Frykter ny runde med virusepidemier

MSN spredte ondsinnet kode, og mange skal ha blitt infisert. Nå frykter Norman nye virusepidemier.

28. aug. 2008 - 08:52

Tidligere denne uken ble Norges nest største nettsted, MSN.no rammet av ondsinnet kode. En av annonsene som ble vist infiserte brukere som ikke hadde oppdatert Flash-programvaren.

MSN stengte ned annonsene da de oppdaget det, og iverksatte tiltak for å sjekke at alle nettsidene var rensket. Etter en omfattende dybdescan og en gjennomgang av det amerikanske sikkerhetsteamet i MSN, kom de frem til at det bare var MSN Norge som var rammet.

- 17 brukere har så langt klikket på denne annonsen. Det betyr ikke at alle er infisert. Det er bare de av disse som har en ikke oppdatert gammel Flash-player som kan bli rammet, sa Arne Uppheim i MSN Norge til digi.no i går.

I følge Telenor Security Operations Centre (TSOC) som varslet om problemet på sin sikkerhetsblogg, var det ikke nødvendig å klikke for å bli infisert. Det bekreftes av det norske sikkerhetsselskapet Norman.

- Det stemmer at det ikke er nødvendig å klikke, det holder å besøke siden, sier Eirik Amundsen, supportsjef i Norman, til digi.no.

Han forteller at de har fått hundrevis av henvendelser fra kunder som har blitt infisert de siste dagene. De har fått viruset Tibs.gen222.

- Dette viruset har igjen installert andre ondsinnede komponenter, noe som har resultert i en infeksjonscoctail som kan være svært vanskelig å fjerne. Det er gledelig at kilden til problemet er identifisert og eliminert, men det finnes sansynligvis tusenvis av brukere som er infisert og som har en stor oppryddingsjobb foran seg, sier Amundsen.

Denne jobben kompliseres av det kan være store forskjeller fra infeksjon til infeksjon, da infeksjonscoctailen sjelden er helt lik fra tilfelle til tilfelle.

- Det vi ser i mange tilfeller er at når en kunde kontakter oss med en infeksjon, så vil det ofte være mange infeksjoner. Det gjør rensingen vanskeligere, sier Amundsen.

Han mener det ikke kan være tilfeldig at norske PC-er er hardt rammet akkurat nå.

- Vi har supportavdelinger rundt i hele verden og har sett endel av disse infeksjonenen, men i Norge har det eksplodert, sier Amundsen.

Annonsen det var snakk om, var en reklame for Honda. Det er hevet over enhver tvil at det ikke var Honda som selv la ut viruset, og Amundsen tviler på om det er noen som har betalt for å få ut en falsk annonse med ondsinnet kode. Han mener det mest sannsynlige er at hackere har klart å infisere annonser som allerede er lagt ut. Dermed slipper også hackerne å betale for å få distribuert sin ondsinnede kode.

- På ett eller annet vis klarer de å «oppgradere» annonsene, sier Amundsen.

Han frykter at vi vil se en ny runde med virusepidemier rundt slike virusspredninger.

- Vi er tilbake i en situasjon vi var for noen år siden, der vi hadde store virus epidemier. Det vi opplever nå minner om dette, sier Amundsen.

- Det å bli infisert via bannerannonser er ikke noe nytt. Det nye er at det er et stort nettsted, og en exploit i et program som så mange bruker, sier Amundsen.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.