Det farlige rootkit, ZeroAccess, inficerer mere end 30.000 maskiner i Danmark. CSIS har udviklet et gratis detektionsværktøj, der kan bruges til at afgøre, om din maskine er blandt de mange inficerede maskiner. Værktøjet findes her: https://www.csis.dk/da/private/zeroaccess/.
Kliksnyd, PPI og bagdør
ZeroAccess, som er et avanceret kernel rootkit, der bl.a. misbruges til at lave diverse former for Clickfraud (Kliksnyd), har ramt Danmark hårdt. Der er tale om et avanceret BOTnet redskab, der generer massevis af penge til bagmændene. Det sker igennem systematisk kliksnyd og "Pay Per Installs" (PPI). Udover at misbruge inficerede maskiner til kliksnyd og PPI, åbnes der også en bagdør på maskinen, der kan føre til uautoriseret fjernadgang og potentiel datalækage.
Navnet "ZeroAccess" stammer fra en streng fundet i den binære kode "f:VC5releaseZeroAccess.pdb". Denne referer sandsynligvis til den projektmappe hvorfra koden er blevet kompileret. ZeroAccess findes i flere end 50 varianter hvoraf den nyeste som er blevet skudt ud via det centrale BOTnet er fra sidste uge. Denne trussel er særdeles dynamisk. Når man først er blevet inficeret vil de it-kriminelle have alle muligheder for at opdatere den skadelige kode og derved undgå detektion men også tilføje ny funktionalitet.
Dette er sandsynligvis den største isolerede infektion af maskiner i Danmark siden netværksormen Conficker/Downadup. Vi har udarbejdet et billede, der viser, hvordan de mange infektioner er spredt geografisk over hele landet. En prik kan sagtens repræsentere flere maskiner, da de geografisk kan ligge "ovenpå hinanden".
Top 5 værst ramte ISP'ere
Illustrationen herunder viser de 5 ISP (Internet udbydere) i Danmark hvor der er registreret flest inficerede maskiner.
Bemærk, at det reele tal af registrerede infektioner kan variere grundet dynamisk IP adresse tildeling. Det er dog vejet op mod det forhold, at der kan være flere inficerede maskiner bag udstyr der NAT'er (http://da.wikipedia.org/wiki/Network_Address_Translation).
Vores Threat Detection kunder er netop nu ved at blev adviseret om infektionen.
Heimdal Pro og gratis detektionsværktøj
CSIS detekterer ZeroAccess i Heimdal Pro og Corporate og blokerer endvidere for dette rootkits mange domæner (C&C servere), som dannes løbende gennem en DGA (Domain Generating Algorithm), http://en.wikipedia.org/wiki/Domain_Generation_Algorithm. CSIS Secure DNS kunder vil kunne opdage infektioner der slår ud som "ZeroAccess" C&C servere.
CSIS vil i morgen (tirsdag) frigive et gratis detektionsværktøj, så man kan checke, om man er inficeret med ZeroAccess rootkittet. Værktøjet vil blive postet her på vores hjemmeside.
Beskyttelse mod ZeroAccess og andre BOTs!
Den mest effektive metode der findes, til at undgå at blive inficeret af denne type virus, er løbende at opdatere de programmer man har installeret på sin PC. Det er primært tredjepartsprogrammer, herunder Adobe Reader/Acrobat, Java JRE, Adobe Flash og sårbarheder i disse som udnyttes til at inficere Windows maskiner. Vi har set flere exploitkits levere ZeroAccess virussen, men mange infektioner stammer fra det kommercielle exploitkit Blackhole. De sårbarheder der udnyttes i Blackhole, og som fører til infektion, kan forhindres ved at bruge Heimdal Security Agent som tilmed er gratis for private brugere. Heimdal Security Agent kan hentes gratis her: https://www.heimdalagent.com/da/home. Heimdal Security Agent kører på alle supporterede versioner af Microsoft Windows og er det rigtige supplement til din Antivirus beskyttelse.
ZeroAccess rammer kun Windows
ZeroAccess inficerer udelukkende Microsoft Windows maskiner. Mac, Linux, og andre operativ systemer er ikke berørte af denne epidemi.
↧
CSIS Nyheder: Farligt rootkit invaderer Danmark
↧