Virus ble distribuert fra kjente nettsider

Flere kjente nettsider distribuerte virus gjennom reklamene på deres nettsider.

Det er sikkerhetsfirmaet Fox-IT som oppdaget viruskampanjen og følgende sider har vært påvirket:

  • Java.com
  • Deviantart.com
  • TMZ.com
  • Photobucket.com
  • IBTimes.com
  • eBay.ie
  • Kapaza.be
  • TVgids.nl

Infeksjonsmetoden var en form for “drive-by download“, som betyr at brukeren blir infisert uten noen form for varsel eller at brukeren godkjenner nedlastningen. En del av denne metoden er ofte å infisere kjente og mye brukte nettsider. Nettsiden er ikke målet til angriperen, men et mellomledd for å nå fram til det egentlige målet: sluttbrukeren.

Nettsidene over ble ikke kompromittert av angriperne, men de greide å introdusere virus i reklamenettverket som de brukte (AppNexus). Reklame blir mer og mer komplisert, det er ikke bare et bilde og en link kontrollert av nettsidens eier. I stedet blir reklamene levert av egne firmaer og reklamene kan være alt fra enkle bilder til kompliserte Flash-animasjoner og Java-programmer.

Når en bruker besøker en nettside så blir disse reklamene automatisk kjørt i nettleseren. Du trenger altså ikke å trykke på reklamen. Alt skjer i bakgrunnen mens du besøker siden.

I dette tilfellet vil viruset sjekke om du har en sårbar versjon av Java, Flash eller Silverlight. Hvis du har en sårbar versjon, så laster den ned viruset og installerer seg selv på maskinen.

Viruset man får på maskinen kan gjøre flere ting, men gjør hovedsakelig annonsesvindel (click fraud). Annonsesvindel genererer ekstra klikk på annonser, som da utfører svindel fra enda en tredjepart.

NorSIS anbefaler

  • Det kan være vanskelig å beskytte seg mot slike angrep, det beste tiltaket er å ha kontroll på programmene.
    • Du må sørge for at du har programmene oppdaterte. Nettlesere og utvidelser angripes veldig ofte og det er dermed veldig viktig å ha det oppdatert. I dette tilfellet ble Java, Flash og Silverlight angrepet, det er veldig sannsynlig at man har ett av de installert. Hvis én av de ikke er oppdatert, så blir man infisert.
    • Du bør begrense antall programmer du har installert, avinstaller programmer du ikke bruker. For nettleserutvidelser kan du også bruke dedikerte nettlesere. Hvis du kun trenger Java til nettbank for eksempel, kan du bruke en egen nettleser til nettbank og kun ha Java installert i den nettleseren.
  • Det finnes egne sikkerhetsverktøy som kan hjelpe deg med å holde maskinen oppdatert. Vi har listet opp noen under sikkerhetsverktøy. Denne funksjonaliteten er også innebygd i noen antivirus.
  • Et annet tiltak som ville ha hjulpet her er forskjellige utvidelser i nettleseren som blokkerer reklame, kontrollerer skript og innstillinger som ikke aktiverer slikt innhold automatisk.

Les mer

Les mer informasjon hos blog.fox-it.com.