Sådan fungerer verdens mest ondskabsfulde rootkit

Se hvordan rootkittet TDSS kan overtage en computer fuldstændigt, og gemme sig så godt, at antivirus-software ikke har en chance for at opdage noget.

Måske er din computer en af millioner af zombier i et Windows-botnet. Men det kan være svært at afgøre, for de it-kriminelle bruger meget avancerede våben, som kan snyde antivirus-softwaren fuldstændigt.

To malwareforskere hos Kaspersky Labs har dissekeret version 3 af rootkittet TDSS, som de kalder det mest sofistikerede og stærke rootkit til dato. Og i den grundige gennemgang kan man se, hvor meget umage bagmændene gør sig for at undgå, at TDSS bliver opdaget.

Rootkittet bliver spredt gennem leverandører, som sørger for at lokke internetbrugere til at installere softwaren. Det kan være gennem den klassiske 'du mangler et video codec - tryk ja til download' eller ved at skjule rootkittet i et program, der genererer licensnøgler til piratkopieret software. Prisen pr. tusind succesfuld installation afhænger af hvor i verden, det er. I EU kan det være 100 dollars, altså cirka 60 øre pr. installation.

Når først TDSS er downloadet, kaster den sig over centrale drivere i Windows, hvor den gemmer en stump kode. For eksempel Atapi.sys, der styrer harddiske. Dermed bliver rootkittet indlæst som noget af det allerførste.

TDSS nøjes ikke med at bruge filsystemet i Windows, men indlæser også sit helt eget, for at gemme sig bedre. Desuden giver kontrollen over harddisk-driveren også mulighed for at styre, hvad for eksempel antivirussoftware får lov til at læse fra disken. Det er en af grundene til, at rootkittet kan skjule sig så godt.

Hackerne bag TDSS sørger også for hele tiden at opdatere rootkittet og imødegår altså konstant eventuelle 'trusler' fra antivirus-fronten. Al kommunikation med de centrale servere, der styrer TDSS, foregår krypteret over https og bliver også skjult godt.

I sig selv er TDSS ikke proppet med software, der kan give bagmændene en økonomisk gevinst. Men den rummer blandt andet muligheden for at give offeret falske resultater, når der bliver søgt på Google eller en række andre populære sider. Dermed kan der dirigeres store mængder trafik til bestemte sider.

Men TDSS kan også snildt downloade ny 'payload', altså den software der skal give økonomisk gevinst, hvis det bedre kan betale sig. De inficerede computere bliver også solgt videre i pakker på 20.000 styk som botnets, som køberen så kan bruge efter behov.

I 2009 blev antallet af TDSS-ramte computere anslået til tre millioner på verdensplan, heraf halvdelen i USA.

Læs mere om de tekniske detaljer i rootkittet TDSS i Kasperskys gennemgang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Allan Kristensen

Læste artiklen. Spændende læsning - Er nogle dygtige folk der laver sådan noget. Tænker nu alligevel - Hvad er det der skulle gøre at det samme ikke kan ske på Linux? Root-access? Nu er jeg ikke ekspert i Linux (eller Windows), men kan man ikke opnå det samme i Windows ved ikke at bruge en administrator-konto, eller enable UAC?

Selvom det her rootkit er godt skruet sammen, kræver det jo at brugeren kører noget kode før computeren kan blive inficeret..

Martin Bøgelund

Det er sjovt som visse personer konstant føler et behov for at fortælle at de ikke længere bruger Windows - gad vide om det er for at imponere "banden" herinde?

Noget af det jeg finder mest tiltalende ved Linux-miljøet, og open source-miljøet generelt, er at man straks går i løsnings-mode, og altid er parat til frit at dele ud af sine gode råd og erfaringer.

Ser man malware som et problem, kan et skift væk fra det operativsystem, som de facto rammes oftest af malware, være en løsning.

Men der er også andre ting man kan gøre i de problemstillinger som artiklen nævner.

