Vi leker med tanken att internet är en stad och du smyger runt på de skummaste bakgatorna. En figur kommer fram och erbjuder dig att köpa den marknads­ledande plattformen för databrott. Då är det förmodligen Mebroot han vill sälja – de organiserade hackarnas nya favorit.

För bara några år sedan var det rätt lätt att upptäcka skadlig kod. Den tidens farsoter var gjorda för att få uppmärksamhet, och gjorde få eller inga ansträngningar för att gömma sig.

– Idag är pengar den övervägande orsaken. Så vi ser inte destruktiva virus längre, säger Mikko Hyppönen, forsk­­ningschef på F-Secure.

Av samma skäl är dagens ”malware 2.0” också svår att upptäcka.
Som Mebroot. Den nya databrottsplattformen, som bland annat används för att stjäla lösenord och kreditkortsuppgifter, är smart, diskret och mångkunnig. Tekniskt kan den beskrivas som en kombination av en bakdörr, bot, mask och trojan. Oftast är den helt passiv, vilket gör den svår att hitta. Smittade datorer upprättar peer-to-peer-nät med strikt arbetsfördelning: bara ett fåtal sprider smittan vidare, ett annat fåtal är centrala noder – om alla dessa slås ut finns ändå det mesta av nätet kvar.

De centrala noderna döljs bakom ständigt ändrade ip-nummer. Verkansdelen, lasten, ändras ofta, upp till en gång i halvtimmen.
– Det är inte bara för att skydda sig mot antivirus och polis. Det hindrar också konkurrenter från att ta över botnätet, säger Sergej Golo­vanov, antivirusexpert på Kaspersky Labs.

Idag sprids den mesta smittan genom att en användare besöker en webbsida och utsätts för så kallad drive­-by-ned­laddning. I Mebroots via en länk som har bytts ut – ofta på en helt legitim webbplats som blivit hackad.

Om du klickar på länken hamnar du på en annan server där det ligger kod som snabbt kollar av din ip-adress, webbläsare, tilläggsprogram och vilken sajt det gäller. Allt detta rapporteras till en annan server. Ett svar kan se ut så här:

index.cgi@ac6d4ac70100f060011e9645520600
00000002e4f11c2e000300190000000006

Siffran 6 i slutet betyder till exempel att besökaren har Adobe Reader 6.

Varför så detaljerat? Jo, för att servern ska kunna välja rätt angreppsmetod för den eller de sårbara versioner som finns på just din dator. I de flesta fall handlar det om program som hanterar pdf-, swf- och Quicktime-filer. Listan över sårbara program är lång – och växer ständigt.

När rätt exploit skapats för just din dator börjar den köras genom just det sårbara programmet. Den hämtar en så kallad trojan-dropper, som också den drar nytta av den unika nyckeln som tagits fram för din dator.

Strax därefter laddar servern upp den sida du ville besöka när du klickade på länken. Som besökare märker du inte att du över huvud tagit varit uppkopplad mot någon annan server. Trojan-droppern kan sedan i bakgrunden installera ett rootkit och starta om datorn. Din dator är nu infekterad och ingår i ett botnät.

Till virusanalytikernas stora förvåning har det visat sig att de skräddarsydda attackerna skapas med ett välkänt, kommersiellt skadeprogram vid namn Neosploit. Varje attack loggas, och förmodligen används loggarna för fakturering när man hyr ut Mebroot till andra kriminella.

En sak som utmärker Mebroot är hur bra det gömmer sig. Installationsprogrammet ändrar i datorns bootsektor (MBR) och lägger huvud­delen av det skadliga programmet direkt på sektorer av den angripnes hårddisk.

– Det är den mest avancerade trojanen vi någonsin har sett, och den startar innan operativsystemet startar, säger Sergej Golovanov.

– Hela systemet är intakt. Om du försöker skanna det så ser Mebroot att det blir skannat och visar upp en bild av hur systemet såg ut tidigare, säger Mikko Hyppönen på F-Secure. En vanlig formatering tar inte heller bort Mebroot – du måste använda specialverktyg eller partitionera om hårddisken. Om du försöker skriva över MBR medan Meb­root finns i minnet kommer den att hindra dig. Tanken svindlar att det ens går att göra en sån sak i Windows!

– För några år sedan sa jag till några kunder att en sådan attack är tekniskt möjlig – men att den aldrig kommer att hända, lägger han till.

Vad gör då Mebroot? Vi vet att det till exempel försöker stjäla lösenord till 40 europeiska banker som använder engångslösenord. (Eftersom det har full tillgång till Windows resurser kan hemlig information avlyssnas när den skrivs in i webbläsaren). Den söker efter lösenord till allt möjligt, och en del av de lösenord den hittar är
administratörslösen till serv­rar och webbsajter. Med hjälp av dessa kan skurkarna dels lägga in sina exploits på nya webbservrar, dels hitta nya servrar att styra sitt botnät med.

I november 2008 lyckades polis och IT-säkerhetsexperter ta sig in i en server som använts för att fjärrstyra Meb­root. Där hittade man cirka en halv miljon stulna kreditkortsnummer och kontonummer.
Så Mebroot är big business. Men om man får tro Sergej Golovanov kanske vi bara har sett början:
– Många av Mebroots funktioner har ännu inte börjat användas. Men förr eller senare lär de göra det, säger han.