Microsoft til NemID-ofre: Ja, du skal formattere harddisken

Danske Bank råder kunder, som har fået trojaneren Banktexeasy, til at formatere deres pc. Drastisk, men bedste bud, så længe der ikke findes anden kur, siger Microsoft.

Der er lige nu ikke nogen anden kur end en komplet sletning og geninstallation, hvis er blandt de uheldige, der har fået sin pc inficeret med den trojanske bagdør, som blev brugt til at stjæle i alt 700.000 kroner fra otte kunder i Danske Bank.

Det bekræfter Microsoft over for Version2.

»Hvis skaden først er sket, så er det (formatering og geninstallation, red.) det bedste bud lige nu,« siger Microsofts danske sikkerhedschef Morten Juul Nielsen til Version2.

Danske Bank informerer sine kunder om, at de bør formatere deres pc, hvis de konstaterer, at den er inficeret med den trojaner, som sikkerhedsfirmaet CSIS har døbt Banktexeasy.

Læs også: Bankens bedste råd: Formatér harddisken, hvis du har NemID-trojaneren

Morten Juul Nielsen fra Microsoft understreger dog, at man naturligvis først skal sikre sig, at pc'en rent faktisk er inficeret. Det kan gøres ved at downloade et værktøj fra CSIS, som kan undersøge pc'en og konstatere, om Banktexeasy er installeret.

Hvis man finder trojaneren, så har man lige nu ikke andre muligheder for at rense systemet end en komplet reinstallation af Windows.

»Det bedste, man kan gøre, er at downloade detektionsværktøjet og få vished. Hvis man er inficeret, så må man gå drastisk til værks og formatere,« siger Morten Juul Nielsen.

Microsoft har et særligt værktøj, Malicious Software Removal Tool, som gør det muligt at fjerne udvalgte kendte trusler som eksempelvis trojanske bagdøre. Men det er et værktøj, som distribueres via Windows Update og kommer derfor ud til næsten alle Windows-brugere. Derfor er det kun de mest udbredte ondsindede programmer, som bliver inkluderet i værktøjet.

»Microsoft ofrer ikke så mange ressourcer på den her trojaner, fordi det ikke er en global trussel. Men det er noget, vi tager meget alvorligt,« siger Morten Juul Nielsen.

Det er ikke ualmindeligt, at sikkerhedsfirmaer frigiver et særligt værktøj til at fjerne et bestemt ondsindet program, ligesom det er muligt, at flere antivirusprogrammer vil få mulighed for at fjerne programmet. Foreløbig er der dog ingen værktøjer til at fjerne den danske trojaner fra en inficeret Windows-pc.

Banktexeasy gør på nuværende tidspunkt ingen skade, fordi den ikke længere kan få forbindelse til de servere, der blev brugt af bagmændene. Men det er alligevel en dårlig idé at lade trojaneren ligge på sin pc. Det er nemlig før set, at en trojansk bagdør har mulighed for at blive opdateret og på den måde få nyt liv igen.

Hvis man har en inficeret pc, så bør man især som privat forbruger være opmærksom på, at en geninstallering af pc'en kan være en besværlig proces, hvor man blandt andet skal sikre sig, at man har de nødvendige produktnøgler til den software, man skal geninstallere.

De fleste pc'er har mulighed for at genetablere systemet fra en særlig systempartition, som er oprettet af pc-leverandøren. Det er derfor en god idé at undersøge, præcis hvordan leverandøren anbefaler, at man laver en komplet geninstallation, fordi man helst skal formatere den primære Windows-partition, men uden at slette leverandørens systempartition på harddisken.

Desuden skal man sørge for at tage backup af sine dokumenter og andre personlige filer.

Uanset om man er inficeret eller ej, anbefaler Microsoft, at brugerne sørger for at opdatere den software, der ligger på pc'en. Ifølge Microsoft ville ingen af de otte Danske Bank-kunder være blevet ramt, hvis de havde opdateret deres browser med de nyeste sikkerhedsopdateringer.

Morten Juul Nielsen anbefaler også, at man kan bruge et tredjepartsprogram til at hjælpe med at opdatere al den software, som Microsoft ikke sørger for at opdatere. Det kan man eksempelvis gøre ved hjælp af danske Secunias Personal Software Inspector eller CSIS' Heimdal.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jarnis Bertelsen

Microsoft ofrer ikke så mange ressourcer på den her trojaner, fordi det ikke er en global trussel. Men det er noget, vi tager meget alvorligt

Vi tager det meget alvorligt, men vil ikke gøre noget ved det... hvordan giver det lige mening?
Hvorfor minder det mig om beskeden om "dit opkald er vigtigt for os" fra firmaer, der lader mig vente 20 minutter i en telefonkø?

