Mafia-orm sanket passord

En russisk server knyttet til en orm som smittet besøkende på internasjonale nettsteder, er nå sperret.

Fredag meldte digi.no om en da udøpt orm som smittet gjennom nettbesøk. Ondsinnet kode fulgte med sider lastet ned fra nettsteder drevet av Microsofts webserver Internet Information Server (IIS). Hos brukere av Microsofts nettleser Internet Explorer utløste dette et skjult besøk til et russisk nettsted og til at man derfra uanende lastet ned trojaneren msits.exe.

Oppdatert antivirus fanget ikke opp det ondsinnede vedlegget til koden fra nettstedet man oppsøkte bevisst. Trojaneren fra det russiske nettstedet ble derimot avslørt og avvæpnet.

Noen timer etter at digi.no offentliggjorde denne artikkelen, lyktes det å sperre serveren til det russiske nettstedet. Samtidig ble det tatt tiltak for å desinfisere servere som spredte den ondsinnede koden.

Koden som infiserte IIS-drevne nettsteder er døpt Download.ject av Microsoft. Andre navn som sirkulerer er Scob, Dialogarg, JS.Scob.Trojan og JS.Toofeer.

Det er ennå ikke kjent akkurat hvordan maskinene med IIS ble infisert. Microsoft mener det har sammenheng med en sårbarhet som ble kunngjort og tettet i april, samtidig med sårbarheten som Sasser-ormen utnyttet (se Microsoft Security Bulletin MS04-011).

Flere nettsteder som var rammet, blant dem Kelley Blue Book, Mwave.com og MinervaHealth, hevder imidlertid at de hadde oppgradert sine servere i samsvar med instruksene i denne bulletinen. IT-sikkerhetstjenesten Internet Storm Center (ISC) mener forklaringen kan være at de allerede var smittet da de oppgraderte. I en melding søndag ber ISC om at de som er helt overbevist om at de ble smittet etter at de tettet den aktuelle sårbarheten, tar kontakt med enten ISC eller Microsoft.

Til sammen skal Download.ject ha smittet noen få hundre nettsteder.

Egenskapen som Download.ject utnytter for å få Internet Explorer til å oppsøke et bestemt nettsted og laste ned eksekverbar kode derfra, er en kjent sårbarhet i en funksjon kalt «enable document footer» som Microsoft hittil ikke har tettet.

Trojaneren som til slutt havner i ofrenes PC-er, msits.exe, brukes til å fange opp tastetrykk, og kan også fungere som en bakdør for å sende spam. Tastetrykkregistreringen er spesielt innrettet på å fange opp brukernavn og passord til tjenester som eBay, PayPal, Earthlink, Juno og Yahoo!.

På en egen informasjonsside – What You Should Know About Download.Ject – gir Microsoft detaljerte instrukser til både IIS-systemadministratorer og vanlige PC-brukere. Microsoft forklarer blant annet at PC-er som har vært smittet av msits.exe har to bestemte filer på sin harddisk, kk32.dll og surf.dat. Finner du disse filene på din PC, må du oppsøke nettstedet til din antivirusleverandør og følge utlagte instrukser for hvordan maskinen skal renses.

Microsoft samarbeider blant annet med USAs føderale politi FBI i etterforskningen av Download.ject.

Til toppen