Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 8/10/2004
En mail, der fortæller, at man har fået et digitalt postkort, er i virkeligheden et forsøg på at udnytte sårbarheder til at overtage pc'en.For nylig modtog DK-CERT en anmeldelse fra en netbruger, der havde modtaget en mail med besked om, at han havde fået et digitalt postkort. Han skulle klikke på et link i mailen for at hente postkortet og læse det.
Den årvågne bruger bemærkede imidlertid, at linket ganske vist hed "Postcards.com", men at den URL, det henviste til, pegede på en anden adresse. Derfor undlod han at klikke på linket, men sendte i stedet mailen videre til DK-CERT.
Under efterforskningen fandt DK-CERT frem til, at linket henviste til en computer med en IP-adresse i Kina. Hvis man klikkede på linket, fik man en side frem, der forsøgte at udnytte en velkendt sårbarhed i Internet Explorer. På en sårbar pc ville det medføre, at et program blev installeret og kørt på den.
Det program, der blev installeret, var sandsynligvis et webserverprogram. På den måde kunne bagmændene opbygge et netværk af pc'er, som kunne fungere som webservere for dem. Så den computer i Kina, linket i mailen henviste til, er muligvis selv blevet overtaget på samme måde.
En amerikansk sikkerhedsforsker, der har kigget på fænomenet, oplyser, at da han besøgte siden, forsøgte den at installere en proxyserver ved hjælp af sårbarheden. Den skulle tydeligvis bruges til at udsende mails af den type, som den danske netbruger havde modtaget.
Et indlæg på webstedet Codefish Spam Watch oplyser, at den kinesiske pc med websiden indeholder flere forskellige trojanske heste. Websiden forsøger at anvende mindst fem forskellige sårbarheder for at overtage den pc, der besøger den.