Ny trojaner sprer porno

Spammere bruker en sofistikert ny trojaner til å gjøre om hjemmemaskiner til ufrivillige verter i en pornografi-og spam-distribusjonsring.

Dette hevder sikkerhetseksperter overfor IDG News. Denne villedende og potensielt ulovlige fremgangsmåten ble oppdaget av eksperter i juni, og har vært et hett samtaleemne blant spambekjempere siden da, ifølge Joe Stewart i Lurhq Corp.

Eksperter observerte at en spammer som sendte ut spam e-post som dirigerer mottakeren til PayPal nettsteder og russiske pornositer, ser ut til å kunne endre sin nettsted-adresse minutt for minutt, hevder Richard Smith som er en internettsikkerhetskonsulent basert i Boston.

Han snublet over problemstillingen da han etterforsket en e-postmelding som pekte til et falskt PayPal nettsted.

Etter å a rapportert adressen til nettstedet han trodde var kilden til den falske nettsiden, til isp-en ansvarlig for den, ble Smith overrasket da han fant ut at det samme web-domenet ble knyttet til en annen adresse tilhørende en annen isp kun få minutter senere - og enda en annen adresse få minutter deretter.

Etter å ha skrevet et program for å overvåke nettstedene assosiert med porno og falske PayPal-nettsteder, har Smith samlet inn ip-adresser til hundrevis av datamaskiner som har blitt brukt som verter for det ulovlige innholdet - hver maskin i kun få minutter ad gangen.

Trikset ligger i bruk av en trojaner som er plassert på maskinene og som blir brukt av spammeren ifølge Joe Stewart.

I sin kraft som en proxyserver, videresender trojaneren spam til mottakere, og erstatter kildeadressen med sin egen ip-adresse, og dermed dekker over spammerens spor.

Som en omvendt proxyserver mottar trojaneren forespørsler fra spam-mottakerne, som for eksempel klikker på en link til et pornonettsted, og sender den videre til den kontrollerende webserveren. Denne serveren svarer med forespurt webside og sender innholdet videre til den infiserte maskinen - som i sin tur tjener som den svarende maskinen, ifølge Stewart.

Brukeren vet aldri hvor innholdet de mottar kommer fra og nettsidenes eiere blir beskyttet mot sanksjoner fra sine isp-er.

Verken Stewart eller Smith vet hvordan trojaneren har kommet seg inn i hjemmemaskinene.

Et virus som W32.Sobig kan ha lagt det inn på maskiner det smittet, eller en ondsinnet Active X-kontroll på et nettsted kan ha plantet det på sårbare maskiner, ifølge Smith.

Alternativt kan programmet ha blitt distribuert via IRC-nettverk eller peer-to-peer nettverk som for eksempel Kazaa, mener Stewart.

Begge anbefaler brukerne å installere personlige brannmurer å sine pc-er - spesielt de som er "alltid på" med fast bredbåndstilknytning.

Eksemplarer av trojaneren har også blitt distribuert til produsentene av antivirusprogrammer.