21/12-09 - Pressemeddelelse

Informationstyven Patcher er tilbage

Tidligere i 2009 blev mange danske computere ramt af virussen Patcher - nu er den tilbage igen. Flere tusinde maskiner i Danmark er inficeret.

Patcher er navnet på en raffineret informationstyv, som trods en generelt høj sikkerhed i de danske netbanker, er i stand til at gennemføre uautoriserede transaktioner fra inficerede maskiner.

Denne netbank tyv findes i mere end 100 forskellige varianter. Patcher er blevet plantet på ikke opdaterede systemer igennem såkaldte drive-by angreb. Det vil sige systematiske angreb, hvor en tilsyneladende uskadelig hjemmeside tilbyder et script som misbruger sårbarheder i browser og populære tredjepartprodukter, såsom Adobe Reader, Adobe Flash eller Microsoft Office. Af samme årsag anbefaler CSIS, at man opdaterer sin PC med alle relevante opdateringer.

Hvad er Patcher?
Patcher (også kendt som Multipatch/W32.Patch/BankPatch) er et userland kernel rootkit som "patcher" (heraf navnet) centrale Microsoft windows filer (kernel32.dll, powrprof.dll og wininet.dll) og gør "systemgendannelse" af filerne umulig efter infektion og genstart af maskinen. Det betyder, at den eneste måde at gennemføre en sikker rensning af en inficeret maskine er ved at geninstallere Microsoft Windows. Husk at tage kopi af dokumenter og billeder inden maskinen formatteres og Windows installeres på ny.

Patcher angriber udelukkende Microsoft Windows og kan IKKE inficere MacOSX eller Linux distributioner.

Den skadelige Patcher kode lister sig ind på systemer igennem såkaldt "klient side drive-by angreb", hvor den misbruger sårbarheder i software som ikke er forsvarligt opdateret. Patcher er designet til at angribe udvalgte mål og vil automatisk og uden yderligere advarsel eller symptomer downloade og køre supplerende komponenter på et inficeret system. De supplerende komponenter består bl.a. af et Browser Helper Object (BHO) som hooker sig til Microsoft Internet Explorer og foretager Man in The Browser funktioner. Indsamlede data gemmes først lokalt og transporteres derefter løbende til en frontend server i deres infrastruktur der foretager forskillige checks, hvorefter data sendes fra frontend servere og videre ind mod en MySQL understøttet backup server, som udelukkende kommunikerer med frontend serveren.

CSIS Sec-DNS beskytter mod datalækage
CSIS har i CSIS Sec-DNS oprettet samtlige Patcher relaterede domæner og beskytter derved vores kunder mod datalækage, ligesom vi naturligvis advarer vores kunder såfremt vi ser maskiner der forsøger at tilgå et Patcher domæne, hvilket vil indikere en infektion og risiko for overførsel af følsomme data.

Vigtigt at opdatere sin PC
Desværre opnår de mange variationer af Patcher kun yderst begrænset antivirus detektion (i gennemsnit 4/42), hvilket gør det særligt vigtigt, at husker at opdatere programmer man installerer på sin maskine. Flere af de programmer som misbruges til at tvangsfodre maskinen med den skadelige kode, vil typisk være at finde på en "præinstalleret" PC (!). Man bør derfor kontrollere om der anvendes seneste version af Adobe Reader/Acrobat, Adobe Flash, Sun Java JRE og Quicktime.

Det er samtidig vigtigt, at man er i besiddelse af en legitim licenseret version af Microsoft Windows, så man løbende kan installere sikkerhedsopdateringer der kommer fra Microsoft (f.eks. igennem funktionen "automatiske sikkerhedsopdateringer"/Windows Update). Det gælder også sikkerhedsopdateringer til Microsoft Office kontorpakken.

Gratis Patcher værktøj fra CSIS
CSIS anbefaler, at man scanner sin PC for den skadelige kode. Vi har, på vegne af Finansrådet udviklet et gratis værktøj, som hurtigt kan bruges til at afgøre om maskinen er inficeret. I modsætning til diverse antivirus programmer kan dette værktøj detekte samtlige varianter af Patcher bagdøren:

https://www.csis.dk/dk/media/Detector.zip
https://www.csis.dk/dk/media/Detector.exe

Værktøjet kræver at man har Microsoft .Net Framework 2 installeret på systemet. Hovedparten af nyere udgaver af Microsoft Windows har allerede dette framework installeret, men har du problemer med at køre programmet, så kan Microsoft .Net Framework (dotnetfx.exe) hentes gratis hos Microsoft på adressen: http://www.microsoft.com/downloads/details.aspx?familyid=0856eacb-4362-4b0d-8edd-aab15c5e04f5

En trin for trin vejledning til brug af vores værktøj, er udarbejdet af Nordea, og kan findes på adressen:
http://www.nordea.dk/1277622.html

Lad dig ikke lokke til muldyrsarbejde
De it-kriminelle lokker almindelige mennesker til at stille deres bankkonto til rådighed. De har i slutningen af oktober måned udsendt spammails til vilkårlige e-mail adresser, hvor de tilbyder et job til en overordenlig god løn. Det eneste krav er, at arbejdstager stiller sin bankkonto til rådighed, modtager penge som uberettiget er overført fra Patcher inficerede maskiner og dernæst sender disse penge videre til de it-kriminelle. Af de samlede beløb som overføres, lokkes muldyret med udsigten til 20 procent af udbyttet. Det er ulovligt at være muldyr. Det er let at spore muldyr og muldyr vil blive kontaktet af Politiet, så det er vigtigt at man ikke lader sig friste af de lette penge.

Mere information om hvad et muldyr er kan findes på vores hjemmeside:
http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=643

Finansrådet har også udsendt en pressemeddelelse som kan findes på adressen:
http://www.finansraadet.dk/danish/menu/Nyheder_og_presse/holdninger/Kommentarer+og+debatindl%C3%A6g/Ondsindetspionprogramspredersig.htm