Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 220, views: 80.807 •

Naar schatting honderdduizend bezoekers van nieuwssite NU.nl zouden woensdagmiddag besmet zijn geraakt met de Sinowal-trojan. Ook zouden de meeste antimalware-tools niet in staat zijn om de desbetreffende trojan te verwijderen.

Dat meldt Security.nl. Beveiligingsfirma Fox-IT zou via detectiesoftware die het bij bedrijven heeft draaien, verdachte activiteiten hebben waargenomen bij bezoeken aan de NU.nl-website. Als de cijfers worden geëxtrapoleerd, zou het getal van naar schatting honderdduizend met de Sinowal-malware geïnfecteerde systemen resulteren. Volgens onbevestigde berichten zijn bij één bedrijf zelfs 500 systemen besmet geraakt.

Hackers wisten woensdag via het contentmanagementsysteem van NU.nl een javascript-bestand op de server van de nieuwssite te plaatsen. Dit script haalde een exploit-kit van een server in India. Via kwetsbaarheden in verouderde versies van onder andere Adobe Reader en Java konden vervolgens Windows-systemen met de roemruchte Sinowal-trojan worden besmet.

De Sinowal-trojan nestelt zich onder andere op de master boot record van de harde schijf. Dit zou voor het merendeel van de antimalware-tools problemen opleveren. De firma Surfright, die woensdag als eerste melding maakte van de malware op NU.nl, heeft een versie van zijn HitmanPro-pakket uitgebracht die Sinowal wel zou weten te verwijderen.

Een andere mogelijkheid is om te starten met een bootable cd-rom of usb-stick en het 'fix mbr'-commando te draaien. Daarbij wordt de bootsector opnieuw aangemaakt. Een complicerende factor is echter dat de nieuwe Sinowal-variant, die uit is op het stelen van bankgegevens, controleert of de module in de master boot record aanwezig is. Als deze hook door antimalware-software is verwijderd, wordt hij weer teruggeplaatst.

Inmiddels heeft Waarschuwingsdienst.nl, een informatiesite van de Rijksoverheid, een melding over het malware-incident bij Nu.nl geplaatst. Een concreet stappenplan om de Sinowal-malware van een besmet systeem te verwijderen, biedt de website echter nog niet aan.

Reacties (220)

Reactiefilter:-12200193+1103+216+33
1 2 3 ... 8
en ik ben er ÚÚn van.

-edit-
inmiddels verwijderd en alles up-to-date.

[Reactie gewijzigd door darkmagic op 15 maart 2012 13:01]

Is het al duidelijk of zonder tooling de aanwezigheid van de trojan duidelijk is? M.a.w: kan een gebruiker gedrag opmerken dat duidt op een infectie?

[Reactie gewijzigd door Eagle Creek op 15 maart 2012 13:04]

het leek of de banksite langzamer lade, maar dat is mee op gevoel gebaseerd. verder is er naar mijn inzicht niks opgevallen. maar ik ben niet de enigste die op de pc zit dus kan eigenlijk niks zeggen symptomen ervan
Zie ook: http://www.nu.nl/internet...controle-cyberaanval.html

Goed van nu.nl (weliswaar een dag te laat) dat ze aandacht besteden aan de hack gepleegd op hun eigen site. Er zijn genoeg sites die dat niet doen.

Als je bankieren niet meer vertrouwd, kun je de links in dat artikel van nu.nl gebruiken of direct naar:
http://www.veiligbankieren.nl/nl/test.html gaan.
Nee hoor, ze besteden er geen aandacht aan, maar brengen het gewoon als nieuws. 8)7
Eerder vandaag was Chrome hier ook ineens zo traag. Een reboot lostte niks op. Ik draai de dev versie dus ik dacht dat dat met een update wel opgelost zou worden. Maar ik surf dagelijks naar nu.nl en een trojan is ineens bijzonder waarschijnlijk. Meteen maar 's een scan uitvoeren met Hitman Pro op advies van nu.nl zelf. Thanks siepeltjuh voor de link!

