Bevisst spam bak Friendgreetings-epidemien

Det såkalte "Friendgreetings"-viruset som herjer Europa, er spam som et Panama-registrert selskap håper å tjene penger på.

Digitale postkort har vært brukt i mange år til å sende dekorative hilsener til slekt og venner. Opplegget er gjerne at du går til et bestemt nettsted, velger et postkort, skriver en kort hilsen, og oppgir mottakerens e-postadresse.

Det Panama-registrerte selskapet Permissioned Media har registrert en rekke domener av typen friendgreetings.com, friend-greetings.net og så videre, og tilrettelagt e-postkort-idéen for et spam-konsept. (Den oppgitte lenken har en lang, men kanskje likevel ikke fullstendig liste.)

Selskapet oppgir å være opprettet i sommer, med den hensikt å spre en form for Internett-annonsering basert på tillatelse fra de som tilhører annonsens målgruppe.

Siden 8. november har titusener av folk, spesielt i Storbritannia, mottatt e-post med følgende hilsen: "XXX has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your E-Card at FriendGreetings.com by clicking on the link below."

Når du klikker på den angitte lenken, får du forklart at du må installere to programvaresnutter for å se postkortet. I forkant av hver installasjon må du godkjenne en lisensavtale. I lisensavtalen til det ene programmet står det uttrykkelig at du ved å godkjenne avtalen samtidig sier ja til å sende et postkort til alle kontakter som står oppført på din Outlook-adresseliste.

- Hvis du avviser lisensavtalen, skjer det ingenting, forklarer virusanalytiker Snorre Fagerland i Norman. - Men hvis du godkjenner avtalen, sendes det automatisk ut postkort til alle kontaktene dine.

Poenget ser ut til å være at bare ett av programmene egentlig har med postkorttjenesten å gjøre. Det andre programmet, med det offisielle navnet Permedia Ads, og som Windows registrerer som "WinSrv Reg", er antakelig det programmet selskapet ønsker installert hos flest mulig, slik at det kan tjene penger på å formidle annonser til de som lar dette programmet kjøre på sin PC. Programmet installerer seg på en slik måte at det starter automatisk hver gang maskinen startes. Det virker på alle Windows yngre enn 95. Under Windows 2000 og XP må brukeren har administratorrettigheter.

Det er enkelt å avinstallere begge programmene. Du bruker den vanlige Windows-framgangsmåten, og haker av for "Friends Greetings" og "WinSrv Reg".

Det dreier seg med andre ord ikke om et virus eller orm i egentlig forstand.

- Det er en type programvare som er i gråsonen, og det har vært mye diskusjoner virusvernere i mellom om den burde detekteres eller ikke, sier Fagerland.

- Det er mange som ikke leser lisensavtalen. Folk synes dette er noe skikkelig herk, og vil ikke ha det på maskinen.

I likhet med andre virusvernere kom Norman fram til at de burde legge inn vern mot Friendgreetings - i variantene Worm_Friendgrt.A og Worm_Friendgrt.B. Norman valgte å utnytte en egenskap ved deres teknologi som er spesielt rettet mot spam.

Sikkerhetsselskapet NettPost AS skriver i en e-post til digi.no at bedrifter og organisasjoner kan beskytte seg mot liknende fenomener i framtida ved å bruke filtre som blokkerer e-post, enten på grunnlag av kjente spam-servere eller på grunnlag av formuleringer i meldingsteksten.

De foreslår Omnigate 5.5 fra Azenna Advox AB til slike oppgaver.

I tilfelle du blir klar over at spam eller ondsinnet kode har forsert sperringene i systemet, og du vet at brukernes e-postkasser inneholder meldinger som bør fjernes før du rekker å lese dem, foreslår NettPost et annet interessant verktøy: Active Folders fra C2C Systems Ltd. I tilfellet Friendgreetings hadde dette verktøyet gjort det mulig å fjerne alle meldinger med lenker til webadressen der postkortet skulle hentes.

NettPost er spesialist på å sikre Exchanger-løsninger.

Til toppen