Igencsak meglepődött Michael La Pilla, az iDefense it-biztonsági cég munkatársa, amikor egy linuxos gépről behívta a MySpace oldalát, majd a masina udvariasan arról érdeklődött, valóban meg szeretné-e nyitni az exp.wmf nevű állományt.
Hirdetés
A Microsoft még januárban – foltozási üteméhez képest rekordsebességgel – adta ki a WMF, azaz Windows Metafile-sebezhetőség néven elhíresült, komoly biztonsági kockázatot rejtő rés javítását. Mégis ezt a már ismert biztonsági rést használta ki a múlt hét során egy reklámbannerben elhelyezett kémprogram.
A banner több más weboldal mellett a MySpace népszerű közösségi szájt főoldalán is ott virított. A hirdetés elvileg a deckoutyourdeck.com weboldalt reklámozta, valójában azonban egy Törökországban hosztolt, orosz nyelvű weboldalról töltögette csurig spyware-rel a nem kellően gondosan frissítő felhasználók számítógépeit. Ebben sajnos elég sikeres volt – az iDefese szerint több mint egymillió példányban töltődött le a kémprogram az orosz nyelvű oldalról. La Pilla szerint az a tény, hogy az oldal számon tartotta a letöltéseket, azt támasztja alá, hogy a kémprogramokat – a legújabb szokás szerint – egy harmadik fél megrendelésére terjesztették, aki a sikeres telepítések száma alapján fizetett a számítógépes bűnözőknek.
A PurityScan/ClickSpring családba tartozó kémprogram a felhasználók internetes barangolásait naplózta, ezen kívül pop-up reklámokkal is alaposan megszórta a megfertőzött gépet.
