Ekstrabladet.dk spreder trojaner

Ekstrabladet.dk, der er en af landets mest besøgte hjemmesider, inficerede fredag morgen de besøgende med farlige trojanere.

En bannerannonce sammen med en artikel om den kontroversielle rockmusiker Marilyn Manson spredte fredag formiddag trojanere til besøgende på ekstrabladet.dk.

Trojaneren bliver smidt på den besøgende computer ved hjælp af såkaldt banner injection, hvor inficerede bannerreklamer afleverer skadelig kode til de besøgende.

»Der er tale om en yderst alvorlig fejl, blandt andet fordi ekstrabladet.dk er en af de mest besøgte hjemmesider i Danmark. Vi har længe været bekymret for, at banner injection ville komme til en af de helt store sites, og det må man sige, at der er tale om her,« siger it-sikkerhedseksperten Peter Kruse fra it-sikkerhedsselskabet CSIS, der har analyseret angrebet for Version2.

Angrebet er så nyt, så det endnu ikke er lykkedes selskabet at konstatere, hvor skadeligt angrebet er, men Peter Kruse oplyser, at der blandt andet bliver downloadet et rootkit, der forbinder sig til en server placeret i Beijing.

Peter Kruse oplyser endvidere, at banner-injektion typisk foregår på den måde, at et script videredirigerer slutbrugeren til en side, hvor der opbevares skadelig kode, og som forsøges kørt. Hvis, det sker, vil der blive droppet et rootkit samt flere ledsagekomponenter til systemet.

I det aktuelle tilfælde kopieres koden til C-drevet som ntdeIect.com, der køres med det samme, og som dropper en række filer i Windows-systemmappen. Blandt andet forskellige filer, der starter med betegnelsen "kavo" og filen wincab.sys.

Hvis browseren er konfigureret til at have tillid til "eb.dk" eller ekstrabladet.dk vil koden køre automatisk og uden brugerens viden eller accept.

Dernæst fortages der en forbindelse til en server i Kina, hvorfra der hentes en ledsagerkomponent, som CSIS netop nu analyserer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Palmkvist Knudsen

Dette angreb blev gennemført via en bannerkampagne, der er administreret af en trediepart. Dermed kunne den have ramt alle andre nyhedssites i danmark.
Vi har tæt dialog med CSIS om at lave et tool, der kan fjerne den skadelige kode. Og vi har naturligvis fjernet de kampagner, der kommer fra den trediepart. Dermed håber vi at stoppe yderligere spredning - fra eb.dk. Andre nyhedssites kan sagtens have samme problem lige nu.
Vi håber at offentliggøre et removal tool udarbejdet af CSIS på eb.dk inden kl 15.
Yderligere spørgsmål: ring 40 63 00 60

Mvh

Per Palmkvist Knudsen
IT-Direktør JP/Politikens Hus

  • 0
  • 0
Per Palmkvist Knudsen

De informationer jeg har fra CSIS er:
" ..... Den skadelige kode injektes via et banner hos eb.dk. Koden kopieres til c-drevet som ntdeIect.com der køres med det samme og som dropper:

C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll
C:\WINDOWS\system32\kavo1.dll
C:\WINDOWS\system32\wincab.sys

Hvis browseren er konfigureret til at have tillid til eb.dk vil koden køre automatisk og uden brugerens viden.

Dernæst fortages der en forbindelse til en server i Kina hvorfra der hentes en ledsager komponent som vi netop nu analyserer ..........."

  • 0
  • 0
Allan Noer

Det pågældende firma har huseret i længere tid i Danmark. De er ret udspekulerede når det kommer til at køre disse kampagner. De bliver booket igennem et 3. parts firma under et uskyldigt navn. F.eks. booker de sig som om de skal køre en kampagne for Skyauction.com. De har så rippet nogle af Skyauction's bannere og disassembled dem, og puttet deres malware ind i dem.

Og så har de tidligere lavet det så de viser det uskyldige banner til folk når man sidder på en IP range der tilhører f.eks. EB/Politiken i dette tilfælde.

Det er faktisk ret svært at spore dette her når man kører flere tusinde kampagner. Den eneste måde er at man faktisk altid skal have flash-filerne og selv kompilere dem istedet for at få swf-filerne. Og så også teste på en tilfældig isp forbindelse.

Det nemmeste som dansk virksomhed er at dobbeltchecke kampagner fra udenlandske virksomheder man ikke har handlet med før og så eventuelt lige slå dem op på Google med søgeord som malware osv.

  • 0
  • 0
Jesper Stein Sandal

Jeg synes, I skyder på de forkerte. Det er vel hverken Windows' eller Adtechs skyld, at Politikens annoncesælgere vælger at få deres julebonus i hus ved at samarbejde med tvivlsomme partnere. Vi har allerede set det ske tidligere i år, men det har åbenbart ikke fået medierne til at indskærpe en sund skepsis over for deres sælgere.

http://www.version2.dk/artikel/4995

Der er ikke umiddelbart noget i dette angreb, som ser ud til, at noget er hacket. Medierne har selv medvirket til at slippe disse reklamer ind.

  • 0
  • 0
Michael Deichmann

"og som dropper:

C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll
C:\WINDOWS\system32\kavo1.dll
C:\WINDOWS\system32\wincab.sys "

Betyder det, at hvis disse 4 filer ikke findes er man inficeret?
Eller er det omvendt - hvis de findes er Fanden løs i Laksegade?
Hvad menes der med "droppes"?
Jeg har angiveligt været på ekstrabladet.dk og de 4 filer har jeg ikke.
Hvad er jeg så?
(ud over måske tungnem)

Michael

  • 0
  • 0
lArs hAnsen

IE7 kan blive banner/reklamefri med fx. ie7pro fra ie7pro.com. Den er ikke helt så nem at tilføje nye sites til som adblock til Firefox men den er udstyret med en lang række default filtre.

  • 0
  • 0
Hans Jørn Storgaard Andersen

Jeg kører principielt ikke Windows, og efter at have læste ovenstående mener jeg ikke, at kavo.exe m.fl. kan udrette skade på et Linux-system.

Men ikke desto mindre er der god grund til at anklage Politikens hus for at putte FOR mange og FOR forstyrrende annoncer ind i deres online aviser.

Ærgerligt, fordi annoncer kan være smukke sammen med tekst - f.eks. er Politikens pdf-udgaver imponerende små kunstværker, som næppe kan give anledning til trojanske heste og lign. dumheder.

Så hvorfor forstår disse smarte folk ikke, hvad slutbrugeren vil?

Ekstrabladet styrtdykker i det trykte oplag, men er åbenbart populær på nettet. Den tillid kan de hurtigt tabe, hvis fristelserne for reklamer af tvivlsom art vokser.

Bare et godt råd: Tag hensyn til forbrugeren - i en Internet-tid kan de lynhurtigt skifte side ...

  • 0
  • 0
Jørgen Greve

Det er nogle år siden jeg valgte at køre linux på desktoppen, fordi jeg selv ville have kontrol med softwaren.
Efter min kone fik sin arbejdsplads pc med Windows inficeret / hijacket, kører hun også linux herhjemme.

Langt de fleste der kender Windows, ville kunne installere og bruge f.eks. en Ubuntu.

Det er ikke arbejdsstationen der er problemet. Problemet er at nogen publicerer indhold, der kræver Windows på klientsiden.

Mvh Jørgen

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize