Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 125 reacties, 34.171 views •

De website van de krant De Telegraaf kan bezoekers met een Windows-pc besmetten met malware. Daarvoor waarschuwt het Nationaal Cyber Security Centrum. Door kwaadaardige code kunnen bezoekers besmet raken met een worm.

Computers van bezoekers krijgen volgens het NCSC Live Security Platinum op de pc, een fake antivirusprogramma, dat zegt de pc van de gebruiker te scannen en virussen te verwijderen. Vervolgens kan de gebruiker wellicht de computer niet meer gebruiken, omdat programma's niet meer worden geopend. 

Het NCSC meldt dat gebruikers de infectie kunnen hebben opgelopen via de pagina voor de nieuwsbrief over sport. Het is onduidelijk of de site de malware nog altijd serveert. Ook hoe de pagina is geïnfecteerd is onduidelijk, maar vaak gebeurt dat via advertenties. Het NCSC raadt mensen aan de beveiliging van hun computer up to date te houden en goed op te letten bij internetbankieren. Een oplossing voor de malware is er nog niet. De malware richt zich alleen op Windows.

Update, vrijdag 9.40: De Waarschuwingsdienst van het Nationaal Cyber Security Centrum meldt dat het probleem verholpen is.

Reacties (125)

Reactiefilter:-11250107+162+28+30
Moderatie-faq Wijzig weergave
Hier op het werk ook een besmette pc, waarbij de user vertelde dat inderdaad enkel telegraaf.nl was bezocht.
Deze Trojan is niet in een paar minuten verwijderd helaas :( maar deze guide helpt best aardig daarbij: removal guide link

En ik weet niet of het toeval is, maar vond ook nog een rootkit : ZeroAccess .. !
Je kan het verwijderen door een system restore te doen indien aanwezig.
Ik had hem er na 5 min al vanaf :)
dan moet ik toch even waarschuwen: ik kwam deze malware onlangs op een pc tegen en system restore zorgde er juist voor dat ik er daarna helemaal niet meer inkwam (BSOD voordat het systeem gestart was).

uiteindelijk via linux op een usb stick de belangrijke data eraf gehaald en een verse installatie gedaan; dat doe ik meestal ook het liefst nadat je zulke troep op de pc gehad hebt, want je kunt heel moeilijk nagaan waar en wat er allemaal veranderd is.
En hoe weet je nu zo zeker dat hij eraf is?
Ik heb dit soort gevallen eerder gehad dus putte uit ervaring.
Daarbij wetend dat het om malware gaat die via een site verspreid was dat actueel was.
Een restorepoint van de dag ervoor was dus schoon. In ieder geval voor het probleem wat de telegraaf verzorgde..
Uiteraard is het niet een 100% schoon methode, maar wel snel en tot nu toe altijd met goed resultaat. Het lijkt er dan op, ik kan dit echter niet hard maken, dat het wel een 100% methode is.
Bij een klant ook een besmette pc, Systeem herstel uitgevoerd. Malware is niet meer terug te vinden.
Heeft er niks mee te maken. Dit installeert zich vaak in het profiel van de gebruiker. Google Chrome doet dit net zo.... daarom heb je er geen last van als je als een andere gebruiker inlogt.
Malwarebytes verwijdert dit virus. Collega had hem vandaag te pakken. Je dient echter onder een andere gebruiker in te loggen (dit was bij ons zo)
Security Essentials heeft wat register verwijzingen gevonden en kon deze ook verwijderen. Alleen werden er geen bestanden gevonden.
Die heb ik beide draaien...pakken veel op inderdaad :)
Niet alleen op de site van de Telegraaf wordt je hiermee bestookt, maar zelfs op weg naar die site.

Als je via www.kranten.com naar een Telegraafartikel gaat, gaat dat (soms?) via feedsportal.com die je een pseudoantimalwaread voorschotelt, incl hinderlijke popup messagebox.

Daar heb ik kranten.com al van op de hoogte gesteld, maar die geven geen sjoege.

(wijzigiging: correctie en typo)

[Reactie gewijzigd door Kalief op 6 september 2012 17:47]

Is dit lek nog steeds actief?
Het screenshot maakte ik speciaal voor deze reactie. Dus om 17:14 uur was die malware nog onderdeel van die advertentiepagina-tussen-de sites.
Mocht je Windows PC besmet zijn geraakt, ik heb hier een filmpje online gezet hoe je Live Security Platinum gratis met HitmanPro kan verwijderen:
http://www.youtube.com/watch?v=olsQ6K5jePI
Als ik het goed heb gaat het om de email service provider Silverpop. Ik neem aan dat ze nog niet al hun pagina's even snel hebben veranderd.

