Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

nu.nl besmet met malware

DexterXL
15 antwoorden
  • [quote:0efe147ddc]Nu.nl heeft circa een uur lang javascript-code geserveerd die poogde om bezoekers van de nieuwssite met een trojan te besmetten. De aanvallers maakten gebruik van servers in India waarop een exploit-kit was geplaatst.

    Erik Loman, ontwikkelaar bij beveiligingsfirma SurfRight, maakte op Twitter bekend dat op de voorpagina van de nieuwssite javascriptcode 'g.js' was verstopt. De code activeerde volgens Loman een nuclear exploit pack dat op een webserver in India was geplaatst. Het exploit-script controleerde de browser en veelgebruikte plugins als Flash en Adobe Reader op beveiligingsgaten. Als er een exploit werd gevonden, verstuurde de server de Sinowal-malware, een trojan van Russische makelij, die continu wordt bijgewerkt en poogt bankgegevens te stelen. Sinowal nestelt zich op de master boot sector en wordt bij elke herstart van een computer ingeladen.

    Volgens Loman heeft Nu.nl de malware tussen circa 11.30 en 12.30 geserveerd. Mogelijk is bewust gekozen voor deze tijd, omdat de nieuwssite rond lunchtijd meer bezoekers zal trekken. Ook zou de aanvaller rond 12.00 de javascript-code hebben aangepast om zo naar een andere server te verwijzen waarop de exploit-kit was geplaatst. Loman stelt verder dat er al meldingen zijn van Windows-gebruikers die met malware besmet zijn geraakt.

    Het is onduidelijk hoe de aanvallers de javascript-code op de server van de nieuwssite hebben weten te plaaten. Nu.nl heeft inmiddels de gewraakte javascript-code bevatte, offline gehaald. Ook zal de nieuwssite een onderzoek instellen.

    Bron: tweakers.net

    [/quote:0efe147ddc]

    Nu dit weer, ik lees hier ook meerdere malen per dag.
    Zou ik het direct merken als 1 van m'n pc's besmet was?
  • Vermoedelijk wel.
    Doorgaans kun je aardig op de meeste AV progjes afgaan.

    Het kan echter nooit kwaad om met enige regelmaat zelf een aantal controles uit te voeren. Bekijk zo af en toe eens:
    1) De inhoud van de map "Program Files"
    2) Wat wordt er opgestart en zitten er vreemde/verdachte zaken bij? MSConfig > Opstarten (In Win7: Configuratiescherm > Systeembeheer > Systeemconfiguratie > Opstarten)
    3) De inhoud van je (gebruikers) Temp map. Verdachte zaken?

    Een zekerheid van 100% krijg je op die manier uiteraard niet, maar 't geeft soms wel een indicatie….
    Overigens geven ze zelf ook al aardig wat info.
  • Kunnen MBAM/ESET online (sporen van) een eventuele infectie ontdekken en oplossen?
  • Er zijn legio hulptooltjes die dit kunnen, maar zoals gezegd: een goede virusscanner zal bij dit soort zaken in de meeste gevallen direct een gil geven… :wink:
  • [quote:931d656f5d]Het kan echter nooit kwaad om met enige regelmaat zelf een aantal controles uit te voeren. Bekijk zo af en toe eens:
    1) De inhoud van de map "Program Files"
    2) Wat wordt er opgestart en zitten er vreemde/verdachte zaken bij? MSConfig > Opstarten (In Win7: Configuratiescherm > Systeembeheer > Systeemconfiguratie > Opstarten)
    3) De inhoud van je (gebruikers) Temp map. Verdachte zaken? [/quote:931d656f5d]

    Dan is het wel al te laat. :?

    Het word aanbevolen wanneer er updates verschijnen die onmiddelijk te installeren .
    Het word ook aanbevolen om verouderde versies zoals Adobe Reader, Adobe Flash Player, Java, Quicktime enz…. van je computer te verwijderen en de recenste versie te installeren. Het is via deze lekken dat de computer besmet geraakt. Computers waarvan Windows en andere software niet bijgewerkt is met de nodige (beveiligings)updates lopen het meest risico tegen dit soort aanvallen.
  • Ik heb gisteren tijdens het bezoeken van Nu.nl een melding gekregen van Google Chrome. Een balkje bovenaan: 'De plugin Java is geblokkeerd omdat deze verouderd is'. En dan 3 keuzes, door laten gaan of blokkeren, of het balkje wegklikken. Ik heb voor het balkje wegklikken gekozen, maar is hiermee deze geblokkeerd of toegestaan? En als ik het weggeklikt heb, is dan nog steeds het virus binnen gekomen?

    Mijn virusscanner Microsoft Security Essentials heeft het virus niet opgespoord.
  • [quote:5dc23c1418="swake"]
    Dan is het wel al te laat. :?

    Het word aanbevolen wanneer er updates verschijnen die onmiddelijk te installeren .
    Het word ook aanbevolen om verouderde versies zoals Adobe Reader, Adobe Flash Player, Java, Quicktime enz…. van je computer te verwijderen en de recenste versie te installeren. Het is via deze lekken dat de computer besmet geraakt. Computers waarvan Windows en andere software niet bijgewerkt is met de nodige (beveiligings)updates lopen het meest risico tegen dit soort aanvallen.[/quote:5dc23c1418]

    "Te laat" is het nooit om te ontdekken of er op je systeem zaken staan die het daglicht niet kunnen verdragen.

