Tūkstančiai sparčias interneto ryšio jungtis naudojančių kompiuterių savininkų patys to neįtardami įsitraukė į pornografijos verslą. Nukentėjusiųjų gali būti ir daugiau - nežinomi įsilaužėliai vis plečia pornosiurblių žiedą.
Kompiuterių saugumo ekspertai internete aptiko anoniminį tarpinių serverių žiedą, kuriuo pasinaudodami įsilaužėliai nukreipia vartotojus į mokamas pornografijos svetaines, gaudami iš jų pinigus už atvestus lankytojus. Be to, prisidengdami svetimais IP adresais jie siuntinėja tokius tinklapius reklamuojantį “spemą”. Įtariama, kad kai kurie užsiregistruoti prašantys pornotinklapiai gali būti padirbti, kad būtų galima susirinkti lankytojų kredito kortelių numerius.
“The New York Times” praneša, kad pirmieji tokios įsilaužėlių veiklos požymiai buvo pastebėti birželio pabaigoje. Spartų ryšį su internetu naudojančiuose namų vartotojų (tarp jų daugiausiai AOL klientų) kompiuteriuose paslapčiomis buvo diegiama programinė įranga, kuri iš centrinio serverio pagal nurodymą siunčiasi pornografines svetaines reklamuojančius tinklapius ir siūlo lankytojams juose užsiregistruoti. Jei tokio kompiuterio šeimininkas stokoja techninių įgūdžių, jis gali net nepastebėti, kad jo sistema naudojamasi. Įdiegtoji programa nedaro jokios žalos kompiuteriui ir veikia tik trumpais intervalais, kurie paprastai trunka po keletą minučių. Slėpdamiesi už perimtų kompiuterių žiedo, kuris valdomas iš nežinomos vadavietės, įsilaužėliai gana efektyviai išsprendė vieną didžiausių “spemo” siuntinėtojų ir pornografijos platintojų problemų - kaip išvengti interneto paslaugų teikėjų sankcijų, kurių paprastai imamasi sulaukus nepatenkintų vartotojų skundų. Šiuo atveju nėra jokio pagrindo išjungti internetą nieko bloga neįtariantiems vartotojams, nes tikrieji kaltininkai lieka anoniminiai. Tiesa, kadangi užkrėstieji kompiuteriai pornografinių tinklapių reklamas siunčiasi iš vieno serverio, tokia sistema nėra visiškai anoniminė, nors įsilaužėliai ir visaip stengiasi sumėtyti pėdas. Tačiau saugumo ekspertai linkę manyti, kad tai tik pirmoji gudriai plėtojamos anoniminės platformos atmaina, ir dabartinės jos spragos, tokios kaip centrinis serveris, ateityje gali būti užtaisytos.
Saugumo sprendimų bendrovės LURHQ (http://www.lurhq.com) analitikui Joe Stewartui pavyko nustatyti, kad svetimus kompiuterius pornografijos siurbliais paverčianti programinė įranga - naujoviškas “Trojos arklys”, kurį jis pavadino “Migmaf” (“Migrating mafia”). Stewarto manymu, panašu, kad juo naudojasi įsilaužėliai iš dabartinių NVS šalių, nes masiškai siuntinėjamuose el. laiškuose daugiausiai reklamuojamos rusiškos pornografinės svetainės, o programos kopijoje, kurią pavyko gauti iš užkrėsto kompiuterio, yra numatyta klaviatūros patikrinimo procedūra. “Trojos arklys” prieš imdamasis darbo pirmiausia patikrina “Windows” registro rakto “Keyboard LayoutPreload” vertę: jei vartotojas naudoja rusišką klaviatūrą, toks kompiuteris paliekamas ramybėje. Tiesa, analitikas mano, kad “prorusiška” orientacija gali būti tik bandymas apgauti.
“Migmaf” buvo pirmą kartą pastebėtas “Usenet” grupės “news.admin.net-abuse.email” dalyvių - juos nustebino, kad kažkoks spemeris gali perkėlinėti savo tinklapius iš vienos vietos į kitą vos per kelias minutes. Iš pradžių manyta, kad jis sugebėjo užkrėsti šimtus ar tūkstančius kompiuterių WWW serverio funkcijas atliekančiu “Trojos arkliu”. Tačiau išanalizavus gautos programos kodą paaiškėjo, kad ji veikia kaip “atvirkštinis” tarpinis serveris, pateikiantis ne aukos kompiuterio, bet svetimo pirminio serverio turinį. Jei kas nors bando kreiptis į, pavyzdžiui, “core.onlycoredomains.com”, “bigvolumesites.com”, “wolrdofpisem.com”, “pizdatohosting.com” ar kitus “Trojos arklio” naudojamus domenus, jis bus permetamas į vieną iš “Migmaf” užkrėstų kompiuterių, kuris savo ruožtu kreipiasi į pagrindinį sistemos serverį. Jo pateiktas tinklapis atsiunčiamas į užkrėstąjį kompiuterį, o jis pateikia jį užklausą atsiuntusiai vartotojo naršyklei. Tokiu būdu vartotojui neįmanoma nustatyti centrinio serverio IP adreso - taigi “spemeriai” ir pornografijos platintojai lieka šešėlyje.
Nustatyta, kad “Migmaf” neturi nuosavų platinimosi galimybių. Kol kas tebėra neaišku, kaip šis užkratas pateko į tūkstančius kompiuterių - kaip virusas, per IRC, P2P ar interneto žinučių programas, o gal pasinaudodamas kokia “Internet Explorer” spraga. Nors “Migmaf” naudoja tą patį failo pavadinimą, kaip ir “Lovgate” virusas - “wingate.exe” - kodas iš tiesų yra visiškai skirtingas. Aptikusiems tokį failą savo sistemoje Stewartas pataria pašalinti “Windows” registro raktą “SoftwareMicrosoftWindowsCurrentVersionRunLogin Service = wingate.exe”, perkrauti kompiuterį ir ištrinti failą %windir%system32wingate.exe.
