Trojansk hest samler brukerdata og sender det til Kina

Norske databrukere advares mot et ondsinnet dataprogram kalt picture.exe som nå herjer i USA. Programmet samler inn informasjon fra PC-brukerens harddisk og sender det til en e-post-adresse i Kina. Virusekspert Per Hansen i PDI Consult karakteriserer "nyvinningen" som alvorlig.

For ordens skyld: Picture.exe er ikke et virus i tradisjonell forstand, men en Windows-basert såkalt trojansk hest.

- Dette er en type ondsinnede programmer som vi for første gang stiftet bekjentskap med i juni i fjor da Word Macro/PolyPoster ble oppdaget, forteller Hansen.

I motsetning til PolyPoster, som publiserer innholdet i de Word-dokumentene du jobber med på en rekke nyhetsgrupper, så sender picture.exe den brukerinformasjonen det samler inn - som brukernavn og passord - som en kryptert DAT-fil til e-postadressene chinafax@263.net og abreb@hotmail.com.

Amerikanske databrukere oppdaget den nye trojanske hesten fredag for en uke siden, da mange ble spammet gjennom hele den påfølgende weekenden. Network Associates opplyser at de allerede på mandag ble nedringt med spørsmål om den nye trojanske hesten.

Ifølge lederen for Network Associates' såkalte "antivirus emergency response team", Vincent Gullotto, er mange land allerede rammet av spammingen, som ifølge Gullotto sprer trojaneren på en svært effektiv måte.

Hva skal du så se etter for å finne ut om du er rammet?

Picture.exe kommer som et vedlegg i en e-post. Dersom du får en slik post, ikke åpne den vedlagte filen, men slett hele posten. For dersom du åpner vedlegget, legger programmet en fil som heter manager.exe ned på PC-en din. Manager.exe frigjør så filen note.exe som hekter seg på en underkatalog i Windows, der filen søker etter informasjon på ulike disker og krypterer det innholdet en finner. Neste gang PC-en startes, lager så note.exe en liste med URL-er og manage.exe kjøres i et forsøk på å sende informasjonen til den kinesiske e-post-adressen chinafax@263.net.

- Er du rammet av picture.exe er det forsåvidt bare å slette de filene programmet inneholder, forteller Per Hansen, som likevel anbefaler deg å skifte alle brukernavn og passord etterpå - i tilfelle brukerinformasjon fra din maskin er registrert og videresendt til Kina.

Sjefen for PDI Consult - som er et såkalt Data Fellows-sertifisert antivirussenter - opplyser at det er lagt ut en feilfiks for trojaneren picture.exe på en av selskapets ftp-servere (se peker til nettstedet i margen til høyre). I tillegg har Network Associates lagt ut deteksjonsprogrammer på sitt nettsted (www.nai.com) for å hjelpe brukere til å finne picture.exe på sine PC-er.

Trojaneren det her er snakk om sprer seg ikke selv. Den kan fjernes ved simpelthen å slette note.exe-filen og den originale bærefilen picture.exe. Og for å gjenta det: Det anbefales at du endrer dine brukernavn og passord dersom du frykter at du er berørt av trojaneren som ble spredd mellom jul og nyttår.

Til toppen