Zie bijv. w w w .telegraaf.nl/uitwinkelen/uitwinkelen-nieuwsbrief/aanmelden/ waar o.a. mkt112.com achter zit >>ff >> mta3643.silverpop.net

[Reactie gewijzigd door cbravo2 op 6 september 2012 23:39]

ze zouden boetes moeten uitdelen voor slecht beveiligde websites!
Gaan we dan ook boetes uitdelen aan mensen die hun computer niet beveiligen en deel worden van een botnet?

Als dit via een add-provider is gekomen, dan had de site zelf er weinig aan kunnen doen.
Als dit via een add-provider is gekomen, dan had de site zelf er weinig aan kunnen doen.
En waarom kan een andere instantie dan wel zien dat er iets mis is? Waarom kon de Telegraaf dat volgens jouw niet zelf?

Ik ben niet zo van boetes en schande roepen, maar als aanbieder van de pagina ben je in mijn beleving gewoon wel verantwoordelijk en je kan er zeker wel wat aandoen. Ik heb zelf wat scripts lopen die onze sites elke paar uur laden en reageren als er iets mis is. En ik ben niet eens een beheerder of zelfs maar matig kundig in deze zaken.
Als dit via een add-provider is gekomen, dan had de site zelf er weinig aan kunnen doen.
Ad binnenhengelen op de server. Flash ad? Nieuwe binnenhengelen tot het geen Flash ad is. JAVA? Grapjas. Script zooi eruit. Eenmaal gefiltert, pleur 'm in de broncode.

Enige probleem is dat de ad-providers het daar niet mee eens zijn. Die willen dat je alles - inclusief dus van tijd tot tijd de malware - 'as is' op je pagina plempt zodat ze zoveel mogelijk met allerlei gegevens kunnen doen - en van tijd tot tijd een malware figuur je inloggegevens binnenhengelt, misschien nog even je bankrekening raadpleegt, etc.
Jij bent snel failliet zo.

In deze wereld is het zo dat de ad-providers het geld hebben en je dus als website misschien wel wensen kan aangeven, maar je zal toch echt ook flash-ads en javascript moeten accepteren wil je blijven bestaan.

Makkelijk gezegd en een nobel streven maar volkomen onrealistisch.
Ooit 1 Google advertentie gezien die Flash of Java bevat? Ik niet.
Is niet nodig ook, want zoals je kan zien is Google er niet minder rijk om geworden.

Toch is de ad provider meer de schuldige dan de website waar de ads op staan vind ik.

Java en Flash horen gewoon niet thuis op het web tegenwoordig.
Voor flash zijn er uitzonderingen, zoals youtube video's, en die zou je via opt-in kunnen inschakelen. Flash op de achtergrond zou uit veiligheidsoogpunt echt verboden moeten worden.
Java applets zijn erg 2003. Als je nog een website gebruikt met Java erop dan kan je die wellicht in een whitelist zetten, maar ik heb er al jaren geen meer gezien.

Als je alleen maar kan leven van ad providers met flash ads, dan zal je toch echt eens naar je verdienmodel moeten kijken.
Kan best zo zijn,
maar google verdient hun geld aan andere dingen. Google weet ook ALLES van je, op een begeven moment vroegen ze me om mijn adres -,-

Maar als iemand een ad plaatst op een ''ad-hosting-site'' dan verwacht je dat ze op zen minst een filter hebben lopen op deze Malware. Maar nee dus, het bedrijf wat de ads weergeeft op de sites zoals de telegraaf hebben een privacy belijd E.D. en ik kan me niet voorstellen dat er niet in de Privacy belijden E.D. staat dat je geen malware in een Ad mag zetten.

En ZOU dit zo zijn dan zou ik van de telegraaf of andere sites die reclame van die ''reclame-hoster'' op hun site pleuren, dat ze toch WEL even kijken WAT voor een reclame dat nu is, want dat krijgen ze vast wel te zien.
Er staat in het artikel duidelijk dat er nog GEEN oplossingis voor deze malware. In ik snap het niet taal: De virusscanners kennen dit virus nog niet en gaan het dus nog niet vinden noch oplossen voor je. Oftewel, tot de definities er zijn (enkele uren/dagen), ben je fucked.
Een oplossing voor de malware is er nog niet.

