CSIS har igennem længere tid konstateret en stigning i almindelige mediefiler der misbruges som budbringere for spyware og skadelig kode. Selvom der typisk ikke er nogen ide i at lægge spyware og andre uønskede komponenter direkte i mediefiler, som f.eks. avi, mpg eller wav, så kan de stadig bære på funktionalitet der kan sprede spyware til intetanende og uforsigtige brugere.
Teknikken er enkel. Når brugeren åbner mediefilen, ledes brugeren automatisk til en hjemmeside, der indeholder spyware og adware komponenter. For at se indholdet af det nedhentede materiale skal der installeres yderligere programmer på pc'en og dermed plantes der uønskede programmer på brugerens system. Lad os se nærmere på hvordan dette foregår.
Gratis adgang til film og lyd lokker brugeren
I mange tilfælde tilbydes brugeren gratis adgang til attraktive medieklip indeholdende film og lyd. Flere af disse "tilbud" stilles til rådighed i populære P2P netværk som f.eks. Grokster og KaZaa, men også på almindelige hjemmesider. I mange tilfælde er der tale om pornografisk indhold. Der er i sagens natur ofte tale om store filer.
En teknik der hyppigt benyttes består altså i at give gratis adgang til større mediefiler med et, for det potentielle offer, spændende indhold. Når filen køres læser Microsoft Media Player filens indhold, herunder "rights management" delen. Når en sådan inkluderes i typiske mediefiler vil Microsoft Windows Media Player fortolke indholdet og bl.a. lede brugeren til en hjemmeside, som er eksplicit angivet af medie-filens forfatter.
Hjemmesiden kan indeholde spyware og adware komponenter eller andre binære filer som man ikke ønsker på sit system. Brugeren lokkes til at installere programmer og filer for overhovedet at opnå adgang til mediefilens indhold. I mange tilfælde er det for stor en fristelse og brugere accepterer at programmerne installeres.
Vi har set flere eksempler på at disse filer foregiver at hente såkaldte "codecs", men i virkeligheden installeres der spyware og adware på systemet. En anden teknik er at komponenterne automatisk installeres på systemet. Det kan ske ved at udnytte svagheder eller en uhensigtsmæssig lav sikkerheds-indstilling i browseren.
Windows Media DRM funktionen (som gør det muligt at lede brugere hen på eksempelvis hjemmesider) er bl.a. implementeret i Microsoft Windows Media Player for at give udgiveren mulighed for at promovere deres produkter og tjenester via hjemmesider og aktivt indhold. Desværre åbner samme feature også mulighed for spredning af spyware og adware og alskens andre parasitter.
Ondsindet spiral af skadelig software
Et af de særligt aktive firmaer som direkte misbruger denne funktion i Microsoft Media Player til at installere andre programmer via deres hjemmeside er Ultra Web Host. Når en bruger henter en mediefil, som er produceret af eksempelvis Ultra Web Host (ProtectedMedia), så forsøges brugeren lokket til at installere en ActiveX komponent under dække af at være en opdatering til Microsoft Windows Media Player.
Hvis brugeren tillader at komponenten køres, så installeres der flere forskellige former for spyware og adware programmer på systemet. De fleste af komponenterne er såkaldte "downloadere", hvilket betyder, at de reelt sætter gang i en ondsindet spiral af skadelig software, som automatisk installeres på systemet uden brugerens viden eller accept. Det kan efterlade systemet ubrugeligt og i værste fald betyde en geninstallation af Windows.
I dette tilfælde henviser ActiveX komponenten, som installeres på systemet, til en (EULA, End User Licens Agreement) licens aftale på følgende URL: http://www.spidersearch.com/barterms.php
Man behøver ikke at læse langt i denne licens aftale for at opdage, at man reelt siger ja tak til Hotsearchbar. Et yderst kendt og udbredt spyware inficeret software. Samtidig godkender man, ved at gennemlæse licensaftalen og svare ja, at firmaets programmer må logge forskellige data på din private pc, herunder IP adresse, browser type, brugeradfærd, operativ system samt versionsoplysninger, dato og klokkeslæt.
Det fremgår endvidere tydeligt at firmaets programmer anvendes som reklamebærer der præsenterer brugeren for "relevante" reklamer som leveres af tredjepart. Du svarer altså, ja tak til at installere typisk adware og godkender at firmaet og deres samarbejdspartnere må indsamle oplysninger om dig.
CSIS anbefaler, at man som ansvarlig bruger udviser sund fornuft og almindelig skepsis når programmer forsøges installeret direkte fra hjemmesider via ActiveX teknologi. De fleste spyware og adware komponenter installeres på denne måde og ved at brugeren accepterer, at programmet må installeres på systemet.
Licensaftalen (EULA) er i denne forbindelse ikke uvæsentlig, men da den ofte kan være på mange sider og på engelsk bliver det let uoverkommeligt at gennemlæse og vurdere indholdet der tilmed ofte er kryptisk. Som almindelig bruger må du derfor være særligt kildekritisk og vurdere om udgiveren af det ønskede program, er en leverandør som du tør stole på. Hvis du er usikker, så lad være med at tillade installation af programmer hvis indhold du ikke kender.
Peter Kruse,
CSIS
Premium
Dansk industrivirksomhed med 175 ansatte ramt af ransomware-angreb: Russisk angrebsbølge kan være i gang