*edit*
Volgens Hitman Pro staat er geen malware op m'n laptop. De traagheid van Chrome zal dan wel inderdaad een bug zijn.

[Reactie gewijzigd door 2fish op 15 maart 2012 17:35]

Volgens mij ben je wel veilig omdat Chrom((e)ium) in een sandbox draait en de malware dus geen kans heeft om naar buiten te komen.
Ik ga thuis deze gebruiken, de root-kit revealer van Microsoft/SysInternals... misschien kan ik daar wat mee vinden... http://technet.microsoft.com/nl-nl/sysinternals/bb897445

Edit: ik zie nu dat deze alleen voor Windows XP (32-bit) and Windows Server 2003 (32-bit) is... jammer.

[Reactie gewijzigd door airell op 15 maart 2012 13:23]

Rootkit releaver wordt al geruime tijd niet meer ontwikkeld, dus je kunt twijfelen aan de effectiviteit voor moderne infecties.

Daarbij moet een gebruiker dus de scan starten voor detectie, en blijft de kans voor non-detection bestaan.

[Reactie gewijzigd door Eagle Creek op 15 maart 2012 13:28]

Let wel, de root kit revealer werkt niet met 64 bit systemen!
Edit: spuit 11 :)

[Reactie gewijzigd door blobber op 15 maart 2012 14:45]

@eagle Creek.

ga naar www.gmer.net download de applicatie en scan (rootkit/mbr scanner)..
en je weet meteen het antwoord..

hiermee kan je ook de hidden services verwijderen (met rechtermuis) maar kijk uit wat je doet. iig geval kan je zien of je geinfecteerd bent.

ook kan je checken of je systeem uberhaupt veilig was ten tijde van bezoek van nu.nl kan hier:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/

edit:
inmiddels is er een removal tool beschikbaar:
Hitman Pro heeft mogelijkheden voor het verwijderen en detecteren van de malware aan hun software toegevoegd. Een gratis versie voor eenmalig gebruik is te downloaden via: http://www.surfright.nl/en/hitmanpro
Medusoft heeft een extra DAT file beschikbaar gesteld voor McAfee waarmee de malware is te detecteren. Het verwijderen van de malware is met deze update nog niet geheel mogelijk. Meer informatie hierover is te vinden op de website van Medusoft: http://www.medusoft.eu/sinowal/

[Reactie gewijzigd door Djaro op 15 maart 2012 15:54]

Dankjewel Djaro voor de link, ben de software nu aan het draaien.

Ik wilde wel nog even melden dat ik het een grote schande vindt dat nu.nl geen banner of waarschuwing draait dat dit gebeurt is. Ze leveren een digitale service en hun hoofdproduct heeft schade berokkend bij bezoekers. Als dit met een fysiek product was zou er een terugroepactie zijn. Nu doen ze of hun neus bloedt......triest.

Ik snap dat het de verantwoording is van gebruikers dat hun eigen pc up to date is maar een linkje of waarschuwing dat dit gebeurt is zou wel beleefd geweest zijn.

Edit: 6 minuten na dit bericht verschijnt er een nieuwsbericht op nu.nl hierover. Blijkbaar lezen ze ook Tweakers.net ;)

[Reactie gewijzigd door bigbrother1984 op 15 maart 2012 15:39]

Gedetecteerde softwareversies
Java: 6.0.31
Adobe Reader: Niet gedetecteerd

De test is voltooid. Je kan niet ge´nfecteerd geraakt zijn, omdat de software op je computer niet kwetsbaar was voor de aanval die via nu.nl is uitgevoerd.
w00t! i rule =)

en jij ook djaro.
thx voor de link.
Les IMO: Adobe Reader is best vaak doel van aanvallen. Hou het op iets anders, zoals Nitro pdf.
Er is wel een tool om te kijken of je vatbaar bent voor de gebruikte exploits, http://sijmen.ruwhof.net/js/nu.nl-infectietest/. Dit zegt natuurlijk niet of je daadwerkelijk bent ge´nfecteerd, maar als je in de periode dat nu.nl besmet was die site hebt bezocht Ún je virusscanner sloeg geen alarm, zou ik toch even extra uitkijken ;)
Bij mij viel op dat Google.nl en Gmail het niet meer deed. Ook het laden van de mappen op de interne schijf waren traag.