[Reactie gewijzigd door freaky op 6 september 2012 22:58]

Maar niet als er boetes uitgedeeld worden aan websites die zich daar niks van aantrekken, dan moeten ze allemaal hetzelfde doen en kan een adverteerder dus ook niet om die regels heen, iig niet binnen een land...

En je adverteert liever met een statische ad dan geen ad...
Je hebt liever geen site, dan er geld op toeleggen. Dus of paywall of weg site dan.
En als de website hier nu niet aan kan doen? Wil je dan de advertentieboer een boete geven? Wat als de advertentieboer hier niets aan kan doen omdat de hackers een zero-day exploit gebruiken?
Zowel de krant als de advertentieboer zijn slachtoffers in dit geval.

Ik denk dat je beter je energie kan steken in het vinden van de dader. Lijkt me meer waard.
En als de website hier nu niet aan kan doen?
Onzin. Het bedrijf van de website is er voor verantwoordelijk dat er op de bezoekers van hun website niet wordt getracht malware te draaien via de website.
Dan maar simpele tekst-ads i.p.v. die altijd uiterst irritante bewegende ads. Of helemaal geen ads. Website dan dicht omdat ze anders niet genoeg inkomsten hebben? Jammer dan. Men moet af van de gedachte dat het acceptabel is dat je een deel van de security mag opofferen voor de commercie.
Mensen moeten af van de gedachte dat grote sites zonder die inkomsten ook wel kunnen blijven bestaan...daarvoor mag een stukje schermruimte opgeofferd worden. Of moeten alle kranten maar een paywall er voor zetten? Kortzichtige reactie.

En als je eens wist hoe ingewikkeld die systemen in elkaar zetten weet je ook dat filteren amper een optie is. Tijden het laden van een pagina worden meerdere systemen aangeroepen. Die checken eerst of er premium spul in de wachtrij staat, zo niet dan wordt er gekeken welke bieder (in het real time bieding proces) het hoogste bod heeft, en vanuit daar weer door naar de uiteindelijke banner. Er tussenin nog diverse meetsystemen om alle belanghebbenden op de hoogte te kunnen houden, kortom: te veel om zo maar even te monitoren.
De advertentie is door een virusscanner ontdekt. ELK bedrijf kan zelf virusscanners draaien. De advertentieboer kan prima het virus als eerste ontdekken. Zij hebben het gehost, dus zij moeten het als eerste merken. Tja, zolang iedereen accepteert dat bedrijven alleen de lusten en niet de lasten hoeven opnemen: zolang zal er niets verbeteren.
Als telegraaf kan je misschien weinig aan het probleem doen, maar dat betekent niet dat je niet verantwoordelijk bent. Iemand wordt via jouw site besmet. Via een tool waarmee jij geld verdiend. Als telegraaf kan je ervoor zorgen dat je contracten hebt waardoor je de advertentieboer aan kunt spreken.
Onlangs heb ik raar gedraag waargenomen op de site van de Telegraaf. Hier heb ik van op de hoogte gebracht maar ik heb geen eens een reactie van ze gekregen. Dit wekt bij mij nu niet bepaald veel vertrouwen (een reactie is toch het minste).

Je kan wel stellen dat "de advertentieboeren" de foute content serveren maar uiteindelijk is de eigenaar van de website wel verantwoordelijk. Zij hebben dan maar controles in te bouwen over de content die geserveerd wordt.

[Reactie gewijzigd door Eagle Creek op 6 september 2012 16:06]

Onlangs heb ik raar gedraag waargenomen op de site van de Telegraaf. Hier heb ik van op de hoogte gebracht maar ik heb geen eens een reactie van ze gekregen. Dit wekt bij mij nu niet bepaald veel vertrouwen (een reactie is toch het minste).
Stel je voor dat ze iedereen die iets meld moeten gaan aanschrijven. Hebben ze een dagtaak aan.Ik heb ook ooit eens een oplichtings mail doorgestuurd naar de ABN-AMRO.
Kreeg ik ook geen reactie op.Maar daar zit ik niet mee. Ze weten het.
Of er gewoon een filter achter zetten. En als er iets doorkomt dan klop je aan bij de reclameboer, maar die kan er waarschijnlijk ook bar-weinig aan doen....
Dan heb je beter te screenen op je advertentieboeren.
Je weet vast zelf ook wel dat advertentieboeren soms ook per ongeluk malware toelaten. Hoe groot of klein dat ze wel niet zijn. Zie bijvoorbeeld ook een artikel van vorig jaar met inderdaad een kleinere speler. Echter ken ik ook grotere spelers welke deze fouten hebben gemaakt in het verleden.
bla bla bla makkelijk praten. Ook bij de grote advertentieboeren glipt er wel eens iets doorheen. Gelukkig hebben ze het vaak snel verholpen maar het gebeurt helaas.
Hoe en wel of niet te screenen is een keuze, gemaakt op kostenoverwegingen. Is het zo gek de gevolgen van die keuze neer te leggen bij degene die ze maakt? En dus niet bij de eindgebruiker of de bredere maatschappij zoals nu gebeurt...

