Trojaner styres via Google Docs

Helt unikt, ifølge Symantec.

Bakdøren i Backdoor.Makadocs henter sine ordre via Google Docs-servere, noe som gjør det vanskelig både å oppdage og stoppe den skadelige trafikken uten hjelp fra Google selv.
Bakdøren i Backdoor.Makadocs henter sine ordre via Google Docs-servere, noe som gjør det vanskelig både å oppdage og stoppe den skadelige trafikken uten hjelp fra Google selv. Bilde: PantherMedia/Tyler Olson
Harald BrombachHarald BrombachNyhetsleder
19. nov. 2012 - 15:27

Symantec har beskrevet en oppdatert utgave av trojaneren Backdoor.Makadocs som ved første øyekast så ut til å være ganske ordinær, men som etter nøyere studier har et vist seg å ha i alle fall én svært spesiell egenskap.

Som så mange andre trojanere, oppretter Backdoor.Makadocs en bakdør som gjør det mulig å styre det infiserte systemet. Det som er uvanlig med denne trojaneren, er at styringen skjer via nettskytjenesten Google Docs.

Takashi Katsuki i Symantec forteller at Google Docs har en funksjon som kalles for «viewer». Denne kan hente data fra en annen URL og vise det. Trojaneren er skrevet slik at den kan utnytte denne funksjonaliteten i Google Docs for å få tilgang til C&C-serveren (Command and Control).

Katsuki skriver at det er mulig at dette er gjort for å hindre at den direkte forbindelsen mellom trojaneren og C&C-serveren skal bli oppdaget. Men hos mange vil det også være problematisk å blokkere forbindelsen mellom trojaneren og Googles servere.

Skadevaren Backdoor.Makadocs bruker Google Docs-servere som en reléstasjon for å gjøre det vanskeligere å oppdage og sperre trafikken. <i>Bilde: Symantec</i>
Skadevaren Backdoor.Makadocs bruker Google Docs-servere som en reléstasjon for å gjøre det vanskeligere å oppdage og sperre trafikken. Bilde: Symantec

Løsningen er at Google må ta grep og stoppe virksomheten. Til The Next Web opplyste Google på lørdag at slik virksomhet er et brudd på selskapets produktpolicy, og at selskapet vil etterforske saken og gjør nødvendige tiltak.

Backdoor.Makadocs spres som et RTF- eller Word-dokument. Den utnytter ingen sårbarheter, men tar i stedet utgangspunkt i mottakerens nysgjerrighet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.