En bannerannonse som blant annet er blitt vist på det populære nettstedet MySpace.com den siste uken, skal ha utnyttet en sårbarhet i Windows for spre spionvare til mer enn million brukere av nettstedene. Dette oppgir sikkerhetsselskapet iDefense til Brian Krebs, som har en egen sikkkertblogg på nettstedet til Washington post.
Sårbarheten som ble utnyttet, er gammel og velkjent. Den finnes i rutinene Windows benytter for å gjengi WMF-bilder (Windows Metafile). Microsoft publiserte en sikkerhetsfiks til den i januar i år, men mange Windows-brukere er slappe med å installere disse oppdateringene.
Les også:
- [01.11.2006] Glemmer personvernet når de er på nett
- [06.01.2006] Microsoft tetter likevel kritisk WMF-hull
Til Krebs forteller Michael La Pilla, analytiker i iDefense, at han først oppdaget annonsen på søndag da han besøkte MySpace med en Linux-basert maskin. Da han åpnet en side med en annonse for DeckOutYourDeck.com, spurte nettleseren ham om han ønsket å åpne en fil med navnet exp.wmf.
Brukere av Internet Explorer som ikke hadde installert sikkerhetsfiksen, skal ikke ha fått denne advarselen. I steden skal en trojansk hest ha blitt installert i det skjulte. Denne skal i sin tur ha installert adware i PurityScan/ClickSpring-familien, som både registrerer brukerne surfevaner og bombarderer dem med annonser. Heller ikke alle antivirusløsninger skal ha kommet med noen advarsel.
La Pilla skal ha registrert at spionvaren kontaktet en russiskspråklig webserver i Tyrkia som registrerer hvor mange ganger spionvaren er blitt installert, antagelig som bevis overfor annonsører som betaler for hver installasjon. Dataene på serveren tydet på at spionvaren var blitt installert på hele 1,07 millioner maskiner.
Det er uklart hvor lenge annonsen har ligget på MySpace.com, men den har trolig blitt observert allerede den 12. juli. En bruker i spillforumet travian.com meldte den 8. juli om at ”trojaner-annonsen fortsatt vises”, noe som tyder på at den dukket opp på et enda tidligere tidspunkt.
Det kommer ikke klart hvordan den spionvarespredende annonsen har kommet inn i annonsesystemet som benyttes av de berørte nettstedene.