[Reactie gewijzigd door dion_b op 6 september 2012 17:33]

Klopt, ik rijd ook wel eens te hard. Ik vind dan ook dat de overheid begrip moet hebben. Toch moet ik de boete gewoon betalen.
Dus ook advertentieboeren / de afnemer die de advertentie op zijn site krijgt is daarvoor verantwoordelijk. Dus boete.

(ik geef trouwens toe dat ik vaker te hard rijd, dan dat er advertenties met malware zijn)
Ja, nee.
Als jij harder wilt rijden, best. Maar in dit geval wil je dus de boete aan de auto geven omdat hij te hard reed.. tenminste zo maak je de juiste vergelijking met het verhaal ;)
@douweegbertje:
jij denkt dat een robot alle stukjes op de telegraaf schrijft? Dat die advertenties vanzelf op het platform van de advertentieboer worden gezet? Er werken daar echt gewoon mensen hoor en die zijn verantwoordelijk.
Zij kiezen ervoor om advertenties te tonen, dan moet je ook je verantwoordelijkheid nemen als het misgaat met deze advertenties.
Dat ligt er maar aan hoe je wilt tellen ;)

Maar goed. Als er een nieuw virus is zijn daar nog geen definities voor. Het is dan bijzonder lastig te vinden, dan moet je al experts iedere bitje in de advertentie laten doorlichten. Sneller dan toegestaan rijden is veel herkenbaarder (te hard rijden is een populistische propaganda term - had je te hard gereden was er iemand dood geweest - jij of degene die je aanreed, maar boetes voor sneller dan toegestaan vallen niet zo goed... ;))
Het gebeurt, maar bij de domste het eerst. Boetes vind ik geen slecht idee. Als de krant meent winst te kunnen maken via advertenties dan draagt het daarvoor een zekere verantwoordelijkheid. Als je een auto koopt waar achteraf iets mee aan de hand is, zoals de laatste jaren veelvuldig voorkwam, waardoor al die modellen terug moeten naar de dealer voor het vervangen van een onderdeel, dan is de dealer ook degene die aansprakelijk is. Zij leveren een slecht product.

Een website heeft een grote verantwoordelijkheid omdat daar nu juist de besmettingen plaats vinden, daar waar al die mensen komen. Door boetes op te leggen dwing je websites zorgvuldig om te gaan met hun 'greed'. Als daarna toch blijkt dat een advertentie malware of zo bevat, dan kunnen ze zo nodig de schade claimen bij die adverteerder, dan wel het marketing bureau dat dit voor hen verzorgt.

Als het ware dwing je normen af vanaf de onderkant van de bedrijfskolom. De maatschappij en gebruiker heeft belang bij een veilige website, dwingen dat af via de wet, de website zet de adverteerder onder druk, de adverteerder de reclame bureaus of hun eigen afdeling marketing. Het is allemaal in hun eigen belang.

Een auto, wanneer er een ontwerpfout in zit, kan in het ergste geval van de markt gehaald worden. Dat zou met een website ook moeten kunnen. We kunnen ons daarbij niet laten gijzelen door de vrijheid van verkeer en goederen, bij verdrag vastgelegd in de EU noch door de vrijheid van meningsuiting: als auto's en websites gevaarlijk zijn dan worden ze van de weg gehaald en websites gesloten totdat bewezen is dat de problemen zijn opgelost. Het sluiten van een website van deze krant zou hen al snel tienduizenden euro's kunnen kosten.
Die dader vind je dan maar zelden.

