Worm-bagmændene forsøger på forskellig vis at lokke folk til at klikke på en lænke, men gør man det, er der risiko for, at ens pc'er ender på et sted, hvor den straks inficeres. Smitten indebærer, at en ubeskyttet eller mangelfuldt beskyttet pc kommer til at indgå i et net af angrebspc'er. Det er et såkaldt botnet (robotnet), som bagmændene har fuld kontrol over, når de vil det.
Nyhedstjenesten The Register skriver her lidt om Bloggerangrebet og forhistorien. Nyhedstjenesten citerer analytikere for, at omkring 1,7 millioner pc'er allerede er en slags sovende agenter for bagmændene.
En blog tilknyttet sikkerhedsfirmaet Sunbelt viser, hvorledes det udmønter sig på Blogger. Angrebet, der ses som selvstændige indlæg på en blog, har typisk tekster som "Dude what if your wife finds this" and "Sheesh man what are you thinkin". Målet er, at få folk til at klikke på en "afslørende" YouTube-video, men man ryger altså i stedet direkte til en smittekilde.
Ifølge det danske it-sikkerhedsselskab CSIS er det sandsynligvis en russisk bande, der står bag Worm. CSIS fortæller i dag, at bagmændene har sat et angreb ind mod firmaets eget Skanderborg-kontor, hvis system ikke længere kan få forbindelse med internettet. Der er tale om et såkaldt Denial of Service-angreb, hvor servere bombarderes med så meget trafik (typisk via botnets), at de opgiver ævret. Nyhedstjenesten Comon har historien.
Worm-starten i januar gik med en mail, der varslede, at en alvorlig vinterstorm var på vej til Nordeuropa, og som vist anmodede folk om at klikke på lænke, der ville føre til mere viden. Siden har bagmændendes mails lokket med sex-fotos og bebudelser om, at man har fået et "greeting" card fra familie eller venner. Dem så jeg en del af blandt de mails, som min Gmail havde frasorteret som spammails.
Hele sagen udgør endnu en påmindelse om, at man skal have sin firewall på plads, en anti-viruspakke, der løbende ajourføres, samt at man også har en løbende ajourføring med sikkerhedspatches (Windows Update og lignende tjenester).
Jeg vil senere skrive lidt om, hvorledes man kan afsløre, om ens pc er blevet shanghajet - en del af et botnet. Ved ikke nok om det lige nu, men har søgt bistand, Andre er imidlertid mere end velkommen til at fortælle nærmere under kommentarer.
Tilføjelse den 31. august. CICS' Peter Kruse har i en mail til mig givet følgende oplysninger:
"Først og fremmest må den almindelige PC bruger desværre til at indstille sig på, at angreb ikke længere er isoleret til e-mail. I snart et halvt år har størstedelen af inficerede maskiner opnået deres status via drive-by angreb (hvor der plantes exploits fra fjendtlige hjemmesider). Brugere lokkes via e-mail, links på blogs eller forums eller nyhedsgrupper. Der er mange forskellige typer lokkemad og kreativiteten fejler bestemt ikke noget.Tak til Peter Kruse for denne hjælp. F-Secures online-scanner findes her. Ordet Exploit står for kode, der udnytter en svaghed. Ordet Rootkit forklares her, og det er altså oprindeligt betegnelsen for en række værktøjer, der gør det muligt for "administrator" blandt andet at overtage kontrollen over pc'en - for eksempel som led i fejlfinding. Hackerne smugler egne rootkits ind.
Generelt er Storm en yderst kompleks kode med rootkit funktionalitet, så det kan være svært, efter infektion, at spotte den uønskede kode.
Et par symptomer er imidlertid mange udadgående forbindelser og deraf langsommere Internet hastighed samt deaktivering af sikkerhedssoftware.
Hvis man har mistanke om infektion bør man besøge en online scanner - der er flere gode bl.a. F-Secures online scanner som er rigtig god til at detekte Storm kode.
Hvis online scanneren ikke vil køre kan det være et tegn på infektion.
Citat slut.
PS: Vedr. angrebet på blogs, skrevet på blogplatformen Blogger. Formodningen går p.t. på, at det ondartede indlæg kommer ind via den funktion, der tillader, at man kan sende sit indlæg via email (til en særlig adress), så man ikke skal logge ind i Blogger med videre. Jeg har IKKE slået e-mailfunktionen til for min blogs.
