Det er svært sjelden at det dukker opp ondsinnet kode som infiserer besøkende på store nettsteder. CERT og Internet Storm Center (ISC) advarer at ormen har installert seg på store nettsteder – blant annet banker og «store auksjonssteder» – som bruker Microsofts webserver Internet Information Server (IIS) versjon 5.
Hvordan nettstedene er infisert, er fortsatt en gåte. Sidene på de infiserte nettstedene er manipulert slik at de også leverer brukerne ondsinnet kode i JavaScript.
CERT anmoder systemadministratorer med IIS om straks å sjekke at det ikke følger med ukjent JavaScript når brukerne går inn på deres nettsteder. Brukere anmodes om å deaktivere JavaScript på sin nettleser, med mindre det er absolutt nødvendig for spesifikke tjenester.
CERT vil ikke offentliggjøre noen liste over infiserte nettsteder, men understreker at også kjente og hittil pålitelige og sikre tjenester kan være infisert.
ISC skriver i sin siste oppdatering at de ennå ikke vet hvordan serverne er blitt infisert, eller hvordan ormen greier å endre servernes konfigurasjonsfiler. Endringen av konfigurasjonen gjør at egenskapen «enable document footer» er aktivert for noen filer. Det er kjent at dette kan gjøre gjennom tidligere påviste sårbarheter i IIS. På den andre siden er det også klart at også nettsteder som er kjent for utmerkede rutiner for tetting av påviste sårbarheter, er rammet.
Derfor er det mulig at angriperne i dette tilfellet har oppdaget et hittil ukjent sikkerhetshull i IIS. Microsoft har så langt avslått fra å kommentere dette.
Når egenskapen «enable document footer» er aktivert, vil disse filene sendes til den som besøker nettstedet, med JavaScript-tillegget. Egenskapen gjelder Microsofts nettleser Internet Explorer, i Windows-versjon. Brukere med andre nettlesere, eller andre operativsystemer, vil derfor ikke rammes. Ifølge ZDNet er denne muligheten for misbruk av «enable document footer» en kjent sårbarhet i Internet Explorer som Microsoft ennå ikke har tettet.
Hos brukeren utløser filene et besøk til et russisk nettsted hvorfra det lastes ned en kjent trojaner, kalt msits.exe.
ISC meldte først at oppdatert antivirusprogramvare fra de fleste internasjonale leverandørene vil avsløre og sperre for denne trojaneren. Noen timer seinere kom en motmelding: ISC gjennomførte en skan gjennom tjenesten Virustotal.com, som avdekket at bare Sybari og Symantec (Norton) var i stand til å avsløre msits.exe.
– Vår erfaring er at en vanlig Norman-installasjon fanger opp og stanser infeksjonsforsøket gjennom Sandbox-teknologien, sier utviklingssjef Steinar Wigtil i Norman til digi.no. – Vi har sjekket tjenesten til Virustotal.com og oppdaget at de ikke har oppdatert våre signaturer og andre forbedringer siden 4. mai. Da er det ikke rart at de ikke gjengir vår fangstevne korrekt.
Det samme er tilfellet for andre antivirusselskaper. En oppdatert oversikt fra en tjeneste kjent som Mavia bekrefter at Norman, McAfee, Symantec, Panda og Trend Micro er blant antivirusene som tar denne trojaneren i det den overføres til et potensielt offer.
Å få store nettsteder til å infisere vanlige brukere med en trojaner, er en ny og svært effektiv metode for både spammere og dem som legger opp til distribuerte tjenestenektangrep. Ifølge ISC tyder materialet som hittil er samlet inn om det aktuelle angrepet på at det dreier seg om spam, ikke tjenestenekt.
En representant for Symantec sier til ZDNet at tilsvarende angrep ble registrert i langt mindre skala i fjor høst og i april i år. Symantec tror organisert kriminalitet står bak, ikke bare fordi serveren som ofrene tvinges til å besøke er i Russland, men også fordi hele opplegget er svært avansert teknologisk sett.
Nøyaktig hvilke nettsteder som er eller har vært infisert av den smittende koden, er ingen villig til å oppgi.
– Vi har hittil ikke fått rapporter om smitte hos norske nettsteder, sier Wigtil til digi.no. – Det er først og fremst store internasjonale nettsteder som ser ut til å være infisert.