De fleste spion-programmer er ikke kritiske - de bare belaster maskinen og servere annonser. Men på onsdag varslet sikkerhetsselskapet Sunbelt om en spesielt slem versjon som hadde rukket å infisere flere millioner brukere.
Sunbelt kalte programmet for en ny versjon av Coolwebsearch, et hittil vanlig spionprogram som primært har vært kjent fordi det har vært så vanskelige å fjerne. Sunbelt advarte spesielt mot den nye versjonen fordi programmet nå var blitt en avansert keylogger som snappet opp inntastet tekst. Dette overføres til en serveren som står i USA, og som er eid av et selskap som er registert i Kina.
Nå har Sunbelt og CounterSpy plukket fra hverandre spionprogrammet og laget en løsning. Spionprogrammet er dessuten døpt om, for som norske Norman fortalte digi.no på onsdag at Coolwebsearch er et blitt en gruppenavn for mange forskjellige spionprogrammer. Sunbelt og CounterSpy kaller nå programmet for Srv.SSA-KeyLogger.
Beskrivelsen av hva programmet gjør viser hvor sofistikerte spionprogrammer er blitt - til tross for at programmet bare er 26 KB stor, i følge CounterSpy.
Srv.SSA infiserer Internet Explorer og overvåker hva man taster inn og leter etter en liste med ord. Hvis ord som money, bank, shopping, bet, login, paypal og 41 tastes inn eller blir klippet/limt inn, begynner programmet å lagre informasjonen. Når filen kommer over en viss størrelse, overføres filen til svindlernes server.
Programmet stjeler også passord fra en rekke FTP-programmer personlig finans-programmer som er er populære i USA.
Men det verste er kanskje at hele filen som Internet Explorers auto-complete lagrer snappes opp - her lagrer mange brukere ofte mange IDer og passord.
Som om ikke dette var nok, blokkerer Srv.SSA-KeyLogger også også tilgangen til nettsidene til en lang rekke sikkerhetsselskaper, blant annet Trend Micro, McAfee, CA, F-Secure og Symantec. Dermed er veldig mange brukeren forhindret fra å oppdatere sine sikkerhetsløsninger, men norske Norman står ikke på listen.
Srv.SSA er primært rettet mot engelsk-språklige brukere, men mange av ordene som aktiverer lagring er de samme på norsk, for eksempel bank eller login. Counterspy påpeker at programmet har smittet brukere over hele verden.
Til glede for verdens PC-brukere, har selskapet laget et eget sjekk-og-fjern-verktøy.
Her kan du lese hele CounterSpys analyse av Srv.SAA-Keylogger.
