Et nytt virus er i stand til å gjemme seg på din PC og våkne når du går inn i nettbanken.

Over 100 europeiske nettbanker skal være angrepet av viruset som blir kalt Mebroot.

Det er uhyre avansert og velskrevet. I tillegg er det svært effektivt når det gjelder å tappe kontoer.
Dag Arne Jerstad i F-Secure

Smitter via nettsteder

Mebroot er mer enn et virus. Ekspertene kaller det et malware-operativsystem. Malware er betegnelsen it-industrien bruker på fiendtlig programvare, mens virus egentlig er en ikke-teknisk samlebetegnelse.

Dette programmet infiserer brukerne ved at koden er «smuglet» inn på populære nettsteder. Når så disse nettstedene klikkes på av brukerne, blir den skadelige koden umerkelig overført til brukermaskinen.

Opp mot 50.000 nettsteder om dagen skal i perioder har blitt smittet av Mebroot.

Uhyre komplisert

F-Secure og Symantec, de to sikkerhetsselskapene som har oppdaget og forsket på Mebroot, mener at Mebroot er det aller mest avanserte og treffsikre fiendtlige dataprogrammet de har sett så langt.

Det er ennå ikke avdekket hvem som står bak, men det er uhyre komplisert teknologi som er tatt i bruk. Programmet er usynlig for antivirusprogrammer og benytter avansert kryptering.

På den måten kan en infisert maskin «snakke» med andre maskiner og arrangere et samlet angrep.

Immunt mot antivirus

Teknikken som brukes av Mebroot programmet er mildt sagt skremmende. Miko Hyppönen, en anerkjent finsk sikkerhetsekspert, forklarer hvordan det virker i sin blogg:

Programmet installerer seg på dypeste nivå i Windows og skriver sin egen oppstartskode.

Når en infisert maskin startes opp, lastes Mebroot først, uten at dette merkes gjennom oppstarten av Windows. Mebroot skjuler alle endringer det gjør i det infiserte systemet og utnytter udokumenterte funksjoner i Windows

Programmet oppretter et komplekst system for nettverkskommunikasjon. Store deler av programkoden er svært godt skjult.

Unngår analyse

Ved å benytte en svært komplisert installeringsmekanisme omgås sikkerhetsprogrammer og en automatisk analyse vanskeliggjøres. Derfor blir det så å si umulig for vanlige antivirus-programmer å oppdage den skadelige programkoden.

Maskiner som blir smittet, inngår i et kapret nettverk av maskiner. Kommunikasjonen med andre maskiner (i et såkalt botnet) er kryptert med høynivå-kryptering.

Det fiendtlige programmet er godt kvalitetsikret. Ifølge F-Secure krasjer Mebroot aldri maskinen det infiserer, selv om det kjøres på maskinens kjernenivå.

Fornyes stadig

Folkene bak Mebroot har registrert over 1000 com/net/biz-domener som brukes i kommunikasjon med andre kaprede maskiner.

Mebroot angriper over 100 europeiske nettbanker ved å forsøke å stjele penger fra brukere mens de er logget på med infiserte maskiner, ifølge F-Secure.

Symantec har lagt ut en oppskrift og et verktøy for å fjerne Mebroot .

Last ned Mebroot Removal Tool

Men ifølge F-Secure er det siden denne reparasjonen ble laget sist vinter, gjort en rekke endringer og «forbedringer» av det fiendtlige programmet. Videreutviklingen av Mebroot er forklart i teknisk detalj i et dokument fra F-Secure.

Registert i Norge

Også i Norge er det den siste måneden registrert hendelser der Mebroot (som også kalles torpig, anserin og sinowal) har vært involvert.

Det viser informasjon som har blitt innhentet fra Telenor SOC (TSOC), en avdeling i Telenor som sikkerhetsovervåker kunders nettverk hele døgnet.

TSOC melder også om økning av en annen bank/phishing-trojaner, Zbot (også kalt Prg/ wsnpoen/ Zeus /ntos), som primært har vært rettet mot spanske og britiske banker samt populære nettsteder som MySpace, eBay og PayPal.

- Lavere aktivitet

Men opplysningene fra norske varslingssteder er motstridende.

Ifølge NorCERT (Norwegian Computer Emergency Response Team), som overvåker og varsler om alvorlige internett-relaterte trusler og angrep, var norske banker mer utsatt for denne typen virus i 2006, mens aktiviteten siden det har gått ned.

Den nyere banktrojaneren Wsnpoen har vært rettet mot svenske, danske og finske banker, men ikke norske.

Det meldes om lav aktivitet fra norske bankers side og det kan jo tyde på at det er relativt liten utbredelse i Norge.
Vidar Sandland ved Norsk senter for informasjonssikring (NORsis)