Pas på: Er din virksomhed ramt af superlusket rootkit?

Det særdeles genstridige rootkit TDSS breder sig i danske virksomheder, advarer sikkerhedsfirma. Malwaren bliver ikke stoppet af antivirus eller andre typiske sikkerhedsforanstaltninger.

Først den dårlige nyhed: Et af klodens mest ondskabsfulde stykker malware breder sig i Danmark. Rootkittet TDSS lister sig nu ind hos danske virksomheder, uden at blive opdaget af antivirus-programmerne.

»Vi har en bred vifte af danske virksomheder som kunder, store som små, og vi kan se, at flere og flere af dem i den seneste uge er blevet ramt af TDSS-rootkittet. Der sker i stigende grad forsøg på at forbinde til command and control-servere, der tilhører de her banditter,« siger Peter Kruse, sikkerhedskonsulent hos CSIS.

Han vurderer, at flere tusinde danske virksomheder samlet set er ramt, ud fra antallet af vellykkede angreb i CSIS' kundekreds.

Den gode nyhed er til gengæld, at selvom TDSS gemmer sig uhyre godt og kun sjældent vil blive fanget af antivirus-software, er det forholdsvist nemt at stoppe problemet. En virksomhed skal simpelthen bare spærre for al trafik til de fire domæner, som bagmændene kontrollerer de inficerede maskiner gennem.

»Hvis man blokerer disse fire domæner, kan rootkittet ikke få opdateringer eller melde sig ind i botnettet. Men mange virksomheder har ikke gjort det endnu,« forklarer Peter Kruse.

Et rootkit adskiller sig fra andre typer af malware ved at gemme sig i helt centrale systemfiler. Det kræver en dygtig hacker at kode den slags, men de it-kriminelle bliver hele tiden bedre og rootkits er derfor i dag ikke et særsyn.

**LÆS OGSÅ **Sådan fungerer verdens mest ondskabsfulde rootkit

»Det modbydelige ved TDSS er, at det graver sig helt ned i maven på operativsystemet og undgår opmærksomhed fra antivirusprogrammer. Og endnu værre er det, at Intrusion Detection-systemer heller ikke vil opdage rootkittet,« forklarer Peter Kruse.

Al kommunikation til og fra command and control-serverne foregår nemlig krypteret via HTTPS, så det er umuligt for sikkerhedssoftwaren at analysere indholdet af trafikken og få nys om TDSS ad den vej.

Er en computer eller et helt netværk inficeret af TDSS, vil computerne blive indlemmet i et stort botnet, der i øjeblikket anslås til at rumme tre millioner zombier. Gruppen bag TDSS tjener så penge på at sælge botnet-maskiner videre til andre.

TDSS-infektion kan også være startskuddet til, at computerne bliver fyldt med en masse andet snavs, som for eksempel aflurer passwords og spionerer på firmaets computere.

For private er det nemmeste at downloade et værktøj, som antivirusfirmaet Kaspersky har udviklet. Det vil kunne opdage og fjerne de fleste varianter af TDSS, forklarer Peter Kruse.

Se hvilke domæner, der bør blokeres i CSIS' vejledning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Andersen

Virker det ikke lidt op ad bakke at skulle blokkere for enkelte domæner manuelt, dem ændrer de vel konstant ligesom spammerne?

Bare man kunne få sin ISP til at tage sig af den slags, blokkerer de ikke allerede for andet snavs?

  • 0
  • 0
Axel Hammerschmidt

skriver i sin bog - fra 2004 - Malware, Fighting Malicious Code, at man booter fra en CD når man vil undersøge for Rootkits.

Det kunne f.eks være med sin Vista DVD - System Recovery - Command Prompt, og så afvikle Kaspersky's tdsskiller.

Der er sikkert mange andre lignende måder. DI kunne udgive en bootbar CD med de nødvendige programmer til at rense en Windows installation for Rootkit og andet snavs.

  • 0
  • 0
Torben Bendtsen

I artiklen står der "Hvis man blokerer disse fire domæner"... 4 domæner! På CSIS hjemmeside er der listet 3 med ordene "Blandt de skadelige domæner" - og i debatten angiver Peter Kruse "Der er tale om ca. 40 forskellige domæner" samt "Om ikke andet så blokeres 22 af de 38".

