MSN-trojaner sprer reklame

Nasjonalt senter for håndtering av alvorlige dataangrep – NorCERT, som blant annet ”tar pulsen” på trusselbildet på internett, har sett nærmere på trojaneren som lå på MSN.no for å finne ut hva den helt konkret gjør.

LES OGSÅ: Trojaner på MSN.no

Pål Arne Hoff, for tiden fungerende avdelingsdirektør, forteller at det i denne omgang var snakk om et snikreklameprogram.

- Det er en betalt annonse som er lagt inn på MSN, som inneholder en omgjort flash-kode. Det den gjør er å legge inn en plugin på browsere som Firefox, Opera og Internet Explorer, som gir reklame via popup. Det vi har sett hittil er reklame for noen betalingstjenester for mobil, sier han.

Norske annonser

Hoff mener det høyst trolig er et annonseselgerbyrå som står bak.

- Og det er ikke sikkert de som har solgt inn annonser til byrået vet hvilken metode som benyttes. De annonseeksemplene vi så var på norsk.

Han har ikke sett tegn til noen bakdør, men understreker at det kan endre seg.

- Når du bruker denne typen angrep, så vet du aldri hvem du infiserer. De som er ute etter en målgruppe vil ikke bruke denne måten, fordi du avslører deg selv ved at koden blir veldig godt kjent av alle som analyserer den i etterkant.

Likevel observerer Hoff at annonsene kommer fra en server basert på Bulletproof Hosting-prinsippene, som kort fortalt betyr at leverandøren overhode ikke legger seg opp i hva som lastes opp.

- Disse er ofte brukt av kriminelle og styrt av selskaper som befinner seg i en slags gråsone, sier han.