ComON beskrev i en artikel fredag, hvorledes tusindvis af websider verden over er blevet inficeret af et ondsindet script, injiceret af kinesiske cyber-banditter.
Denne kode sender den besøgende videre til et domæne på en server i Kina, der vil forsøge at indlæse et javascript på brugerens maskine. Scriptet kører en lang række forskellige exploits mod browser og operativsystemet, og skulle der vise sig at være hul igennem, køres et program (test.exe) fra serveren i Kina på brugerens computer.
Den skadelige programkode lægger sig derefter i dvale, mens en batchfil rydder op efter den ubudne gæst.
Den 'sovende' kode er på forhånd programmeret til at vågne op, når brugeren besøger specifikke hjemmesider eller aktiverer angivne funktioner, hvorefter den giver sig til at høste personlige informationer. (Se hele den tekniske forklaring fra CSIS HER).
Og NU er det, det begynder at blive interessant... For selv om du normalt er en forsigtig-Per, der ikke åbner ukendte filer eller installerer pirat-software, så kan du sagtens have svaret på et indlæg i forummet på den lokale badmintonklubs hjemmeside, eller ændret lidt på dine abonnements-oplysninger på morgenavisens site. Kort sagt, du har gjort et eller andet aktivt på en hjemmeside, ud over blot at læse.
Da din maskine opfører sig som normalt, har du sikkert ingen idé om, at den lille stump skadelige kode blot ligger og venter på, at du logger dig på eksempelvis World of Warcraft eller din netbank. Men i samme sekund du gør dét, vågner koden og noterer sig alle dine personlige informationer vedrørende log-in og passwords, åbner TCP port 2034 og sender det hele hjem til Command & Control-serveren i Kina.
Med over ti millioner spillere verden over, er det veritable formuer, der kan hentes, ved at stjæle spil-identiteter, og man forestiller sig, at et program der 'blot' høster guld fra online-spillere, måske ikke får samme bevågenhed som eksempelvis et, der specifikt dræner din netbank, nedlægger jernbanedriften i hele Europa eller tapper Forsvarsministerets databaser for klassificeret indhold.
Næste morgen er den karakter, du har brugt måske hundredevis af timer på at berige i WoW, rippet for alle sine virtuelle værdier. Og hvis du er rigtig uheldig, er også din egen bankkonto støvsuget for dens langt mindre virtuelle midler.
Peter Kruse fra it-sikkerhedsfirmaet CSIS advarer kraftigt alle, der har en eller anden form for 'aktiv' hjemmeside mod, blot at lade stå til med hensyn til, at holde sig orienteret om sikkerhedsniveauet på siden. Hvis man eksempelvis kan poste indlæg i et forum, uden at logge sig på og dermed identificere sig, er den gal.
Se F-Secures fem gode råd til at holde websiden fri for infektioner i artiklen HER.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt