Mystisk web-orm går amok på hjemmesider

Omkring 4.000 hjemmesider er det foreløbigt blevet til for en SQL Injection orm, som ikke umiddelbart har noget navn, skriver amerikanske Computerworld.

Selvom 4.000 måske ikke lyder af meget i www-sammenhæng, så mener The Internet Storm Center (ISC) alligevel, at der er grund til at være opmærksom. Dels ved sikkerhedsorganisationen ikke præcist, hvordan ormen inficerer hjemmesiderne. Og dels foregår angrebet ved at lægge usynlig kode op på de inficerede hjemmesider. Det er ifølge shadowserver.org ASP- og ASP.net-sider, der er målet for ormen.

Koden har til hensigt at snige - formentlig kinesisk - fjernstyrings- og overvågnings-malware ind på besøgende klienter. ISC oplyser, at malware-distributionen ser ud til at ske via de berygtede iFrames og javascript. Og det ser ud til, at selve malware-inficeringen af klientmaskinerne sker via hullede udgaver af medieafspilleren Real Player.

Tjek dig selv

ISC mener, at SQL-ormen har floreret og formeret sig siden engang i midten af april. For at undersøge om ens hjemmeside skulle have orm, foreslår amerikanske Computerworld følgende manøvre på Google - frit oversat af Version2.dk:

"site:virksomhedsnavn (eks. version2.dk) winzipices.cn."

Der bliver samtidig advaret kraftigt mod at klikke på domæner, hvor det kinesiske domænenavn winzipices.cn optræder, da man risikerer at blive malware-ramt. Eller som ISC formulerer det:

'Fair warning, if you google this hostnames, you will find exploited sites that will try and reach out and "touch" you... even if you are looking at the "cached" page. Proceed at your own risk.'

Hvilket også betyder, at heller ikke cachede Google-kliks er sikre.