Av
| 
Läsare som besökte Expressen.se i fredags riskerade att få sin dator infekterad av en trojan som kan förvandla den till en fjärrstyrd maskin i ett stort nätverk, ett så kallat botnät. Nu släpper säkerhetsföretaget Kaspersky ytterligare information om hur attacken gick till.
Noga maskerad i en fil på vädersajten fanns ett Javaskript som, sedan det översatts till klartext, länkade in en adress från den kinesiska webbplatsen perfectnamescore.cn. Skadlig kod, en så kallad downloader, på den webbplatsen kan ta över användarens dator och ladda hem ytterligare trojaner och fjärrstyrningsprogram.
– De verktyg som har använts för att skriva downloadern har tidigare i stor utsträckning använts för att rekrytera till botnätet Zeus, säger Ronald Binnerstedt, teknisk chef på Kaspersky i Sverige.
Enligt Kaspersky används botnätet för utskick av spam genom att i princip förvandla användarens pc till en e-postserver som kan styras av kriminella.
Strax efter att Computer Sweden och Kaspersky uppmärksammat angreppet stängde Expresen vädersajten. Den öppnades igen sent på natten mot lördagen. Chefredaktör Thomas Mattsson gick samtidigt ut på sin blogg och berättade om det inträffade.
Fredrik Johansson, it-chef på Expressen, bekräftade på måndagen att tidningens it-avdelning hade hittat en trojan på sajten. Han hänvisar till en extern leverantör, men är i övrigt förtegen om detaljerna.
Botnätet Zeus är även känt för att användas för att stjäla inloggningsuppgifter till nätbanker och e-handelswebbplatser.
Analysen av Expressens kod visar också att länkarna till den trojanspridande sajten inte kommer via en annons, utan har smugits in i ett skript i tidningens väderapplikation. Vid tidigare attacker av liknade slag har angripare köpt annonser, inte sällan med stulna kreditkort, och på så sätt fått sin kod införd på stora, välkända webbplatser.
Noga maskerad i en fil på vädersajten fanns ett Javaskript som, sedan det översatts till klartext, länkade in en adress från den kinesiska webbplatsen perfectnamescore.cn. Skadlig kod, en så kallad downloader, på den webbplatsen kan ta över användarens dator och ladda hem ytterligare trojaner och fjärrstyrningsprogram.
– De verktyg som har använts för att skriva downloadern har tidigare i stor utsträckning använts för att rekrytera till botnätet Zeus, säger Ronald Binnerstedt, teknisk chef på Kaspersky i Sverige.
Enligt Kaspersky används botnätet för utskick av spam genom att i princip förvandla användarens pc till en e-postserver som kan styras av kriminella.
Strax efter att Computer Sweden och Kaspersky uppmärksammat angreppet stängde Expresen vädersajten. Den öppnades igen sent på natten mot lördagen. Chefredaktör Thomas Mattsson gick samtidigt ut på sin blogg och berättade om det inträffade.
Fredrik Johansson, it-chef på Expressen, bekräftade på måndagen att tidningens it-avdelning hade hittat en trojan på sajten. Han hänvisar till en extern leverantör, men är i övrigt förtegen om detaljerna.
Botnätet Zeus är även känt för att användas för att stjäla inloggningsuppgifter till nätbanker och e-handelswebbplatser.
Analysen av Expressens kod visar också att länkarna till den trojanspridande sajten inte kommer via en annons, utan har smugits in i ett skript i tidningens väderapplikation. Vid tidigare attacker av liknade slag har angripare köpt annonser, inte sällan med stulna kreditkort, och på så sätt fått sin kod införd på stora, välkända webbplatser.
(
Molnigt på idg.se?
Rätt ska vara rätt - (We are Linux. Resistance is an indication you missed the point.) 2009-03-24 15:24
Rätt ska vara rätt - (Ellman) 2009-03-24 17:50
Rätt ska vara rätt - (flemens) 2009-03-24 18:08
Uppenbarligen - (Nils H) 2009-03-24 18:15
Rätt ska vara rätt - (We are Linux. Resistance is an indication you missed the point.) 2009-03-24 18:38
Uppenbarligen - (R_I_P) 2009-03-25 01:58
Rätt ska vara rätt - (giddorah) 2009-03-25 02:57
Inte förvånande - (Donsan) 2009-03-25 10:42
Vad ska man göra ifall man är drabbad? - (kakmonster) 2009-03-26 14:38
Det är smidigare att - (jannejanne) 2009-03-30 22:33