Er stond een herkenbare .exe in het gebruikersprofiel als zijnde, hier klopt iets niet :)
ik werk in de saturn... en bij de macafdeling staat er een groot scherm... en daar komt heel de tijd op:

'A mac cannot be infected with pcVirusses'
Men zegt er wel niet bij dat er ook virussen bestaan voor de mac, en dat de mac dus wel gewoon besmet kan worden met rootkits, virussen, trojans, enzomeer...

er liggen in de winkel bij ons dan ook gewoon antiviruspakketten voor de mac van verschillende softwarehuizen (symantec/norton, mcafee, etc)

jouw 'beste' rootkit defender is dus helemaal geen rootkit defender... trouwens, op een mac kan je gewoon windows draaien; waar sta je dan ???
ik zal je beter vertellen. het eerste virus dat er bestond was een mac vrius!
@ darkmagic:

Vertel het dan ook zoals het is:

In 1972 Veith Risak, directly building on von Neumann's work on self-replication, published his article "Selbstreproduzierende Automaten mit minimaler InformationsŘbertragung" (Self-reproducing automata with minimal information exchange).[6] The article describes a fully functional virus written in assembler language for a SIEMENS 4004/35 computer system.

Bron: http://en.wikipedia.org/wiki/Computer_virus

Het eerst virus dat een computer infecteerde :

19 januari 1986 – Het door de Pakistaanse broers Basit en Amjad Farooq Alvi ontwikkelde computervirus was het eerste computervirus dat actief was in de wereld. Het werd verspreid via floppydisks.

http://www.nieuwsdossier....irus-eerste-computervirus

[Reactie gewijzigd door Kees de Jong op 15 maart 2012 20:44]

Die anti virus paketten zijnjuist echt bs, er zijn virussen voor mac maar heel weinig en worden snel via apple update gepatcht want een virus gaat alleen werken met een exploit ie root toegang geeft. En zodra er weer een exploit is patcht apple deze. Eigenlijk netzo als ze doen bij jailbreaks op ios dat zijn ook root exploits. Unix werkt gewoon kompleet anderd en een virus scanner is hier bij echt onzin hij herkent misschien wel virussen maar je systeem mits uptodate is toch niet kwetsbaar
Heb je snel gedaan; ik kan me namelijk nog herinneren dat de enige oplossing voor dit virus om em zeker weten helemaal weg te krijgen, het formatteren en opnieuw bouwen van je MBR is. Of zijn er dusdanig geavanceerde pakketten die dit probleem ook kunnen oplossen?
Dus, als je hitmanpro download, kan je hem verwijderen? Een handige download link erbij is misschien ook wel zo nuttig?
Edit:Hier dus

[Reactie gewijzigd door IceBlackz op 15 maart 2012 13:02]

Inmiddels overbodige reactie (hoewel origineel wel ontopic natuurlijk).

[Reactie gewijzigd door hardware-lover op 15 maart 2012 14:06]

Kan je er alleen vanaf komen met de nieuwe versie van Hitman pro?

Staat dit nieuws op de site van NU.nl inclusief hoe je er vanaf kan komen?
En wat teleurstellend is, is dat nu.nl niet binnen een dag een simpel tooltje op hun website plaatst waarmee de veel meer dan 100.000 verontruste bezoekers eenvoudig kunnen controleren of ze nu wel of niet besmet zijn geraakt.

