En tysk leverandør af banner-reklamer til europæiske internetmedier er i weekenden blevet misbrugt til at sprede ormen Bofra.
Det er blandt andet gået ud over den engelske it-nyhedstjeneste The Register. Ifølge sikkerhedsorganisationen SANS Internet Storm Center er også websteder i Sverige og Holland blevet ramt.
The Register advarer nu sine læsere og opfordrer til at tjekke for virus, hvis man fra en Windows-pc har besøgt nyhedstjenesten i weekenden med Internet Explorer.
Hackede server
Nyhedstjenesten lukkede for bannerne, da man blev klar over, at banner-reklamerne fra den tyske leverandør Falk Esolutions spredte ondsindet kode ved hjælp af et sikkerhedshul i Internet Explorer.
Ifølge Falk Esolutions havde hackere lørdag morgen held til at angribe en server, som fordeler trafikken mellem selskabets banner-servere.
Dermed blev trafikken for en bestemt type webforespørgsler ikke sendt videre til reklamefirmaets servere, men derimod til en kompromitteret server. Herfra kom den skadelige kode, som havnede hos blandt andet The Register, skriver nyhedstjenesten i sin forklaring til læserne.
En ud af 30 var en orm
The Register kunne tirsdag genoptage banner-samarbejdet med Falk Esolutions, og tjenesten vurderer, at det højst drejer sig om nogle få hundrede brugere, som er blevet udsat for de farlige reklamer.
Falk Esolutions oplyser, at omkring en ud af 30 forespørgsler på banner-reklamer sendt til selskabet under hackerangrebet resulterede i et svar fra serveren med den ondsindede kode.
Ormen Bofra, som blev spredt af hackerne, åbner en bagdør på den inficerede Windows-pc, men har været kendt af antivirusfirmaerne siden starten af november. Derfor bør de fleste opdaterede antivirusprogrammer opdage og fjerne ormen.
Brugere, som har Windows XP med Service Pack 2 er ifølge flere sikkerhedsfirmaer som udgangspunkt beskyttet mod den måde, som ormen blev spredt på. Bofra udnytter den såkaldte Iframe-sårbarhed i Internet Explorer.