28/09-04 - Pressemeddelelse

Stigende trussel fra BOTNET enablede trojanske programmer

eSec oplever stigende aktivitet fra trojanske programmer der indgår i BOTNET. Et BOTNET er en række PC´er der er inficeret med et program der forbinder sig til en IRC server og bliver fjernstyret derfra.

IRC er egentlig en chat-protokol der fungerer meget som MSN Messenger og der findes et stort antal offentlige IRC servere på Internettet. Et BOTNET benytter den struktur til at lade "ejeren" - en hacker - fjernstyre et større eller mindre antal inficerede PC´er - "zombies". Den inficerede PC melder sin eksistens med en særlig udformet chat meddelelse og ejeren kan svare tilbage med en chat meddelelse der i virkelighed er en kommando. Kommadoen kan betyde: angrib den og den adresse med et Denial-of-service angreb, download og installer et program, opsamle trafik fra det lokale netværk osv.

De mest kendte trojanske programmer i denne familie er Agobot og SDbot. Kildeteksten til disse programmer har været offentliggjort og det betyder at der findes mange tusinde varianter. Det bevirker at anti-virus programmerne ikke har signaturer på alle de eksisterende varianter og vi har set flere gange at PC´er der blev opdaget på grund af suspekt trafik viste sig at indeholde et trojansk program der endnu ikke var kendt af antivirusprogrammet.

SANS har bragt en historie om hvor galt det kan gå hvis disse programmer får lov at brede sig på et virksomhedsnetværk:

Teknisk Chef Peter Jelvers danske oversættelse kan læses her: http://isc.sans.org/diary20040925dk.php