Ik ga maar weer verder met het controleren van PCs van familieleden...
Een tool beschikbaar stellen is bewust niet voor gekozen verwacht ik. Nu.nl is tenslotte geen software ontwikkelingsbedrijf en dan zouden ze ook nog support moeten gaan aanbieden.

Een derde-partij inschakelen is natuurlijk een optie maar dat kost tijd om zoiets te initialiseren (plus het bouwen van zo'n tool).
Een complicerende factor is echter dat de nieuwe Sinowal-variant, die uit is op het stelen van bankgegevens, controleert of de module in de master boot record aanwezig is. Als deze hook door antimalware-software is verwijderd, wordt hij weer teruggeplaatst.
Blijkbaar is dus al uit het virus op te maken hoe er te controleren is of het virus zich in de MBR bevind. Grootste werk is dus al door de makers zelf gedaan :)

[Reactie gewijzigd door IceBlackz op 15 maart 2012 13:11]

Is er bekend welke anti-malware pakketten het nog meer kunnen detecteren naast hitmanpro?
Hitman Pro is geen 'anti-malware pakket/tool', het is een verzameling van verschillende anti-malware pakketten in 1 installer |:(

Daarnaast geeft dit maar weer aan hoeveel bedrijven hun desktop-zaakjes slecht op orde hebben; ik zie vrijwel altijd, overal verouderde Acrobat Reader en Java versies geinstalleerd staan, terwijl het al jaren bekend is dat de meeste browser exploit-kits (ala 'Nucleair') Java- en Acrobat-exploits misbruiken.
Inderdaad, van die systeembeheerders die angstvallig alle oude software aan boord houden. Als er nog IE6 ge´nstalleerd staat, is het voor mij al duidelijk wat de situatie binnen een bedrijf is...
Fout. Je hebt het over de Hitman Pro van vroeger. Nu is Hitman Pro wel degelijk een antimalware tool. En nog een van de beste ook......
Uhm het is al jaren geen verzameling meer hoor. Het heeft zijn eigen scanner gebasseerd op clouddetectie.
Met de nieuwe Java werken sommige applicaties niet ,
dus verplichten ze soms om bewust de oude Java te houden. ;(
Er zijn hier 4 aspecten:

1) Er werd een Javascript geladen dat zocht naar 3 lekken in Java en Adobe Reader. Als dit script geblokeerd werd ging het 'feest' voor de malware makers niet door. (*)

2) Je Java en/of Adobe plugins moesten dus dit lek hebben. Had je deze plugins niet geinstalleerd of niet actief of juist de laaste up-to-date versies waarin deze lekken gefixt waren kon je ook niet besmet raken.

3) De worm wordt geinstalleerd.

4) Deze installeerd een rootkit in de MBR.


Betreft (1) begreep ik dat enkel de Microsoft scanner en AVG het javascript tegenhielden. Ook Hitman Pro niet!

Betreft (3) en (4) is bekend dat in ieder geval Hitman Pro het aan kon. Anderen waarschijnlijk ook, maar een volledige lijst is vooralsnog onbekend.


*) Update: na verder zoeken blijkt deze stap 1 in twee fasen uitgevoerd zijn. Een eerste script downloade een tweede. Dit tweede script zocht naar de java en Adobe bugs. Het eerste script werd blijkbaar alleen door Kaspersky herkent. Het tweede dus enkel door Microsoft en AVG.. In zeker zin waren dus slechts 3 scanners in staat de bron tegen te houden.

[Reactie gewijzigd door Armin op 15 maart 2012 22:58]

Ik vraag me af waarom nu.nl een publiekelijk toegankelijk CMS gebruikt, die blijkbaar gevoelig is voor aanvallen.

