljer omkring denne "trussel" senere, udover at piske en skræmme-stemning op?

Hvor forskellig er den her artikel i forhold til det klassiske tv spot med "Your kid could DIE from this terrible everyday-thing in your home... find out more at 11"?

  • 4
  • 0
#3 Casper Bang

ZeroAccess er fra 2010, men har været analyseret før ligesom der findes andre værktøj til at detektere og fjerne det - denne artikel får det til at lyde som om der er tale om noget helt nyt.

Det nye er muligvis at CSIS har sat en honeypot op og lytter med de rigtige steder, for at kunne hive noget viden og statistik ud. Sidste måneds rapport fra F-secure præsenteres med GPS koordinater på kort og stiller informationen til rådighed som CSV-fil.

Selvsamme fil påviser 1235 inficerede danske computere. Med utallige andre lande der overgår (USA: 47880, Canada: 7112, Italien: 4587, Armenien: 3511, Tyskland: 2813, osv. osv.), undrer det mig at Danmark skulle være på en tredjeplads mht. udbredelse. Heller ikke Sophos' rapport fra sidste måned synes at indikere at Danmark skulle være specielt ramt, ej heller hvis man normaliserer i forhold til brugere.

Spørgsmål til Version2: Har i en reference til ovenstående udtalelse eller er det noget i er blevet fortalt af CSIS?

  • 6
  • 0
#4 Ole Dahl

når der er software der kan detektere om computere er inficerede kunne det vel sættes op til sende email til folk hvis maskiner er inficerede. virker bagvendt det altid er slutbrugere som oftest har meget lidt kendskab til sikkerhed der selv skal hitte ud af det.

  • 0
  • 4
#8 Ulrich Østergaard

Det mest interessandte ved denne diskussion er mængden af energi der bliver brugt på at nedgøre kilden. Hvis vi nu kunne lukke munden på CSIS også, så er der vel stort set frit spil for botnets i Danmark. Mht. kilder og referencer var dette måske et mere interessandt spørgsmål: Hvor er Govcert og ISP'erne henne i dette spil. Interesserer det dem overhovedet?

  • 1
  • 1
#9 Per Henning

Det bedste forsvar er som bekendt et angreb. Ville det ikke være teoretisk muligt at bruge botnettet selv til at sende en SYNLIG advarsel til de inficerede pc-ere? Det vil selvfølgelig kræve et indgående kendskab til botnettet/softwaren, og dets evt. svagheder.

  • 0
  • 0
#11 Casper Bang

Det mest interessandte ved denne diskussion er mængden af energi der bliver brugt på at nedgøre kilden. Hvis vi nu kunne lukke munden på CSIS også, så er der vel stort set frit spil for botnets i Danmark. Mht. kilder og referencer var dette måske et mere interessandt spørgsmål: Hvor er Govcert og ISP'erne henne i dette spil. Interesserer det dem overhovedet?

Vi er vel blot nogle der synes det er en lidt tynd nyhed at komme med, uden nogen form for dokumentation (der ydermere strider imod anden offentlig dokumentation).

Det er jo fint at CSIC leverer et gratis produkt, men det her lugter jo lidt af en skræmme-marketingskampagne med hjælp fra Version2, TDC og ComputerWorld.

Så har jeg iøvrigt også svært ved at se hvad ISP'erne har med sagen at gøre - de skal bare bekymre sig om at levere en data-pipe. I Danmark er det ovenikøbet normalt at man også får en router med, dvs. de fleste sidder bag NAT og opnår derved også beskyttese mod at ens maskine bliver til super-node i et botnet.

  • 0
  • 1
#12 Ulrich Østergaard

Din antagelse hviler på at CSIS's oplysninger er forkerte, og at måneds eller år gamle rapporter fra andre organisationer er opdaterede. Kva et væsentligt bedre lokal kendskab end de nævnte "anden offentlig dokumentation" hælder jeg til den opfattelse at CSIS ved hvad de laver. Peter pointerer jo netop at det er alvorligt, hvilket jeg tolker som hastigheden hvormed botten muterer. Du har ret i at ISP'erne ser sig selv som data-pipe og foreløbigt er sluppet godt fra at værne om denne strategi - godt hjulpet af persondata lovgivningen. Problemet er at almindelige mennesker bliver taget som gidsler når deres pc pludselig løser opgaver for en kriminel organisation, og det er de færreste der har en reel chance for at beskytte sig effektivt. NAT eller firewall er absolut ingen hindring for at agere node og andre botnets endda super-node. Men hvad nytter det når botten rammer mobil telefonen som ofte ikke er bag NAT. Her er f.eks er ZeroAccess blandt de store syndere, og en mobil der er inficeret kan generere pænt store forbrugs regninger som går til- ja du gætter det nok selv - dit Teleselskab som jo blot leverer pipen!

  • 1
  • 0
Log ind eller Opret konto for at kommentere