Nu hvor virksomhederne så er skræmt fra vid og sans, har alarmeret it/sikkerhedsafdelingen (som skal på overarbejde for at sikre servere og arbejdsstationer ikke er ramt), hvorfor så ikke liste de famøse domæner så det ikke bare er PR for CSIS?

  • 0
  • 0
Lenny Hansson

Hej Med 10 min. søgning på nettet har jeg pt fundet disse domains der peger på TDCC.

94.228.209.145 01n02n4cx00.cc 0o0o0o0o0.com 19js810300z.com 1zabslwvn538n4i5tcjl.com 30xc1cjh91.com 7gafd33ja90a.com 91.212.226.67 a57990057.cn a579900578.cn clickpixelabn.com clkh71yhks66.com dogmamillions.com getbestbanner.com ijmgwarehouse.com j00k877x.cc justbannernet.com justbannernet.in justgomediainc.in lj1i16b0.com m01n83kjf7.com m2121212.cn n16fa53.com n1mo661s6cx0.com nichtadden.in pixelrotator.com rf9akjgh716zzl.com thinksnotaeg.com urodinam.net z0g7ya1i0.com zz87jhfda88.com

\Lenny

  • 0
  • 0
Lenny Hansson

Lidt opdateringer med lidt flere domains og et par Ip-adresser. Værsgod og leg DR.bad Domain administrator ;-)

94.228.209.145 01n02n4cx00.cc 0o0o0o0o0.com 19js810300z.com 1zabslwvn538n4i5tcjl.com 30xc1cjh91.com 7gafd33ja90a.com 91.203.92.121 91.212.226.67 a57990057.cn a579900578.cn clickpixelabn.com clkh71yhks66.com dogmamillions.com findzproportal1.com getbestbanner.com ijmgwarehouse.com j00k877x.cc justbannernet.com justbannernet.in justgomediainc.in lj1i16b0.com m01n83kjf7.com m2121212.cn n16fa53.com n1mo661s6cx0.com nichtadden.in pixelrotator.com rf9akjgh716zzl.com stableclickz1.com thinksnotaeg.com updatemics1.com urodinam.net youblognews.net z0g7ya1i0.com zz87jhfda88.com 94.247.2.107 (4 domains peger på denne IP som var i live tidligere i går)

  • 0
  • 0
Hans Schou

Hvis man blokerer disse fire domæner, kan rootkittet ikke få opdateringer eller melde sig ind i botnettet.

Jeg beklager mit dumme spørgsmål, men hvad er meningen med at blokere for nogle få udvalgte domæner? Det er kun dem der har installeret TDSS der har problemet, og problemet er ikke disse domæner, men at man har installeret TDSS.

Den rigtige løsning må da være at afinstallere TDSS.

Ellers hiv ledningen til internet ud af dit EDB-apparat.

  • 0
  • 0
Lenny Hansson

Hej Hans Fordelen for store netværk kan både være forbyggende samt være en måde hvorpå man kapper forbindelsen til det ondsindet rootkit/malware. Man bør dog samtidigt have styr på hvem ens klienter / serverer får lov til at foretage DNS opslag imod, ellers kan det vise sig at have ringe effekt. DNS opslag kan eks styres via virksomhedens firewall. Normalt er der ikke tale om enkelte domains, det er kun fordi det er et enkelt stykeke malware som her er tale om, man snakker om "få" domains.

Det mest praktisk ville nok være en contentfilter løsning, hvor en sikkerheds firma automatisk ligger disse ondsindet domains ind. Dog skal man altid sørge for at man selv har muligheden for at tilføje / fjerne indhold som virksomheden ikke/ønsker blokkeret. På denne måde bevarer vi friheden til at vælge selv med hensyn til blokkeringer og havd vi evt ønsker.

Jeg mener ikke det er den rigtige måde at vente på at blive eks. indficeret med TDSS før man afinstallere dette. Der kan gå lang tid før dette bliver opdaget, og imellemtiden har du en klient som eks bliver tappet for kritiske oplysninger uden du ved af det. Det rigtigste her ville være en form for content filtrering. Dog er det ikke en "silver bullit" på alle malware problemer.

\Lenny

  • 0
  • 0
Log ind eller Opret konto for at kommentere