F-Secure varsler om at selskapet har oppdaget en bakdør i verktøyet RBCalc.exe, kjent som Rakeback Calculator. Verktøyet blir distribuert via spillsiden checkraised.com. Forfatterne av programmet, som skal være innleid av nettstedet, skal ha benyttet rootkit-teknologi for å skjule den skadelige programvaren.
Bakdøren, som gir illegal fjernstyring av de infiserte PC-ene, fungerer ved at fire eksekverbare filer legges på PC-en. Med disse filene installert på PC-en, kan angriperen få tilgang til eierens påloggingsinformasjon til nettpokertjenester som Partypoker, Empirepoker, Eurobetpoker og Pokernow. Gjennom denne tilgangen kan angriperen blant annet spille poker mot seg selv og tape med vilje.
Kort tid etter at F-Secure oppdaget den skadelige koden fjernet Checkraised.com applikasjonen som har skapt problemet fra sine nettsider.
De har nå lagt ut en offisiell redegjørelse der de oppfordrer brukerne om å endre passordene de bruker på pokernettsteder, samt instruksjoner om hvordan man manuelt kan fjerne den skadelige koden.
– Som en følge av den økte interessen for nettpoker, er det uunngåelig at skrivere av skadelig kode vil forsøke å svindle pokerspillere. Det som er spesielt ved akkurat denne hendelsen er at svindelen ble gjort via en legitim nettside og at det ble brukt rootkit-teknologi for å skjule angrepene, sier Dag Arne Jerstad, Norgesansvarlig i F-Secure, i en pressemelding.
Rootkit-teknologi gjør det blant annet mulig for angripere å holde annen ondsinnet kode skjult for vanlig antivirusverktøy.
Les også:
- [05.04.2006] Fortvilelse over rootkit-trojanere
- [04.04.2006] Datakrim lønner seg mer enn antivirus
- [15.02.2006] Kopisperre med rootkit også på DVD-film
- [12.01.2006] Fjerner rootkit fra Norton-programvare