Fejl i koden reddede danske pc'er fra trojaners selvmordsbombe

Trojaneren Dozer, som blev brugt til sidste uges angreb, forsøgte at gå ud med et brag, men en fejl i koden betyder, at den ikke virker på en dansk Windows XP.

En fejl i programkoden betød, at danskere slap nådigt fra den trojanske bagdør, Dozer, som i sidste uge blev brugt til at rette et distribueret denial-of-service-angreb mod flere websteder i USA og Sydkorea.

Trojaneren blev spredt via såkaldte drive-by-downloads fra websteder, formentligt som en form for ondsindet cyberprotest fra enkeltpersoner i Nordkorea.

Fredag var trojaneren programmeret til at stoppe oversvømmelsesangrebet mod web- og mailservere for i stedet at køre en selvdestruktionssekvens, som ville overskrive en lang række vigtige filer på den inficerede Windows-pc.

Det er i dag yderst sjældent, at ondsindede programmer sletter data på en inficeret pc, da de fleste virusgrupper i dag arbejder for at tjene penge gennem tyveri af personlige oplysninger eller ved at sælge kopimedicin via spammails.

Heldigvis var angrebet forholdsvis begrænset i omfang, og i Danmark er der ingen tegn på, at nogen er blevet ramt.

»Vi har ikke set nogen trafik fra Danmark, og vi har heller ikke fundet noget på forummer fra almindelige brugere,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.dk.

Det skyldes formentligt, at Dozers programkode indeholder en fejl, som gør, at den ikke kan køre den skadelige del på en dansk udgave af Windows XP. Ifølge CSIS fungerer Dozer på engelsksprogede udgaver og på en dansk Windows 2000, men de fleste almindelige danske brugere benytter dansk Windows XP.

De kan derfor stadig være inficerede, men vil ikke tage del i oversvømmelsesangrebet eller få slettet filerne.

Programkoden til Dozer genbruger kodestumper fra ældre ondsindede programmer som eksempelvis Mydoom-ormen. Derfor er det usandsynligt, at Dozer skulle være en del af en 'cyberkrig' fra Nordkorea mod Sydkorea og USA, sådan som der ellers var spekulationer om i flere medier, da angrebet toppede.

»Det virker som én vred person, som er vred på den vestlige verden, og som formentligt kommer fra Nordkorea. Koden er ok, men ikke nyskabende,« siger Peter Kruse.

CSIS vurderer, at Dozer-botnettet har bestået af omkring 40.000 inficerede pc'er. Det er et forholdsvis beskedent antal, men programmørerne af Dozer har gjort sig umage for at gøre det vanskeligere at dæmme op for angrebene.

Dozer blev brugt til at angribe et større antal web- og mailservere og benyttede flere forskellige protokoller og beskedtyper. Til gengæld tog personerne bag Dozer formentligt munden for fuld, da de valgte at angribe et stort antal servere med det forholdsvis lille botnet.

»Der er mange mål, som kan blive lagt ned med et botnet på 40.000 zombier, men det havde været klogere at gå efter fire-fem mål. Men angrebet viser, hvad sådan et botnet kan bruges til, og hvilken forskel det kan gøre, om man har et beredskab« siger Peter Kruse.

De fleste sikkerhedseksperter vurderer, at angrebet har rødder i Nordkorea. Politisk motiverede cyberangreb er ikke ualmindelige, men i dette tilfælde er der ingen grupper, som har taget ansvar. Målene har imidlertid alle været servere tilhørende den amerikanske og den sydkoreanske regering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans-Michael Varbæk

Hvorfor er det (næsten) kun FortConsult der kommenterer de her hændelser?

Jeg vil gerne se FortConsult og andre danske sikkerhedsfirmaer mere på banen. Der er da andre end de 2, er der ikke?

Jeg synes dog det er ret sjovt at i første omgang skyldtes sikkerhedshullet jo, en fejl i koden og nu hvor det ikke virker på den danske version pga. en fejl i koden, ja så burde de da distribuere den fejl i koden som en lyn-patch? ;-)

  • 0
  • 0
#4 Morten Strårup

Det var da godt for de berørte at der ikke skete noget, men jeg kan ikke helt lade være med at være et røvhul og tænke at det måske havde været meget sundt for netsikkerheden hvis det havde resulteret i en masse ødelagte maskiner. Med lidt held ville de folk det var gået ud over tænke sig lidt mere om fremover når de begav sig ud på nettet, og samtidig tjene som en lærestreg for andre om hvad der kan ske hvis man ikke tænker sig om.

Men det er nok utopi at tro det vil ske, folk tror jo gladeligt at så længe de bare har en firewall og antivirus, så kan de skabe sig som idioter uden at der sker noget.

  • 0
  • 0
Log ind eller Opret konto for at kommentere