Computerworld News Service: For at sælge deres falske varer er mange af disse sites afhængige af hundreder af "affilierede netværk," som grundlæggende er underleverandører, der finder på måder at dirigere webbrugere over til de skadelige sites, skriver Dmitry Samosseiko, som er analytiker hos Sophos. Han lavede en præsentation af opdagelserne i sidste uge ved sikkerhedskonferencen Virus Bulletin i Genève i Schweiz.
Affilierede netværk er et fænomen, der har eksisteret længe, og der findes også mange legitime af slagsen. Men "størstedelen af de mest magtfulde og kontroversielle affilierede netværk er baseret i Rusland," skriver Samosseiko.
I Rusland kaldes disse netværk for "partnerka" og fokuserer udelukkende på at promovere nettets dunklere hjørner. Hvis man ønsker at blive en del af et affilieret netværk, melder man sig ind i et kodeordsbeskyttet forum, hvoraf de fleste holder lav profil og kræver, at man bliver inviteret. Når man er godkendt, får man tildelt et antal websites at promovere.
En måde at gøre dette på er at inficere computere med malware ved hjælp af spam eller på anden vis. Malware kan ændre i en computers DNS-indstillinger for at omdirigere brugeren til en forfalskning af Googles søge-maskine, som derefter sammenfletter ægte søgeresultater med falske søgeresultater, der eksempelvis fører til et site, der sælger falsk antivirus-software.
Et andet brugt trick kaldes "black hat SEO" (search engine optimization). Det involverer, at de kriminelle skaber et website og derefter bruger en række kneb, hvoraf mange er forbudt af søgemaskinerne, for at få dette website op i en høj placering i søgeresultaterne. Disse metoder inkluderer at inkorporere på websitet de nyligst brugte søgetermer, som ofte kan findes på lister såsom Google Trends, der leveres af søgemaskinerne selv.
Sådanne affilierede "indgangs"-websites omdirigerer så brugerne til de uærlige e-handels-sites. Et sådant henvisende website kan få kommission, eksempelvis hvis en bruger køber noget.
Tricket er for de sælgende at "vælge en partnerka med en høj konverteringsrate, for at sikre at den genererede indtægt bliver større end udgiften til trafikken," skriver Samosseiko.
Det er en lusket men profitabel ordning. Det er lykkes Sophos at snuppe et smugkig bag facaden på et af de mere populære partnerka-netværk ved navn RefreshStats. Dette website hverver partnere til at skabe websites, der beder folk om at downloade et særligt codec, som er et stykke software, der gør det muligt at afspille en video-fil. Codec'et er selvfølgelig falsk, og pc'en bliver således inficeret med sædvanligvis falsk antivirus-software.
Samosseiko skriver, at det lykkedes Sophos at iagttage RefreshStats adminstrations-grænseflade, der viste, hvor mange penge forskellige underleverandører tjente på det kriminelle system. En underleverandør tjente 32.825 kroner i august 2008. En anden affilieret ved navn Topsale tilbød op til 130 kroner i kommission for hvert salg af et falsk antivirus-produkt.
Samosseiko konkluderer, at der er lovende tegn på, at politi og sikkerhedseksperter kan få bugt med sådanne kriminelle affilierede netværk. Men denne kriminelle skyggeside af it-branchen viser dog ingen tegn på at sagte farten. En rapport fra sikkerhedsleverandøren Panda Security påpegede for nyligt, at der hver måned bliver inficeret op til 35 millioner computere på verdensplan med falsk antivirus-software.
Virksomheden har indsamlet hele 200.000 prøver af forskellige falske antivirus-programmer, hvoraf omkring 80 procent var kopier af eller lettere modificerede versioner af 10 grundlæggende familier af falske produkter, oplyser Luis Corrons, som er leder af PandaLabs.
"Vi opdagede, at flere og flere brugere blev inficerede," påpeger han.
Oversat af Thomas Bøndergaard