Antivirus-firmaer og andre stiller [i]rescue-CD's[/i] til rådighed, som man kan boote fra og scanne sin harddisk med. Iøvrigt er disse værktøjer ofte Linux-baserede.

Fordelen er åbenlys: Et kompromitteret system som forkvakles i en sådan grad, som nævnt i artiklen, bliver scannet af et andet system som ikke er kompromitteret. Malware har derfor ikke de bedste kort på hånden i denne gemmeleg.

Her er f.eks. en liste over nogle gratis rescue-CD's:
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

Venligst Slet Min Bruger

Noget af det jeg finder mest tiltalende ved Linux-miljøet, og open source-miljøet generelt, er at man straks går i løsnings-mode, og altid er parat til frit at dele ud af sine gode råd og erfaringer.

Bestemt - og det er en dejlig ting, så længe det foregår i en god tone, hvilket man næppe kan sige Maciejs indlæg. I øvrigt har jeg meget, i mine unge dage, søgt hjælp til redhat og debian på div. forums og irc, og der var hjælpen ikke ligefrem venlig. Det er dog blevet noget bedre nu, bl.a på ubuntudanmark.

Ellers er jeg helt enig i dit indlæg, der findes mange gode værktøjer derude. Og langt størstedelen er i øvrigt linux-baserede som du skriver. Har flere gange haft glæde af ultimate-bootcd til at resette lokal-admin password på div. maskiner på arbejdet.

I samme åndedrag kan nævnes BartPE, der er en windows-baseret live/rescue-cd :-)

Lars Lundin

I øvrigt har jeg meget, i mine unge dage, søgt hjælp til redhat og debian på div. forums og irc, og der var hjælpen ikke ligefrem venlig.

Så har du brugt forkert spørgeteknik.

Forkert:
"Jeg er begyndt at bruge Linux, og kan ikke finde ud af at ..." resulterer i fornærmende svar om hvor dum man må være når man ikke engang kan læse drivernes kildetekst, og om nødvendigt rette i dem.

Rigtigt:
"Jeg er Windows-bruger, og kan ikke forstå at det i Linux ikke er muligt at ..." resulterer i en flod af tilbagemeldinger om hvor godt Linux fungerer, og hvordan man præcis løser det givne problem.

:-)

Christian W. Moesgaard

Denne her virus kunne lige så godt være skrevet til Linux som til Windows. Det er irrelevant.

Jeg er så dræbende træt af at høre om hvor sikker Linux er. Det eneste den overlegenhed resulterer i er, at I engang vågner op og Linux måske har overtager Windows i OS-krigen, men nu bliver alle vira skrevet til Linux, og problemet er større end nogensinde.

Vi har allerede set det en gang: Firefox vs. IE.

Den umiddelbare fordel man har i Linux-verdenen er den åbne natur, og det endte også med at blive Firefox' foredel: Et antivirus firma behøver ikke at skrive en antivirus. Næ, de ændrer bare systemet indtil virusen er umulig at eksekvere, og det vil de blive ved med til vi står med vira som den beskrevet i denne artikel - men at der reelt set ikke er nok til, at det udgør en trussel.

Henrik Pedersen

+1 for at ramme hovedet på sømmet! :)

Og hvis der virkelig er noget Windows kan som Linux ikke kan skal et par af dem nok sætte sig ned 48 timer i træk og få Linux til det.. Alt andet ville være en plet på deres stolthed ! :D

Slet ikke for at gøre grin med linuxbrugerne. For jeg kan rent faktisk tilslutte mig til dem nu, da jeg for nyligt fik nok af Windows Server - Vi er nu nede på en enkelt af de tingester, og resten er Linux :)

Brugte også Linux for leden dag da jeg skulle redde min mors data på hendes gamle harddisk. Sjovt nok måtte jeg ikke det for windows da jeg "ikke havde rettigheder" til at åbne denne mappe, og uanset hvad jeg prøvede måtte jeg bare ikke åbne hendes mappe på den eksterne disk.

