- Nytt datasnok-verktøy spres per e-post

Antivrusleverandøren Network Associates Inc. advarer nå mot et nytt fjernkontroll-verktøy, kalt BackDoor-G, som spres som vedlegg i e-post. Dersom du aktiverer vedlegget kan en utenforstående ta kontroll over PC-en din.

BackDoor-G opererer ifølge Network Associates mye på samme måte som Netbus og BackOrifice (se pekere til relaterte saker nedenfor eller i margen til høyre). Netbus har siden "skiftet side" og er nå mye brukt som et helt legalt, fjernstyrt systemadministrasjonsverktøy.

Network Associates (NAI) klassifiserer BackDoor-G som en trojansk hest, det vil si et program som gjør noe helt annet enn det det utgir seg for å skulle gjøre når det blir eksekvert. Antivirusselskapet betegner foreløpig BackDoor-G som en "high risk"-inntrenger.

- Vi sier det er farlig fordi vi ennå ikke vet hvor det kommer fra og vi undersøker fremdeles i hvor stor grad det er blitt spredd, sier markedssjef Sal Viveros i NAI til Newsbytes. Viveros beskriver BackDoor-G som "siste skrik" i en bølge av sikkerhetstrusler som er krysset med hverandre og som bidrar til å viske ut grensene mellom kjente virustyper, utnyttelse av sikkerhetshull og ondsinnet programkoding.

NAI hevder at selskapets nyeste antivirus-versjoner både vil oppspore og kurere problemet på infiserte PC-er, selv om BackDoor-G ikke teknisk sett kan klassifiseres som et virus. BackDoor-G opptrer som regel som et tilsynelatende harmløst vedlegg i en gruppeutsendt e-post (spam). NAI har for eksempel sett vedlegg som har vært navngitt som både skjermsparere og spill-oppdateringer. Dersom e-post-mottakeren klikker på vedlegget, installerer det seg selv på harddisken og skaper et åpent hull inn til systemet.

- Vi ser stadig mer til denne typen angrep, sier Viveros, som opplyser at NAI oppdaget den nye trojaneren sist onsdag. Så langt har datasnok-jegerne ikke oppdaget noe mønster i utsendelsen av BackDoor-G, det er foreløpig ingen ting som tyder på at de er rettet mot spesielle virksomheter, eksempelvis banker.

BackDoor-G gir en eventuell hacker så å si ubegrenset (fjern)tilgang til den infiserte datamaskinen (kun PC-er med Windows 95 eller Windows 98 som operativsystem kan rammes) over Internett. Dersom programmet aktiviseres skjer det nesten umerkelig for brukeren, selv om filene som BackDoor-G installerer i Windows- og Windows/System-mapper lett kan oppspores på infiserte PC-er.

Slik skjer det: Den første filen som installeres, BackDoor-G.ldr, legges i Windows-mappa og fungerer som en lasteinnretning for trojaner-serveren. Fil nummer to, selve trojaneren, heter BackDoor-G.srv og legges på samme sted. Det er denne delen av programmet som mottar og utfører kommandoene via Internett.Den inneholder en DLL-fil som heter WATCHING.DLL eller LMDRK_33.DLL som programmet kopierer til Windows/System-mappa. Trojaner-serveren overvåker så Internett for å fange opp eventuelle forbindelser til klientprogrammet, identifisert som BackDoor-G.dll ifølge NAI. Andre filer du kan være på utkikk etter er klientprogrammet BackDoor-G.cli og et konfigurasjonsprogram NAI har identifisert som BackDoor-G.cfg.

Men NB! Alle filnavnene som er oppgitt ovenfor er bare en veileder - konfigurasjonsprogrammet kan nemlig også benyttes til å endre navnene til filene som benyttes.

Det beste rådet digi.no kan gi er at du kontakter din leverandør av antivirusverktøy og spør om den programversjonen du har også tar knekken på trojaneren BackDoor-G.

Til toppen