På fredagkvällen ertappades Expressen.se:s vädersajt med att sprida skadlig kod.

– Det är någon som lagt till ett Javascript på vädersajten. Vi tror att den försöker utnyttja en sårbarhet i Adobe Reader för att infektera maskiner, säger Ronald Binnerstedt, teknisk chef på säkerhetsföretaget Kaspersky, till Computer Sweden.

Koden aktiveras så fort en besökare klickar sin in på Expressens vädersajt expressen.se/vader. Det är oklart exakt vilket sidelement som används för att sprida koden.


Så här kan varningen se ut efter ett besök på Expressen.se.

Kaspersky har verifierat att sidan sprider skadlig kod men har inte kunnat säkerställa hur den hamnat där. Klart är att den lagts till av någon med tillgång till Expressens webbsajt eller publiceringssystem.

Attacken utnyttjar en sedan tidigare känd lucka i Adobe Reader. Det innebär att flera antiviruslösningar fångar upp och reagerar på attacken.

Javascriptet är inlänkat från den kinesiska webbplatsen perfectnamestore.cn. Kinesiska webbplatser har även tidigare används vid attacker av samma slag.

Symantecs antivirusprogram identifierar koden som Downloader, en mycket gammal form av trojan som har funnits sedan början av 2000-talet.

Enligt säkerhetsföretagets egen beskrivning kopplar den upp sig mot internet och hämtar hem ytterligare skadlig kod som kan fjärrstyra eller avlyssna en infekterad dator.

Samtliga versioner av Windows från Windows 95 till Windows XP påverkas av attacken. Spridningsfrekvensen på Downloader betecknas för närvarande som låg.

Enligt Ronald Binnerstedt har Kasperskys tekniker försökt att kontakta Expressens it-ansvariga i flera timmar utan resultat.

Det innebär att koden finns kvar på sidan. Besökare utan uppdaterade antiviruslösningar som besöker sidan riskerar alltså att smittas.

– Vi har försökt meddela Expressen i flera timmar nu. Vi får inget svar, säger Ronald Binnerstedt till CS.

Det bemöter Expressens it-chef Fredrik Johansson när CS når honom sent på fredagen.

– Beroende på om du har ett Adobe Reader med den här sårbarheten eller inte så finns det en risk att du blir infekterad, fortsätter han.

Expressen.se har en normal vecka närmare två miljoner unika besökare, enligt Kia index, branschstandarden för mätning av webbtrafik. Det gör webbplatsen till en av Sveriges absolut största nyhetsajter.

Uppdatering: Expressen.se:s tjänstgörande editionschef Håkan Wikström känner inte till problemet när CS når honom på telefon. Han ber att få återkomma.

Uppdatering 2: Strax innan klockan sju på fredagkvällen tar Expressen.se temporärt bort alla länkar till vädersajten medan problemet utreds.

Uppdatering 3: Vid midnatt öppnades sidan igen sedan Expressen kunnat spåra felet till en extern leverantör.

– Vi utreder nu problemet och jag har bett redaktionen att, tills vidare, ta bort länkar till vädersajten för att om möjligt minska risken för besökare att drabbas, skriver Expressen.se:s chefredaktör Thomas Mattsson i ett mejl till Computer Sweden.

– Expressens it-avdelning ska hantera det här, men eftersom jag själv inte är tekniker vågar jag inte sia om när problemet ska vara löst, fortsätter han.

Har era tekniker kunnat bekräfta problemet på egen hand?

– IT-avdelningen arbetar med problemet nu, men jag har ingen förstahandsinformation om status i deras arbetet och vill därför inte kommentera vad vet, skriver Thomas Mattsson.

Hur många besökare har er vädersajt i genomsnitt per dag?

– Det vill jag inte kommentera av konkurrensskäl.