Så kom gode gamle Linux Mint (min personlige favorit, faktisk primært pga den flotte baggrund xD) til undsætning (via et usb boot) og lod mig kopiere alle filerne over til hendes pc uden filrettighederne, og helt uden diskutioner!.

Morten W. Jørgensen

Hvad er det der skulle gøre at det samme ikke kan ske på Linux? Root-access?

Nu er jeg heller ikke linuxsikkerhedsekspert, men lidt ved jeg dog. Og de store kanoner har ikke svaret endnu, så her kommer min besvarelse på dit spørgsmål "Blandt de blinde er den enøjede konge".

Jo. Der findes skam rootkits til linux. Flere af slagsen endda og de virker glimrende. Den helt store forskel er nok udbredelse af de forskellige operativsystemer samt det, at linuxbrugere traditionelt har været meget mere forsigtig med at eksekvere kode med root privilegier.
På samtlige private windows maskiner jeg har set i tidens løb har der altid været autologin af administrator, og så er det jo let at påstå at brugeren "...mangler et codec for at se AnaKurnikovaNaked.avi.exe..." og narre sig til systemprivilegier.

Se f.eks. http://www.sans.org/reading_room/whitepapers/linux/901.php for en mere udtømmende forklaring.

Maciej Szeliga

Tænker nu alligevel - Hvad er det der skulle gøre at det samme ikke kan ske på Linux? Root-access? Nu er jeg ikke ekspert i Linux (eller Windows), men kan man ikke opnå det samme i Windows ved ikke at bruge en administrator-konto, eller enable UAC?

Det kræver root access på alle UNIX'er (også Linux) eller Admin-afkrydsning i OS X
Hele konceptet med rootkit kommer fra UNIX deraf navnet: kit til at opnå root.

Selvf. kan det forhindres i Windows som du skriver, medmindre installationskoden udnytter et eller andet hul i Windows som IKKE befinder sig 40 cm fra skærmen, folk vil bare ikke køre uden Admin på Windows "fordi det er så besværligt" (det er ikke min påstand, jeg kører f.eks. altid Windows uden Admin medmindre jeg skal administrere).

Maciej Szeliga

Tænker nu alligevel - Hvad er det der skulle gøre at det samme ikke kan ske på Linux? Root-access? Nu er jeg ikke ekspert i Linux (eller Windows), men kan man ikke opnå det samme i Windows ved ikke at bruge en administrator-konto, eller enable UAC?

Det kræver root access på alle UNIX'er (også Linux) eller Admin-afkrydsning i OS X
Hele konceptet med rootkit kommer fra UNIX deraf navnet: kit til at opnå root.

Selvf. kan det forhindres i Windows som du skriver, medmindre installationskoden udnytter et eller andet hul i Windows som IKKE befinder sig 40 cm fra skærmen, folk vil bare ikke køre uden Admin på Windows "fordi det er så besværligt" (det er ikke min påstand, jeg kører f.eks. altid Windows uden Admin medmindre jeg skal administrere).

Robert Larsen

Jo. Der findes skam rootkits til linux. Flere af slagsen endda og de virker glimrende.

Kan du give mig et eksempel på et rootkit som virker glimrende til Linux ? For jeg har faktisk ledt nettet godt og grundigt igennem uden resultat. Jeg fandt Adore, men det kunne ikke installeres.

PS: Jeg mener faktisk mit spørgsmål. Kan nogen pege mig i retning af et rootkit som virker på en moderne Linux kerne ?

Nicolai Møller-Andersen

Debatten om linux versus Windows er ganske rigtigt ved at være lidt træls. Den er ensformig og usaglig. Det undrer mig, at der slet ikke er nogen, som beskæftiger sig med de helt fundamentale arkitektoniske forskelle, der er systemerne imellem. Det burde være indlysende, at disse forskelle skaber forskellige livsbetingelserne for kode herunder ond kode.
Ganske vist bliver Windows mere unix-like for hver version, der udgives. Sådan har det været siden DOS version 2 udkom en gang i firserne, men der er stadig forskel, og der er stadig en arv - i begge systemer - som er betinget af hensynet til bagudkompabilitet. Er der slet ingen, som kan konkretisere de afgørende forskelle?

