Uhyggelig enkelt å lage datavirus

Et enkelt program lar hvem som helst lage virus, ormer og trojanere. Se her hvordan det virker.

13. mars 2007 - 07:35

Hver dag gjør ondsinnede og kriminelle elementer millioner av forsøk på å invadere Internett-tilknyttede datamaskiner. Det gjøres på mange forskjellige måter. En typisk framgangsmåte er å sende e-post med såkalte trojanske hester eller trojanere.

Man skulle kanskje tro at det krever store forkunnskaper for å lage og sende ut nye trojanere, men det er ikke tilfellet. Alle som ønsker det, kan få kjøpt verktøy som gjør dette svært enkelt.

Et slikt verktøy står bak trojanerne som kalles A-311 Death eller Haxdoor. Det er utviklet i Russland og har eksistert i minst tre år, men er fortsatt mye brukt for å lage skadevare til Windows. Det koster for tiden omtrent 3500 dollar.

digi.no har fått demonstrert en eldre utgave av Haxdoor hos den norske antivirusleverandøren Norman. Snorre Fagerland, virusanalytiker hos Norman, understreker overfor digi.no at selskapet ikke har betalt for verktøyet.

– Det er en piratkopi. Vi ønsker ikke å gi penger til organisert kriminalitet, forklarer han.

Haxdoor består av klientdel og en konfigurasjonsdel. I tillegg kommer en serverdelen, som er den delen man vil lure offeret til å installere og spre videre.

Fagerland forklarer at så snart offeret har installert trojaneren, kan avsenderen oppnå full kontroll over den infiserte maskinen.

– Via klientdelen kan den kriminelle se hvilke prosesser som er i gang, se hvilke vinduer som er åpne, få tilgang til å se og endre Windows-registret eller filer i filsystemet, samt starte nye prosesser eller skru av maskinen, sier Fagerland.

I tillegg kan trojaneren fungere som en keylogger, det vil si at den kan registrere alt brukeren skriver på tastaturet, inkludert passord og kredittkortnummer.

    Les også:

Fagerland forteller at mange Haxdoors også er rootkits, det vil si at de ikke er synlige verken i filsystemet, registeret eller i prosesslisten. Men versjonen Norman har av programvaren, har ikke støtte for dette.

Fagerland demonstrerte for digi.no hvordan en slik trojaner kan lages på omtrent et halvt minutt med det russiske programmet som er vist nedenfor. Det var skremmende enkelt.

– Haxdoor er veldig lett å konfigurere. Man trenger ingen forkunnskaper i det hele tatt, mener Fagerland.

Konfigurering av Haxdoor

Klientverktøyet for oppkobling mot Haxdoor

Selv om det er mulig å lage trojanere med forskjellige profiler med det verktøyet Fagerland demonstrerte, vil de fleste bli fanget opp av antivirusverktøy, også hvis de har en profil som ikke er identisk med noe som er blitt registrert tidligere. Dette fordi mange av egenskapene uansett vil være felles med andre trojanere i den samme familien.

– Det krever mer teknisk kunnskap for å få den til å gå udetektert gjennom antivirusverktøy, sier Fagerland.

– Men det er et evig kappløp. Malware ble tidligere benyttet over en månedsperiode. Nå kommer de og er borte igjen i løpet av et døgn. For ti år siden var denne typen malware en begivenhet. I dag får i inn omtrent 3000 filer om dagen, hvorav kanskje 2500 er malignt og unikt, forteller han.

Det meste behandles hos Norman av automatiske prosesseringssystemer som kalles «monkeys». Disse trekker ut så mye informasjon som mulig, som legges i antivirusfiltrene. Kun i spesielle tilfeller må mennesker behandle informasjonen ytterligere.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.