Spion-versting er blitt enda farligere

En mindre kjent versjon av spion-programmet Coolwebsearch er langt farligere enn tidligere kjent.

Spionvare gikk i løpet av 2004 fra å være en sjeldenhet til å bli en kjempeproblem for verdens PC-brukere. De fleste spionprogrammene er dog ikke så farlige - de servere bare annonser, selv om dette tynger maskinen og irriterer brukeren.

Coolwebsearch ble tidlig kjent som verstingen blant spionprogrammene fordi programmet kunne være umulig å bli kvitt. Programmet delte seg opp i flere biter som reinstallerte hverdandre hvis en ble fjernet.

Men det finnes etterhvert mange titalls versjon av Coolwebsearch og navnet brukes nå som samlebetegnele på flere ulike programmer som hver finnes i forskjellige versjoner, forklarer Tom Bonner, virusanalytiker hos norske Norman.

Nå melder Normans amerikanske konkurrent Sunbelt om alarmerende nyheter. En spesiell versjon av Coolwebsearch har trolig spredd seg til "flere millioner" maskiner og viser ikke bare reklame. Programmet er en full keylogger som er satt opp til å snappe opp passord, bankkonto-nummer og alt annet som passerer igjennom den infiserte PCen.

I tillegg starter Coolwebsearch-versjonen å sende ut spam som den mottar fra en sentral server som står i USA, og er eid av et selskap som er registert i Kina. Denne versjonen av Coolwebsearch er altså ikke det originale, mindre ondsinnede programmet som styres fra coolwebsearch.com.

- Vi kjenner til versjoner av Coolwebsearch som fungere som keyloggere, men hittil har de ikke vært spredd bredt. Dette kan man måle og det er svært bekymringsfullt at Sunbelt melder om flere millioner infiserte brukere, sier Bonner til digi.no.

Stemmer informasjonen, er dette blitt et mye større problem enn tidligere kjent, tilføyer Bonner.

Virusanalytikere forteller at Normans programvare stopper de mest kjente versjonene av Coolwebsearch, men hvor mye Norman dekker er det vanskelige å si.

- Bransjen har ikke noe system for å skape versjonsnummer og skille trusler entydig fra hverandre. Jeg vet derfor ikke om vi har sett denne Coolwebsearch-versjonen Sunbelt beskriver eller om vi klarer å stoppe den, forteller Bonner.

Han vet derfor ikke hvordan akkurat denne versjonen spres.

- Coolwebsearch fremstår i mange versjoner. Noen utnytter ikke-sikrede nettleser og smitter når brukeren går inn på hackerens nettside. Andre følger med usynlig når man installerer gratisprogramvare. Coolwebsearch er også kamuflert som et nyttig søkeprogram, forteller Bonner.

Til toppen