Martin Bøgelund

I øvrigt har jeg meget, i mine unge dage, søgt hjælp til redhat og debian på div. forums og irc, og der var hjælpen ikke ligefrem venlig.

Folk som bruger deres fritid på at kode, stiller software frit til rådighed under en open source licens, og måske yderligere bruger fritiden på at svare på spørgsmål fra brugere i online-fora, må som udgangspunkt betegnes som flinke og hjælpsomme mennesker, som fortjener tak for deres arbejde.

Uanset hvor hjælpsomme de er, er de dog stadig mennesker. Der kan ryge en finke af panden fordi de har haft en dårlig dag, for eksempel. De kan blive stødt over en uheldig formulering i et spørgsmål, eller fordi de savner den velfortjente anerkendelse for deres indsats.

Desuden kan de blive frustreret over at have skrevet et svar i både forum, FAQ og manual, og så kommer bruger nummer 500 og stiller samme spørgsmål på online-forummet igen, uden at værdsætte den tid som folk bruger på at svare; står svaret i dokumentationen, risikerer man at få en spids kommentar hvis man stiller spørgsmålet i online-forummet igen.

Jeg læste en gang om en analyse der sagde, at havde man haft en god erfaring med et produkt eller en virksomhed, fortalte man det til 3 personer i sin omgangskreds. En dårlig erfaring blev delt med 20 personer.

En dårlig erfaring i en Linux-supportsituation kan derfor hurtigt få ben at gå på, og jeg tror at den generelle Linux support er (og længe har været) meget bedre end de oplevelser du deler med os her.

Jeg har aldrig fået uforskammede svar, når jeg har fulgt disse to enkle regler:
1) Start med at sige en oprigtig tak for den software du har fået forærende, bruger med glæde, og nu søger hjælp til.
2) Fortæl om det grundige forarbejde du har lavet for selv at finde en løsning, herunder søgning i dokumentation, og angivelse af hvad der går galt ift. det forventede resultat.

Omkring 2/3 af mine spørgsmål finder jeg selv svaret på i punkt 2). Og klapper så mig selv på skulderen for ikke at have spildt søde, rare og hjælpsomme menneskers tid gennem min egen dovenskab. Nåh ja, så lærte jeg måske også et par ting i processen... Dem kan jeg måske bruge til at levere [i]svar[/i] i online-fora, i stedet for [i]spørgsmål[/i].

Der kan sagtens være en restgruppe af personer, der er ubehagelige overfor andre i et online-forum, uden at der er nogen reel grund til det. Det er min erfaring at disse individer udgør et flygtigt mindretal i det specifikke forum, og som efterfølgende selv får en spids kommentar for deres uforskammethed af de seriøse individer i forummet.

Venligst Slet Min Bruger

En dårlig erfaring i en Linux-supportsituation kan derfor hurtigt få ben at gå på, og jeg tror at den generelle Linux support er (og længe har været) meget bedre end de oplevelser du deler med os her.

Uden tvivl. Det skal dog siges, at jeg altid har gjort en dyd ud af at spørge pænt, og i øvrigt selv lede efter svaret først.

Det er muligt, det har været dumme spørgsmål (det har det garanteret), og det er bestemt også muligt at svaret har stået et eller andet sted på siden, men derfor kan man stadig godt svare pænt :)

Jesper Poulsen

Nu er jeg ikke ekspert i Linux (eller Windows), men kan man ikke opnå det samme i Windows ved ikke at bruge en administrator-konto, eller enable UAC?

Sagtens, hvis Windows er uden huller der kan give administratorprivelegier til "tilfældig" kode.

Jeg har 19 års erfaring med Windows og jeg tør ikke satse på at Windows er uden sådanne huller.

Log ind eller Opret konto for at kommentere