Je zou toch denken dat zo'n partij een release schedule heeft die content pushed
naar read-only front-ends.
Een inlog tot het content management systeem (CMS) van NU.nl is woensdag in verkeerde handen gevallen waarna ergens tussen 11.30u en 12.30u malware is verspreid via NU.nl. Deze kwaadaardige software poogde bezoekers van NU.nl met een ‘trojan’ te besmetten.
Bron.
Dus geen aanval...
Zo gek is het niet dat het CMS publiekelijk beschikbaar is. Natuurlijk zou deze adequaat beveiligd moeten zijn, maar het is gewoon nooit 100% uit te sluiten.

Een release schedule met read-only front ends is natuurlijk onzin en heeft ook niets met de hack te maken. Zolang jij als hacker voor elkaar krijgt dat er javascript geinjecteerd wordt, of dit nu real-time of per schedule gaat, de hacker is dan gewoon binnen.
Via kwetsbaarheden in verouderde versies van onder andere Adobe Reader en Java [...]
Begrijp ik het goed dat als je de laatste versies van zowel Adobe Reader en Java hebt ge´nstalleerd, dat je dan veilig bent voor deze trojan?
Ja, als je volledig up-to-date was liep je geen risico.

offtopic:
edit: beter verwoord.

[Reactie gewijzigd door X_lawl_X op 15 maart 2012 13:20]

Welke van de twee is het nu?

Je antwoord is niet duidelijk, en wat is je bron van deze wijsheid?
Nou als je goed leest, dan kan je hem verwijderen inderdaad. Maar als je de pc reboot dan leest de computer dat dat Virus nodig is en plaatst hem weer terug.
dan is ie niet goed verwijderd ;)

ga terug naar start u ontvangt geen 20.000
kan iemand uit de doeken doen hoe de infectie precies plaats vindt want ik kan wel een boel over het virus zelf vinden maar ben zo benieuwd hoe het blijkbaar mogelijk is om zonder enige actie van de bezoeker toch ge´nfecteerd te raken??
Oudere versies van Flash, Acrobat en Java hebben lekken waardoor er code uitgevoerd kan worden op een systeem van een nietsvermoedende gebruiker.
Het enige wat er nodig is is een website die (via javascript) een van deze plugins aanroept. Als het Flash, PDF of Java bestand dan exploit code bevat is je systeem besmet.
Ik heb er vorige week nog eentje gehad, die had al mijn passwords gestolen uit mijn FTP lijst en de sites in mijn beheer geinfecteerd met dezelfde code.

Java, Flash en Acrobat updaten is erg belangrijk, daar moet je eigenlijk nooit langer dan een paar dagen mee wachten. Ook niet geheel onverstandig om plugins uit te schakelen in je browser en alleen uit te voeren als je dat als gebruiker goed vindt.
Dat vraag ik me ook af of ben ik dan te n00b om door te hebben dat je tegenwoordig niks meer handmatig hoeft te downloaden/aanklikken om ge´nfecteerd te raken?
Dat vraag ik me ook af of ben ik dan te n00b om door te hebben dat je tegenwoordig niks meer handmatig hoeft te downloaden/aanklikken om ge´nfecteerd te raken?
Jawel, jij gaat handmatig naar een website toe :)

Ontopic:

Ik vind inderdaad wel dat Nu.nl zelf ook wel wat meer aandacht had mogen besteden aan het hele gedoe.
Gelukkig dat je niet geinfecteerd kon raken als je alles op to date had. Maarja, toch blijkt weer dat veel mensen dat gewoon niet hebben...
Dus nu.nl haalt honderduizend bezoekers in ÚÚn uur die allemaal een verouderde Adobe Reader of Java hebben? Lijkt me een aardig hoog nummer, of ik zie ik iets over het hoofd?

Gelukkig werk ik overdag met Ubuntu dus ben ik niet kwetsbaar hiervoor.

[Reactie gewijzigd door Martijn19 op 15 maart 2012 13:04]

misschien kan virus zichzelf verspreiden naar andere machines in het netwerk.
waardoor 1 machine met domain admin rights zon 300nodes in het netwerk mee pakt.
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013