    Uiteraard is het superbelangrijk om updates zo snel mogelijk te verwerken, zeker waar het om de gevoelige plekken gaat!! Deze noem je zelf al.
    Edoch….: daarnaast is het in het kader "zeker is zeker" absoluut een aanrader of er zich op de door mij genoemde locaties geen verdachte zaken terug te vinden zijn. Ik neem dit onderdeel zelf altijd mee voordat ik een (2 wekelijkse) image maak.
    Kwaad kan het niet….. :wink:
  • De waarschuwingsdienst van het Ministerie van Veiligheid en Justitie heeft het volgende bericht verspreid.
    http://www.waarschuwingsdienst.nl/ID/WD-2012-025

    Je kunt je op deze dienst abonneren zodat je "tijdig" wordt geïnformeerd, in het onderhavige geval zou dat toch al te laat zijn geweest omdat de kwaadaardige code slechts een uur op de site van NU.nl heeft gestaan.
  • Wat ook handig is, is als de naam van het virus bekend is. Je kunt dan op de websites van de grote AV jongens (zoals deze) uitvogelen wat dat virus aanricht en waar-ie zich in je systeem nestelt.
    In veel gevallen kun je dan handmatig actie(s) ondernemen als het "te laat" is.
  • lion op de door jouw genoemde site staat toch helemaal niets over de kwaadaardige code met als naam "Sinowal" dus ….
    De waarschuwingsdienst doet dat in dit geval wel en geeft info wat te doen als het kwaad geschied is.
  • [quote:7117c2f904]De waarschuwingsdienst doet dat in dit geval wel en geeft info wat te doen als het kwaad geschied is.[/quote:7117c2f904]

    Vreemd dat men dit in België wel doet en in Nederland niet.

    Het Computer Emergency Response Team is een team van ICT’ers dat in staat is snel te handelen als zich een beveiligingsincident voordoet met computers of computernetwerken. Het virus waarvoor de dienst waarschuwt heeft intussen al 4 miljoen computers aangetast in meer dan honderd landen, en volgens het CERT is het waarschijnlijk dat het ook België in zijn greep heeft. Het Cert kan evenwel de impact van het virus, DNSchanger genaamd, nog niet inschatten.

    De dienst vraagt daarom elke computergebruiker in ons land om vóór 7 maart even naar de website www.dns-ok.be te surfen om te zien of het virus de computer heeft aangetast en, als dat het geval is, het te verwijderen.

    http://www.dns-ok.be/dnschanger_nl.html#wat

    Nota : Nederlandse inwoners kunnen ook de test uitvoeren.
  • Er is al heel wat geschreven hier en ook zijn mensen weer op het verkeerde spoor gezet.

    Via nu.nl werd een nieuwe versie van Sinowal verspreid.
    Dit is een rootkit die zich in de MBR van de harddisk nestelt en zich daardoor kan verstoppen en onzichtbaar maken voor antivirussoftware.

    En wat Swake nu voorstelt slaat helemaal nergens op.
    Een DNS-besmetting is namelijk iets heel wat anders.
  • [quote:b5717c0e56="gertcor"]lion op de door jouw genoemde site staat toch helemaal niets over de kwaadaardige code met als naam "Sinowal" dus ….
    De waarschuwingsdienst doet dat in dit geval wel en geeft info wat te doen als het kwaad geschied is.[/quote:b5717c0e56]

    Deze ook:
    http://www.symantec.com/security_response/print_writeup.jsp?docid=2009-072815-0454-99
    :wink:
  • Maar lion de site die je nu noemt is echt anders dan die waarnaar je verwees in je eerdere bericht van vr mrt 16, 2012 9:01 pm en daar reageerde ik op omdat op die site "niets" te vinden was.
    Het is natuurlijk wel zo dat een virusscanner of malwarescanner pas iets kan ontdekken als die van informatie is voorzien waar hij naar moet zoeken.
    In dit geval waren het de mensen van Hitmanpro die het als eerste ontdekten en daar de andere bedrijven van op de hoogte stelden.
    Hieruit blijkt maar weer dat je de updaten automatisch moet laten plaats vinden of zelf zo accuraat zijn om dat handmatig te doen.
  • [quote:e347e9bb9e="gertcor"]Maar lion de site die je nu noemt is echt anders dan die waarnaar je verwees in je eerdere bericht

    Hieruit blijkt maar weer dat je de updaten automatisch moet laten plaats vinden of zelf zo accuraat zijn om dat handmatig te doen.[/quote:e347e9bb9e]

    Is inderdaad wat gerichter informatie dan eerder, maar middels een lokale zoekopdracht was je daar ook wel uitgekomen… :wink:

    En inderdaad; updates zijn vaak noodzakelijk kwaad. Swake gaf deze al aan.
    Waarbij je niet moet denken dat je "automatisch altijd de sigaar bent" als je dit niet altijd strikt volgt.
    Ik heb ooit een Win ME machine gehad (met een legale versie!) waarbij nooit Windows Updates uitgevoerd zijn. Min of meer als "work-out".
    Allerhande belangrijke (hulp)software is wel verwerkt, zoals Adobe Flash, Java en nog wat zaken. Op deze machine stond bovendien (betaalde en bijgewerkte) AV software (Symantec).
    Toen die machine na 6 jaar trouwe dienst uit de vaart is genomen, was-ie nog steeds clean…..

    Toegegeven: tegenwoordig zou ik dit niet meer durven…..

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.