Besøgende hos den danske politiske blog Jarlcordua.dk videresendes i øjeblikket til en snedigt udformet malware-side, der reklamerer for et fiktivt sikkerhedsprogram kaldet Antivirus XP 2008. Den danske blog, der er hostet hos One.com, har fået plantet et stykke skadeligt script-kode, der sender brugerne ud på en rejse gennem nettets kriminelle underverden.
ComON har bedt sikkerhedsekspert Peter Kruse fra CSIS om at analysere, hvad der er sket med Jarlcordua.dk og de andre sites, der er ramt af samme angreb. Han fortæller at der i første omgang er foretaget en såkaldt »script injection«, formentlig ved at udnytte et sikkerhedshul i koden.
Dette script forsøger at installere et stykke malware på computeren og sender derefter brugeren videre til siden www.antivirxp08.com, hvor brugeren pludselig bliver konfronteret med en liste over skadelige programmer på sin computer. Der er tale om snyd og bedrag - programmet er slet ikke i stand til at scanne computeren.
»Den skræmmer brugerne til at tro, at man har virus på computeren. I bund og grund handler det om at få folk til at købe et program, som man ikke har brug for. At kortnummeret så lander et meget tvivlsomt sted, hvis man køber programmet, det er en helt anden problemstilling,« siger Peter Kruse.
Han advarer kraftigt mod at hoppe på fupnummeret og købe det falske antivirus-program, som i bedste fald er spild af penge - og i værste fald vil inficere computeren med malware.
ComON har talt med blog-ejeren Jarl Cordua, som hele dagen har forsøgt at få hjælp fra sin hosting-udbyder One.com til at få fjernet scriptet. Det eneste svar fra hosting-selskabet har været en opfordring til at slette alle filer på webstedet og starte forfra. En opfordring, som Jarl Cordua indtil videre ikke har tænkt sig at imødekomme.
