Per Hellqvist om IT-säkerhet och sånt

Under natten har någon spammat ut elak kod. Brevet kommer utan ämnesrad och med ett enda ord i: “Price”. Bifogat finns en zip-fil. Packar man upp den installeras en trojan med namnet Tooso. Den finns i minst två varianter Tooso.A och Tooso.B, men det kommer med största sannorlikhet många fler. I princip är Tooso en variant av W32.Beagle, men utan masspostningen. Kvar blir då en nedladdningstrojan.

Den har mycket hyss för sig. Den stänger ned processer som hör till olika skyddsprogram, därefter tar den bort nycklar i Registret så att programmen inte startar upp när man startar om datorn och efter det raderar den även filer på hårddisken som är kopplade till skyddet i datorn. Till sist lägger den in en massa adresser i Hosts-filen så att man inte kan surfa till en massa säkerhetssajter.

Den försöker även ladda ned en fil från en massa olika sajter runtom. Det finns ingen fil där just nu, så vi vet inte vad den kan tänkas innehålla. Det är långt ifrån säkert att det ens kommer nån fil dit, så det är onödigt att spekulera i vad en sån fil skulle kunna göra.

Dessutom har det idag dykt upp ett antat nya varianter av Beagle, men ingen har fått någon vidare spridning än så länge.

Helt klart är att tiden för “oskyldigt” masspostande är förbi. Idag gör man en hel del med maskinerna man infekterar. Man stänger ned skydd och installerar trojaner, spam-klienter, DDoS-verktyg, bakdörrar, adware, spyware etcetcetc.

Det blir mer och mer nödvändigt att komplettera skydd på företagens datorer med t ex olika typer av brandväggar och IDS‘er. En IDS kan övervaka och larma när t ex registernycklar ändras och en brandvägg larmar när något nytt försöker kommunicera med internet. Jakten går vidare.

Taggar: Uncategorized

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.