Sådan hentes Kina til kun $ 1.800

Svindlere kan have en varm aftale, der venter på dem i form af et uklart kinesisk domænenavn, der er til salg på internettet.

Wpad.cn-domænet er til salg ifølge en notat på webstedet. Denne omstændighed betyder nok ikke meget for de fleste, men for Duane Wessels er det en stor ting. Han siger, at hvis det faldt i kriminelle hænder, kunne det misbruges til phishing eller andre former for bedrageri.

Wessels, formand for Measurement Factory, ejer fem wpad-domæner - wpad.com, wpad.net, wpad.org, wpad.biz og wpad.us. Mellem dem får han 5 millioner hits om dagen. De fleste kommer fra Windows-computere, der fejlagtigt leder efter netværkskonfigurationsoplysninger, takket være en tiår gammel Windows-fejl, som Microsoft først fik i 1.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Ingen ved hvorfor websteder som Wessels fortsætter med at få så meget trafik længe efter Microsoft patched fejlen. Han mener, at det kan komme fra gamle versioner af Windows, obskure programmer med indbyggede webkomponenter eller måske endda fejlkonfigurerede servere på netværket. Microsoft reagerede ikke på en forespørgsel om problemet på tirsdag.

Ifølge Wessels, hvis kriminelle skulle tage kontrol over wpad.cn-domænet, kunne de sætte sig op som en proxy-webserver for deres ofre, omdirigere dem til en phishing-websted eller sneaking uønskede annoncer på deres computere.

Fejlen, der sender så meget trafik til Wessels 'websteder, ligger i den måde, hvorpå nogle pc'er søger efter en WPAD-server (Web Proxy Auto Discovery) på netværket. Disse servere er betroede maskiner, der er oprettet af administratorer for at sende pc'en en webkonfigurationsfil kaldet wpad.dat.

WPAD-serverens navn starter med wpad (som i wpad.corp.idg.com), så ved hjælp af en teknik kendt som DNS-devolution, vil Windows-systemer søge langt og bredt for en maskine, der starter med de fire bogstaver. Desværre sender dette nogle gange dem ud af netværket - til Wessels 'wpad.com-websted, for eksempel. Computere i Kina, der var ligeledes fejlkonfigurerede, ville sandsynligvis se på wpad.cn-domænet.

Wessels og andre DNS-eksperter mener, at nogen sandsynligvis kunne misbruge wpad.cn-domænet ved at sende ondsindede wpad.dat-filer til disse computere. "Det kunne bruges til at minde oplysninger som kontonavne og kontonumre," sagde Cricket Liu, vicepræsident for arkitektur med Infoblox. "Du kunne potentielt ændre indhold, som de måtte se."

Kontaktet af IDG News Service, mæglere, der repræsenterer wpad.cn domæneejere, der tilbød at sælge det billigt. I et øjeblikkelig meddelelsesinterview sagde en agent hos Aomei New Investment Consulting, at domænet kunne have været for 12.000 kr. ($ 1.760).

For kriminelle ville det være en god aftale, sagde vice direktør Tomasz Koperski med FutureMind.com, som har erhvervet mere end 40 wpad-relaterede domæner. Han ejer f.eks. Wpad.com.tw-domænet, som har modtaget mere end 5 millioner hits hidtil denne måned fra computere på udkig efter wpad.dat-filer, sagde han via instant message.

Wpad.cn ejerne sandsynligvis don Jeg ved ikke om WPAD-problemet, sagde Wessels. "Mit gæt er, at de ikke bemærker, at de får mange anmodninger om denne proxy autoconfig-fil," sagde han. "Hvis de vidste, hvad de havde der, ville de nok betale mere."