  • 9
  • 0
Bjørn Damborg Froberg

Som jeg har forstået det er malwaret kun aktivt på Windows maskiner, det sagt så kan MacOSX og Linux vel i princippet godt downloade malwaret, medmindre payload er skræddersyet til ikke at reagere på non-windows installationer når man rammer infektions-siden..

Ville faktisk meget gerne hvis man kunne få at vide hvilken distributions kanal der blev benyttet. Man fristes til at tro at det var en af de standard metodikker med malvertising.

  • 4
  • 0
Jacob Larsen

Når man har haft en Windows PC der er blevet ramt af malware, så har standardrådet da altid været at geninstallere. Diverse removal tools kan jo kun fjerne selve malwaren, det vil være for meget forlangt at stole på at de kan rydde op efter diverse sikkerhedshuller/bagdøre som malwaren har lavet i maskinens konfiguration.

  • 0
  • 0
Michael Degn

Da informationerne omkring BankTexeasy er meget begrænsede, så er det svært at svare på. Som jeg tolker info så er malwaren skræddersyet til NemID kompromittering på Windows platformen, hvor den trojanske hest installeres og afvikles uden brugerens viden. Hvis den skulle fungere cross-platform, så vil den ikke umiddelbart fungere på hverken OSX eller Linux pga. rettighedsstyringen - en bruger skulle altså give malwaren lov til at køre. Så jeg ser ingen trussel på nuværende tidspunkt.

  • 3
  • 1
Jacob Larsen

...så vil den ikke umiddelbart fungere på hverken OSX eller Linux pga. rettighedsstyringen - en bruger skulle altså give malwaren lov til at køre.

Malwaren kræver vel ikke root rettigheder? Hvis den bare kører med brugerens almindelige rettigheder, så vil der ikke på et almindeligt Linux setup være noget der stopper den. Måske findes der et paranoidt SELinux setup der kan stoppe sådan noget, men jeg ved ikke lige hvor brugbart sådan et setup er i praksis.

  • 3
  • 0
Anonym

Man har også en anden mulighed.
Det er at droppe NemID, ind til der er kommet en løsning.

Så slipper man for at gøre andet, end at vente på at NemID finder en løsning.

Desværre er man også nød til at droppe andre online-tjenester, i et stykke tid, men det må man så evt. leve med.
Det er jo ikke alle online-tjenester hvor det er alvorligt, det er kun det som benytter NemID eller andre tjenester, hvor det er kritisk for brugeren.

Er man angrebet, så har man sandsynligvis været det et stykke tid. Undlader man at benytte f.eks. NemID, så vil der sandsynligvis ikke være noget tjent ved, at formaterer sin HD.

Er man ude på, yderligere at påføre brugerne en unødvendig udgift og ulempe ?
Det er godt og vel i overkanten, at starte ud med en sådan anbefaling.

At betale kontant, eller gå på posthuset og betale med et girokort, er fortsat en mulighed.
Er man bange for at der kan være et problem med ens netbank, så kan man passende gå i banken og hæve sine penge i kontanter.

Det virker nærmest som om, at DanID / Netz vil overføre ansvaret til brugerne, når der opstår problemer, som man egentlig godt ved vil opstå, fordi DanID / Netz selv har en ualmindeligt lavt sikkerhedsniveau i forbindelse med NemID.

  • 2
  • 9
Jacob Larsen

Undlader man at benytte f.eks. NemID, så vil der sandsynligvis ikke være noget tjent ved, at formaterer sin HD.

Bagmændene har alle dine passwords. Hvis du ikke kommer af med malwaren, så hjælper det ikke at skifte password, da de så også får disse. Desuden kunne det jo tænkes at de fik andre idéer til brug (botnet aktivitet), nu de har fået spredt malware.

Alt i alt vil jeg mene at det er hamrende uansvarligt at sætte en computer på nettet, som man ved er inficeret med malware. Tager du også ud at rejse hvis du er smittet med farlig sygdom? Den her malware adskiller sig ikke fra andre typer malware på det her stadie: Du ved at din computer har malware, se at komme af med den for din egen og dine omgivelsers skyld. Det kan ikke være meningen at dine omgivelser skal bøde fordi du ikke gider reagere. Der er love mod at udsætte mennesker for smitte med visse farlige sygdomme hvis man kender til dem, måske det er noget der burde overføres til computerbrugere? Eller måske burde man kunne straffes for kriminalitet lavet med ens computer hvis man er vidende om malware?

