Trojaner på MSN.no

Trojaner på MSN.no

Et ondsinnet program har ligget skjult i en Honda-annonse på MSN.no og infisert intetanende besøkende. - Tragisk, sier sikkerhetsekspert, som anslår at tusenvis er rammet.

Nettsiden til MSN Norge har de siste to dagene spyttet ut såkalt malware, ondsinnet programvare, til et ukjent antall nordmenn. Har du vært innom siden de siste par dagene med en eldre versjon av programvaren Flash, som blant annet er programmet som ofte brukes for å vise animerte annonser, er det dessverre gode sjanser for at du har fått installert et skjult program som gir hackere mulighet til å utnytte datamaskinen din.

- Det som er tragisk er at det er Microsofts trolig mest profilerte side i Norge som har spredd dette. Vi la merke til det rundt i forigårs. Jeg ser faktisk en bruker på skjermen her nå som har problemer med dette her, forteller sikkerhetsanalytiker hos Telenors Sikkerhetssenter Jan Roger Wilkens til Computerworld.

MSN.no er Norges nest mest besøkte nettsted etter VG Nett, og hadde nesten to millioner unike brukere forrige uke. Det er også nettstedet som er satt som standard og åpnes automatisk på alle nye pc-er med Windows fra Norge.

Siste versjon eneste trygge

Sikkerhetssenteret hos Telenor brukte flere timer på å identifisere kilden, som er sporet ned til å stamme fra en annonse for Honda. Det annonsen gjør, nesten garantert uten Hondas vilje og viten, er å i ekstrem diskresjon installere et godt skjult miniprogram på maskinen din.

Alle Flash-versjoner eldre enn siste versjon er sårbare. Siste versjon kom for rundt en måned siden.

Sikre din pc: Last ned siste versjon av Adobe Flash her

- Vi advarte da om at malware via annonser ville kunne komme til å bli store greier, og nå skjer det i stor stil. Idet du ser annonsen, blir Flash-versjonen din sjekket, og om du har en sårbar versjon hentes det til slutt ned en fil som utnytter svakhetene i versjonen. Den blir startet med én gang, og melder fra til en sentral om at du er infisert, og venter deretter på kommandoer om hva som helst - alt fra å sende spam til å snappe opp passord, nettbankinformasjon, hva som skrives - den kan gjøre hva som helst, sier Wilkens.

Les også: Nettaviser kan få reklame-virus

Sniker seg inn

Brukeren merker heller ikke noe til at den såkalte Virtumonde-trojaneren blir installert.

- Vi har selv prøvd å bli infisert av det her, og merket ingen ting. Nettleseren lukker seg ikke, ingen vinduer blinker, du ser ingen ting. Alt skjer i bakgrunnen. Det er i tillegg veldig få antivirusprogrammer som merker at maskinen er infisert. Vi holdte på i timesvis for å finne ut hvor på siden malwaren kom fra, sier han, og legger til at det er tilsvarende vanskelig for de som har solgt inn annonseplass å merke at selve annonsen inneholder onde hensikter.

- Så hva skal en gjøre om man mistenker at man har blitt infisert?

- Reinstaller all programvaren. Det er det eneste helt sikre. Får du malware, er det fryktelig vanskelig å bli kvitt. Du får det dessuten sjelden alene. I dette tilfellet kom det alene, men programmet har full kontroll og kan når som helst laste ned andre liknende programmer.

- Gjelder dette for alle nettlesere, slik som Firefox og Opera også?

- Jeg skal ikke svare for bastant på det, men det er Flash-systemet som er sårbart, så det gjelder muligens alle nettlesere.

Forsinkelse

Ifølge leder for MSN i Norge, Arne Uppheim, forsøkte Microsoft Norge å fjerne annonsen allerede i natt. Likevel var annonsen synlig fram til lunsjtider.

- Vi ble gjort oppmerksom på problemet i natt, og tok da ned hele annonsesystemet en kort periode for sikkerhets skyld. At den fortsatt ikke er borte kan skyldes en forsinkelse i systemet, mener han.

Microsoft Norge tar saken veldig alvorlig, og vil nå gjennomgå rutinene for å unngå at noe lignende skjer igjen.

- Vi har undersøkt omfanget av dette, og funnet ut hvordan det skjedde og hvordan man unngår at det skjer igjen. Vi har veldig strenge rutiner på det her, og vil nå treffe tiltak for å unngå at det skjer igjen. Vi tar det veldig alvorlig at denne glapp igjennom kontrollen, sier han.

Uppheim forteller at annonsen stammer fra et tredjeparts annonsenettverk.

- Dermed er det meget sannsynlig at den også har gått andre steder i landet. Vi jobber med å informere de det gjelder, sier Uppheim, som ikke sitter på konkrete visningstall for siden.

Tusenvis infisert

Hos Telenor har de så langt i dag hatt stor aktivitet forbundet til trojaneren. Sikkerhetsanalytiker Wilkens anslår at tusenvis av nordmenn er infisert.

- Vi ser trøkket hos våre kunder. I vår avdeling har vi mange bedriftskunder og sitter ikke på så mye informasjon om privatkunder, men regner med at også mange av disse har gått på en smell.

Også supportsjef i sikkerhetsselskapet Norman, Eirik Amundsen, har merket trøkket fra kunder.

- Vi har opplevd en skikkelig peak de siste dagene, og har generelt hatt stor pågang fra brukere som har blitt infisert med trojaneren Tibs.gen222 de siste ukene. Det er sannsynligvis svært mange av disse som har vært inne på msn.no, sier han.

Les om: