50 norske nettsteder sprer «Gumblar»

Den verste trojaneren akkurat nå, ifølge Watchcom.

4. juni 2009 - 12:08

Over 40.000 nettsider er rammet av den ondsinnede koden «Gumblar», ifølge sikkerhetsselskapet Websense.

Denne skadevaren ligger skjult på infiserte nettsider som såkalt obfuskert JavaScript-kode. Brukere som har nettlesere med sikkerhetshull kan bli smittet ved å besøke slike nettsider.

- Dette er et svært hissig ondsinnet skript. Mange mener dette er en av de verste truslene på lenge, sier teknisk sjef Arnfinn Roland i sikkerhetsselskapet Watchcom til digi.no.

Etter å ha installert en trojaner på brukerens maskin begynner skadevaren å snoke. De som rammes risikerer at sensitive opplysninger blir stjålet, blant annet kredittkortinformasjon og innloggingsdetaljer. Dessuten får man servert falske søkeresultater i Google, laget for å installere ytterligere malware.

Gumblar sprer seg videre til andre nettsider blant annet ved å utnytte brukernavn og passord til FTP-konti som den finner på smittede PC-er.

- Akkurat nå sprer 50 norske nettsteder Gumblar. Den siste uken har denne skadevaren stått for 40 prosent av alle infeksjoner på nettsider. Totalt er det 1384 norske nettsider som forsøker å smitte brukere med ulik skadevare, sier Roland.

Teknisk sjef Arfinn Roland i sikkerhetsselskapet Watchcom advarer mot «Gumblar». (Foto: Watchcom)
Teknisk sjef Arfinn Roland i sikkerhetsselskapet Watchcom advarer mot «Gumblar». (Foto: Watchcom)

Det vet han fordi Watchcom overvåker alle norske nettsteder gjennom et prosjekt de kaller «Graywolf».

Gratisverktøy mot smitte

Selskapet ønsker imidlertid ikke gå ut med listen over smittede nettsteder. Alt vi får vite er at listen inneholder «et bredt utvalg nettsider fra små og store bedrifter». I tillegg oppgir de at ingen statlige virksomheter ser ut til å være infisert.

- Er det ikke en fordel for befolkningen å få vite hvilke nettsider som sprer slik møkk?

- Jo, det er akkurat det vi har tenkt å gjøre ved å lansere en gratisversjon av «Graywolf», avslører Watchcoms tekniske sjef.

Selskapet jobber nå med en løsning der brukere selv skal kunne gjøre oppslag for å se hvilke norske nettsider som er rammet av ondsinnet kode. Løsningen skal etter planen være klar i løpet at noen måneder, får digi.no oppgitt.

Overvåkingen innebærer ifølge Roland at rundt en million nettsider overvåkes. Agenten deres kjøres hver tredje time døgnet rundt.

- Det er ingen indeksering, vi besøker nettsidene og analyserer resultatet. Det er som en soldat som besøker nettstedet. Vi vet nøyaktig hvordan han er når han går ut. Deretter sjekker vi hva han har i lommene og hvordan han ser ut når han kommer tilbake, forklarer han.

- Hvordan kan man unngå å bli smittet av Gumblar?

- Det er det gode, gamle tipset om å holde programmene på PC-en oppdatert.

Spesielt nevner han programvare som Flash og PDF-lesere fra Adobe og Foxit. Også det gjengangere på listen sikkerhetseksperter bruker å advare mot.

- I tillegg bør man ha oppdatert antivirus. De fleste antivirusprogrammene beskytter mot Gumblar, sier Arfinn Roland.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.