  • 3
  • 0
Bjørn Damborg Froberg

Eller også har de ikke fået en sample fordi folk automatisk antager at de er ligeglade..?
De producenter jeg arbejder med på daglig basis er altid flinke til at opdatere detection og behaviour signaturer hvis vi blot sender samples. :)

Nu kan jeg jo selvfølgelig kun referere til min egen erfaring - kan jo ikke vide hvilke oplevelser du har haft i den henseende, eller med hvilke producenter. Kunne forestille mig at producenter som Symantec og McAfee ville være svære at få i tale.

  • 1
  • 0
Ole C. Andersen

Jeg synes at hele denne sag er under al kritik - journalistisk set !
Det tangerer ren hyperventilation ... ulven er her, ulven er her, ulven er her.
Nogen må for pokker da kunne besvare:
1. Hvilke sites har folk downloaded malwaren fra ?
2. Hvordan er den udformet ? Java script eller lignende ?
3. Hvad laver malwaren ved offerets pc ? High-jack af browser, DNS opsætning eller lignende ?
4. Skal man have særlige privilegier for at kunne "installere" malwaren ?
5. Hvilke ip adresser kommunikerer en kompromitteret pc med og hvordan ?
/ole

  • 7
  • 0
Knud Larsen

Ja det er sikkert en god ide? Men er der overhovedet ikke nogen hos Microsoft, der ved hvordan deres elendige styresystem fungerer hos almindelige brugere?
Der er en OEM installation direkte på harddisk, brugeren har ikke en kinamands chance for at lave en ny installation. Alle data ligger gemt sammen med styresystemet i et forfærdeligt uoverskueligt rod!
Men det er Microsofts sædvanlige arrogante og afvisende holdning,- det er en skændsel. Hvis de kunne age sig sammen til at adskille system og data på et separat drev, som jeg altid gør kunne man begynde at læse problemet.
Dog skal man jo lige huske, at siden den oprindeæige installation er der ca en patch for hver 14 dage siden anskaffelse, så der er meget at opdatere.
For andre brugere med mange applikationer er det et helvede og en tidrøver af rang.

  • 4
  • 2
Christian Nobel

Man kan mene hvad man vil om MS, men det er en falliterklæring at "NemID" projektet har tvunget folk ud i spekulationer om reformattering - og den fejl skyldes udelukkende at hele "NemID" konstruktionen er en katastrofe.

Læs hvad borger.dk skriver om "NemID":

https://www.borger.dk/Nyheder/Sider/Ny-digital-signatur-hedder-NemID.aspx

Hvis vi ser bort fra at "NemID" er ulovlig i forhold til lov om elektroniske signaturer, så er denne passus også interessant, da det var et af hovedargumenterne for at gennemtvinge "NemID":

"Til forskel fra den nuværende digitale signatur, er det muligt at bruge NemID fra enhver pc med internetforbindelse - også i udlandet. Du skal bare huske dit personlige bruger-id og din adgangskode og anvende dit personlige nøglekort."

Hele dette hovedargument er nu faldet til jorden med et kæmpe brag, da det viser sig at der skal tages endog helt ekstreme hensyn for at tilsikre at adgangen gennem "NemID" ikke bliver kompromitteret, og der er dybest set ingen chance for at foretage en gardering mod misbrug - endvidere er der ingen der ved hvor stort misbruget egentlig er.

Der er kun en mulighed, og det er at trække i håndbremsen - her og nu.

  • 4
  • 5
Benjamin Balder

»Hvis skaden først er sket, så er det (formatering og geninstallation, red.) det bedste bud lige nu,«

Man må da råde folk til at skifte samtlige af deres adgangskoder, få nyt Nem-ID kort og (hvis man da ellers kunne) give dem et nyt CPR-nr.

Hvis man finder trojaneren, så har man lige nu ikke andre muligheder for at rense systemet end en komplet reinstallation af Windows.

Hov, der er en fejl her. Der skulle have stået afinstallation. Med en reinstallation risikerer man blot, at trojaneren kommer væltende tilbage igen med alle sine venner.

--
ps. skift avatar - http://actavar.stopacta.nu/

  • 5
  • 2
Log ind eller Opret konto for at kommentere