Het belangrijkste is gewoon dat het systeem veilig wordt gehouden met alle nodige updates en dat er goede monitoring op zit, zero-one-day-lekken zijn op zich moeilijk tegen te houden. Maar ook vooral dat laatste is van belang. Hoe sneller de boel ontdekt is, hoe beter.....
Telegraaf.nl negeert mijn DNT (=Do Not Track) setting van mijn browser. Dat betekend dus dat ze willens en wetens mij blootstellen aan content waar ik expliciet van heb aangegeven dat niet te willen.
Als een van die content providers het lek bevat is dat wel degelijk verwijtbaar aan telegraaf. Immers hadden ze mijn DNT opgevolgd, had ik niet blootgesteld geweest aan content van een 3e partij. Dus ook niet aan het virus.
Eh? Jij denkt dat DNT banners tegen gaat? Het bepaald hooguit de category waar de banner uit komt (electronica vs maandverband bijv.).

Tevens is het ongelofelijk hoeveel mensen hier denken dat virusscanners heilig zijn. In de laatste test die ik zag scoorde de beste 97%!!! En dan praten we over bekende virussen. Weet je hoeveel onbekende (nieuwe / langzaam/gericht verspreidende) virussen een scanner vind? 0.
Ik verwacht dat de website dan geen info doorgeeft aan een 3e partij, dus ook geen IP adres en tijdstip van bezoek.

Waarom neem je aan dat ik een nitwit ben op dit gebiedt? Opmerkelijk dat jij verwacht dat als ik DNT aanzet dat ik geen adblocker draai. Heb je enig idee hoe de gerelateerde informatie op zo'n site van jou verkregen is (dus elektronica in jou geval)?
Natuurlijk zijn er situaties waar dit niet van toepassing is, als ik iemand vermoord lijkt het me vrij duidelijk dat ik er iets aan had kunnen doen, maar als normale burger kennen wij niet alle wetten, laat staan de letter van de wet, dus kan het nu eenmaal voorkomen dat we zonder er bewust van te zijn de wet overtreden.
En dan krijg je toch een boete. Geen discussie over.
En terecht. en men heeft er dan tevens iets van geleerd voor een volgende keer. Dure les wellicht, maar ja.
Wat dacht je ervan de makers van dat soort spyware/virussen hard(er) aan te pakken? Natuurlijk weinig realistisch, maar als je mensen die 35 MP3tjes delen hun leven lang kan laten boeten, moet dit toch ook haalbare kaart zijn.
Malware makers komen over het algemeen niet uit de VS en kunnen niet volgens hun wet aangepakt worden.
Iemand uit de Oekraine die 35 MP3tjes deelt zal in ieder geval nooit daardoor in aanraking komen met justitie.
Ik ben ook een besmetting tegengekomen. Gebruiker kon niets meer sinds hij de site van de telegraaf had bezocht.

Let wel! Betrof hier een volledig gepatched Win7 station met up to date anti-virus scanner :'(
Welke antivirus? Naar mijn idee was het virus zelf niet echt nieuw.
Mijn vrouw had dit gister ook op de laptop staan na een bezoek aan de telegraaf. Heeft mij wat uurtjes gekost om het eraf te halen. Uiteindelijk is het relatief eenvoudig. Zoek in het register naar het programma, schrijf de locaties op waar de bestanden zich bevinden en verwijder zowel de registersleutels als de bestanden. De registersleutels heb ik verwijderd vanuit Windows, voor het verwijderen van de bestanden heb ik Ubuntu gebruikt.

De map waarin deze staan is namelijk verborgen en je kan hem vanuit Windows gewoon niet zichbaar krijgen (ik iig niet). Vanuit Ubuntu zag ik de mappen inclusief bestanden wel. Het verwijderen was een paar minuten werk maar de backup die eraan vooraf ging duurde langer.

Al met al weer erg vervelend en tijdrovend.

Ohja, de software gaf je ook de mogelijkheid om het te 'kopen'. Zou alles daarna weer worden vrijgegeven? Zou een leuke scam zijn dan, hopelijk zijn er niet veel mensen die daar zijn ingetuind.
Je kunt op verschillende sites inderdaad een key vinden die je kunt invoeren.
Maar of alles daarna weer wordt vrijgegeven, de malware blijft aanwezig, inclusief root kit.
Die neppe antivirusproducten zijn echt verwarrend voor de mensen zonder de nodige kennis. Ze blijven die dingen updaten en installeren. Je kan meestal opzoeken hoe je het makkelijk kan verwijderen. Aan de andere kant, Telegraaf is niet een site die ik graag bezoek dusseh :Y)
Toch vervelend dat er altijd weer mensen zijn die misbruik maken van andere hun onkennis, kan me voorstellen dat dit ook word misbruikt in de vorm van het achterhalen van gegevens.

[Reactie gewijzigd door xazorx op 6 september 2012 17:08]

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True