Java-malware oppdages ikke

Java-malware oppdages ikke

Farlig Java-kode kan bli nytt mareritt for sikkerhetsbransjen.

Det er oppdaget en type ondsinnet programvare som i teorien kan brukes til å gjøre livet surt for nettspillere.

Ved å stjele passordene til spill kan nettspillet man er med på overtas av andre. Dermed kan både penger, erobrede gjenstander i spillet og omdømme få en alvorlig knekk.

Spesielt med de nyoppdagede truslene er at de er basert på Java-språket, noe som gjør dem vanskelig å oppdage for tradisjonell antivirus-programvare.

De nye kodesnuttene ble oppdaget av det nederlandske sikkerhetsselskapet Fox-It, som fant uvanlige Windows-filer. Det visste seg å være Java-programvare, som ikke kan kjøres uten at man har installert Java-plattformen på pc-en.

Først for spillere

- Vi har sett slik Java-programvare før, men ikke i omfanget vi har avslørt nå. Det vi har funnet er en versjon 0.84 av et virus som startet 18. oktober 2009. Måten vi har funnet det på en grunnlag for at vi tror det er flere som er smittet, forteller sikkerhetsekspert Michael Sandee i Fox-It til Computerworlds nyhetstjeneste.

Selskapet har analysert viruset og funnet frem til at det egner seg utmerket til dos-angrep (Denial-of-Service) og å hente informasjon fra smittede pc-er. Ut fra førsteinntrykket er det brukt til å finne innloggingskoder til nettspill.

- Det har blitt stjålet nettbaserte spillnøkler, bekrefter Sandee.

Plattformuavhengig

En Java-applikasjon er vanligvis ikke avhengig av plattform, men dette viruset er Windows-basert. Først etter det starter, åpner det seg i et Java-miljø. Det betyr at denne ondsinnede programvaren enkelt kan flyttes rundt.

- Ja, det er godt mulig det dukker opp på andre plattformer også, sier Sandee.

Antivirus-løsninger sliter med å oppdage programvaren. Når Java-delen starter, følger de ikke lenger med. Fox-It testet ulike pakker og fikk bare svar fra Symantec om at det var noe mistenkelig.

Ifølge Sandee er de vanlige sikkerhetspakker ikke i stand til avsløre java-aktivitet, og vil derfor ikke gjenkjenne dette.

Kan bli kostbart

Fox-It har funnet frem til nettstedet som spredde viruset. Programvaren er avansert nok til å hente nye konfigurasjoner gjennom standard nettleserprotokoller (http) og sette dem i gang. Dermed kan personlige opplysnigner, koder og annen informasjon stjeles fra en pc.

Det er antydning til at koden utvikles videre. Ikke bare Java, men også andre skriptspråk som Python, kan brukes. Sandee utelukker ikke at det kan bety et nytt race mellom virusutviklere og antivirusindustrien.

For en nettspiller er det svært alvorlig at spillinformasjon stjeles.

”Hvis noen stjeler min nøkkel blir kontoen blokkert, så man må betale på nytt, i tillegg til at man mister spillet. I noen tilfeller kan kontoen også brukes til å kjøpe gjennom nettet, og da kan kostnadene fort bli flere tusenlapper. Stjeling av spillnøkler er ingen barnelek, men organisert kriminalitet” skriver en anonym debattant på IDGs debattforum.

Utvikling