'100.000 computers besmet via NU.nl'
Het ministerie van Veiligheid en Justitie heeft een waarschuwing doen uitgaan voor de malware die via Nu.nl zo'n 100.000 computers heeft besmet. Het incident wordt onderzocht. De malware is waarschijnlijk verspreid via het advertentienetwerk waar Nu.nl gebruik van maakt.
De dreiging van de malware krijg het cijfer 3 mee, van de maximale 5. Met de malware, Sinowel genaamd, kunnen kwaadwillenden gevoelige informatie zoals inloggegevens voor internetbankieren of creditcardgegevens onderscheppen, meldt het ministerie, dat de gebeurtenissen verder zegt te onderzoeken.
Gebruikers wordt aangeraden de veiligheidscheck van banken uit te voeren bij het internetbankieren. Daarnaast worden algemeen geformuleerde voorzorgsmaatregelen aanbevolen, zoals het installeren van de laatste softwareupdates en het gebruik van virusscanners en firewall. "Zodra wij meer informatie hebben over de manier waarop je je pc kan opschonen, publiceren wij dit via deze alert", schrijft het ministerie.
Malware stond een uur op Nu.nl
De malware werd gisteren aangetroffen op de site van Nu.nl en heeft gedurende een uur, precies tijdens de lunchpauze, bezoekers van de nieuwssite kunnen besmetten met Sinowal. In eerste aanleg denkt Nu.nl dat iemand gebruik heeft kunnen maken van legitieme inloggegevens waarmee het CMS van de site was binnen te komen. Zo zou een javascripts binnen de website zijn geplaatst, dat een gat in oude versies van Java en Adobe exploiteerde en zo van Indiase servers de trojan kon binnenhalen.
Het aantal geïnfecteerde computers kan oplopen naar zo'n 100.000, meldt Security.nl op gezag van het forensisch onderzoeksbedrijf Fox IT. Dat heeft sensoren staan bij bedrijven die meten welke infecties er langskomen. Die cijfers zijn vervolgens geextrapoleerd. Security.nl verhaalt van onbevestigde berichten over een bedrijf waar alleen al 500 infecties zouden zijn geteld.
Drie exploits gebruikt
De malware is inmiddels onderzocht door een aantal veiligheidsexperts. Zo heeft Sijmen Ruwhof, security analist bij Secundity, de hele javascript exploit geanalyseerd. Er blijken in totaal drie exploits te worden gebruikt door het javascrips, twee voor verouderde versies van Java en een voor een verouderde versie van Adobe Reader. Bij javascript gaat het om een versie tussen 5 en 5.0.23 en om een versie tussen 6 en 6.0.27. De exploit op Adobe Reader is gericht op een versie tussen 8 en 9.3. De code gaat eerst na welke versies van javascript en Adobe worden gebruikt.
Ruwhof heeft de javascript code geupload naar VirusTotal waar 43 scanengines van aanbieders van virusscanners klaar staan om code te controleren. Slechts twee engines sloegen aan, die van Microsoft en die van AVG. De gratis virusscanners noemen de gevonden malware respectievelijk Exploit:JS/Blacole.CV en Script/Exploit.B. "Opmerkelijk is dat AVG en Microsoft Security Essentials allebei gratis virusscanners zijn. De commerciële scanners laten het bij VirusTotal qua resultaten afweten", schrijft Ruwhof.
Bron: Webwereld.nl