Klumme: Hvor kommer al den adware og spyware fra?

På en konference i marts måned blev jeg spurgt hvor den voldsomme mængde af spyware og adware egentligt stammer fra. Hvem har i virkeligheden gavn af at udvikle adware og spyware, og hvordan formidles kontakten mellem spyware producenter og indholdsudbydere på hjemmesider og software udviklere, som smider komponenterne i deres programmer? Jeg forklarede, så godt som jeg kunne, at det ikke var vanskeligt at grave adware og spyware producenter frem, tage kontakt med dem og lave en aftale om at distribuere software som for hver gang, det blev installeret på et system, kastede x antal kroner af sig. Svaret var egentlig meget enkelt og klingede rigtigt.

Men en aften i april, hvor jeg gravede i flere tilfælde af DNS poisoning, rejste spørgsmålet sig igen. Denne gang fordi jeg i forbindelse med et aktivt DNS poisoning angreb stødte på en hjemmeside, som netop tilbyder software udviklere og indholdsdistributører mulighed for at distribuere ad- og spyware komponenter og derved tjene penge på det.

Der er muligvis flere hundrede af denne type sider på Internettet, men at fremhæve en, som gør livet surt for mange, giver mig ingen søvnløse nætter.

Det hele begyndte med en diskussion om DNS poisoning på en international mailingliste. Det ledte mig snart til en hjemmeside "loudcash.tk", som videresendte mig til en anden hjemmeside med et unikt ID. Det unikke ID indikerede, at henvisninger blev talt op og givetvis afregnet pr bruger, der blev ledt til siden.

Loudcash.tk blev i denne sammenhæng altså anvendt som en "klikside" og var derfor en del af en DNS poisoning, hvor tilfældige brugere blev ledt til siden og dermed bidragede til at optjene penge for "sidens" ejer.

Mere overrasket blev jeg, da jeg analyserede den side, som jeg landede på (loudcash.com). De første 10 minutter gik med at lede efter ondsindet kode, som skulle plantes på en besøgers system, men til min forundring kunne jeg ikke umiddelbart finde noget mistænkeligt. Normalt bruger jeg ikke lang tid på en sides tekstindhold, men denne sætning gjorde mig naturligvis nysgerrig: "LOUDcash allows you to make more money than any other affiliate program by offering you to customize our user friendly ActiveX popup and placing it on your Website.".

Aha, vi snakker altså om at LOUDcash formidler små programmer (ActiveX komponenter) som kan placeres på min private hjemmeside (eller program), hvorved jeg kan tjene penge. Spændende. To spørgsmål ville jeg søge svar på: hvor mange penge kunne man egentlig tjene, og hvad indeholder det ActiveX komponent, som skal placeres på ens hjemmeside, for at pengene begynder at rulle ind.

Det første spørgsmål blev let besvaret. På siden fandt jeg en "indtægtskalkulator". Men så snart jeg kom i gang kunne jeg se, at jeg med det samme ville få 500 dollars som en slags opstartspris. Altså udsigt til ualmindeligt lette penge. Jeg indtastede følgende data i regnemaskinen:

1 Brugerprofil: Webmaster
2. Antal af unikke daglige besøg: 250
2b Hvor mange der i gennemsnit vil installere programmet fra hjemmesiden pr dag: 100
3. Besøgene kommer fra 40% USA og 60% europa
4. Diamond løsning (standard løsning)
5. Popup ekstra bonus: nej

Se, det var helt bevist at jeg valgte et lavt besøgstal på hjemmesiden. En hjemmeside med pornografisk trækker i gennemsnit flere tusinde besøgere om dagen. Det sætter tingene lidt i perspektiv. På baggrund af de data, som jeg opgav, beregnede jeg mig frem til at skulle tjene 65,14 dollars pr. måned. Med en pornografisk hjemmeside kan man gange dette beløb med en faktor 10 eller 100 afhængigt af indhold. Altså en helt pæn forretning hvis det altså holder hvad det lover ...

Jeg gik videre og fik, efter at have udfyldt lidt fiktive oplysninger, adgang til nedhentning af en activeX komponent fra LOUDcash. Denne var ledsaget af en udførlig installationsvejledning, som til min store overraskelse inkluderede fire forskellige exploits som vedrører Microsoft Internet Explorer. Exploits, som kunne gøre det muligt, at installere activex programmet automatisk, hvis en besøgers browser ikke er opdateret.

Med udsigt til at tjene lette penge kan et sådan tilbud forekomme fristende for mange og er en medvirkende forklaring på, at man på hjemmesider forsøger at levere ad- og spywares til din pc. De mange sider betales altså penge for at installere programmerne på vilkårlig menneskers pc, mens LOUDcash tjener penge på at vise reklamer for deres kunder. I sidste ende er det slutbrugeren som betaler festen, idet en sådan maskine ofte bliver ustabil og tit direkte ubrugelig.

Ved nærmere analyse af den ActiveX komponent, som jeg skulle installere på min hjemmeside, blev det hurtigt klart, at der var tale om en typisk adware komponent og tilmed en af de slemmere af slagsen. En af den slags som foretager ændringer i HOSTS filen og nedhenter trojan-downloaders. Og dermed er vi tilbage ved begyndelsen. HOSTS filen anvendes nemlig af windows som en slags DNS. Den kan ændres til at oversætte domænenavne til ønskede IP adresser og vil prioritere HOSTS filen højere end eksterne DNS opslag.

Udover at ændre HOSTS filen foretog programmet også ændringer i andre systemindstillinger. Bl.a. sænkede den sikkerhedsindstillingerne på systemet og i Internet Explorer. Et indgreb som introducerer maskinen til endnu flere digitale snyltere. Og endeligt blev en række "mistænkelige" domæner oprettet i zonen "sider der haves tillid til" i Internet Explorer. Blandt de nye sider fandt jeg "blazefind.com, clickspring.net, flingstone.com, mt-download.com, searchmeup.cc, searchbarcash.com, xxxtoolbar.com m.fl. Sider som mange danskere kun kender alt for godt som typiske browser hijackere.

En ændring af HOSTS filen og ændring i sikkerhedsindstillingerne på den lokale maskine kan føre til flere og langt værre angreb end dem, som udelukkende introduceres ved spyware og adware komponenter. Når det testede activex komponent, som jeg nedhentede, modificerer HOSTS filen, til at indeholde en reference til www.loudcash.tk, så forstår man pludseligt bedre, hvordan DNS poisning foregår på private pc'er.

Domænet Loudcash er i øvrigt registreret til CDT inc. i Canada. Et firma som helt tydeligt beskæftiger sig med udvikling af spyware og adware programmer.

Peter Kruse repræsenterer it-sikkerhedsfirmaet CSIS i AntiPhishing Working Group (APWG) og Digital Phishnet.