Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 98, views: 40.178 •
Submitter: Bor de Wollef

Speedtest.net heeft volgens een beveiligingsbedrijf en een -onderzoeker enige tijd malware geserveerd aan gebruikers. Waarschijnlijk gebeurde dat door middel van een ge´nfecteerde banner. Speedtest.net heeft de kwestie niet bevestigd.

Beveiligingsbedrijf Invincea schrijft op zijn website dat Speedtest.net gedurende een onbekende periode malware heeft geserveerd aan bezoekers. Dat bevestigt een beveiligingsonderzoeker. Bij het misbruik werd een exploit-kit gebruikt. Exploit-kits gebruiken kwetsbaarheden in software om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Een test-installatie van het bedrijf, met Windows XP SP3, Internet Explorer 8 en een niet volledig gepatchte Java-versie, werd na een bezoek aan Speedtest.net geïnfecteerd. Met behulp van een lek in Java werd namaak-antivirussoftware geïnstalleerd. De Java-versie op de testinstallatie was de op-één-na-nieuwste; afgelopen week bracht Oracle voortijdig een patch uit nadat een groot aantal beveiligingsproblemen aan het licht kwam.

Waarschijnlijk is Speedtest.net niet gehackt, maar werd de malware verspreid door malvertising: een banner die malware serveert. Dat overkomt meer websites: vorig jaar nog waren NRC.nl en Telegraaf.nl het slachtoffer van malvertising. Speedtest.net heeft de kwestie niet bevestigd. Volgens Invincea is de site inmiddels weer veilig te bezoeken.

Malvertising op Speedtest.net

Reacties (98)

Hoe zit het dan als je dergelijke spullen blokkeert met Adblock Plus ?

Wordt de betreffende banner dan Úcht geblokkeerd, of krijg je deze simpelweg niet te zien en wordt deze wel degelijk tijdelijk opgeslagen in de betreffende "temp" map ?
Persoonlijk vind ik nu.nl een beter voorbeeld van slachtoffer van malvertising omdat het bij hun 2x is gebeurd in zeer korte periode
Dit zou ik ook wel willen weten, anders is dit nog een reden om adblock te gebruiken :)
Shit daar ben ik zondag nog op geweest met mijn mac mini :( hoop niet dat het toen ook was en of dit ook effect heeft op mac
-.-" Ik ga echt maar een addblocker gebruiken...
Ik word er echt gek van... Virusen, irritante adds die zomaar openen (zonder dat je iets doet), irritante adds die iets openen zodra de muis enkel eroverheen beweegt.
Ik heb er gewoon genoeg van :(

Weet er iemand wat een goede addblocker is voor FF?
Ik herinner me dat adblocker (nogiets) destijds was overgenomen door een of ander dubieus persoon die bepaalde adds (die hem betaalde) er als nog door liet...
Ben op dit punt een redelijke noob...

Edit.
Dit bedoelde ik dus
http://www.extremetech.co...comes-someadsblocked-plus

Hmm, Ik zal Ghostery en Adblock Edge (kopie van plus, maar zonder opt out) na de lunch eens proberen.

[Reactie gewijzigd door DCG909 op 7 februari 2013 11:56]

zelf heb ik het ook gehad, gelukkig niet op mijn server de speedtest gedaan maar op een client pc. Gelukkig weet ik hoe ik dat soort dingen kan verwijderen, was er in 10 minuten weer af
Ligt er meer aan of je Java draait lijkt me? Kan best dat het puur gericht is op Windows systemen, zoals bij de meeste virussen het geval is. In het plaatje zie je wel dat hij cmd.exe opent dus zou mij niet zo druk erover maken.

[Reactie gewijzigd door krosis op 7 februari 2013 11:41]

Uiteraard weer door Java, wat een prachtig product.
Je zou ervanuit gaan dat de advertentie request in zijn geheel afgevangen wordt en dus geblokkeerd, dan zou deze redirect ook nooit plaats kunnen vinden.
Goede vraag, ben ik zelf ook wel benieuwd naar. Ik zit zelf op een Mac, ik neem aan dat deze malware alleen voor Windows is omdat het een .exe installeert?
Die beveiligingsonderzoekers hebben mooie tooltjes zeg (zie screenshot bij deze nieuwspost). Voor de particulier is er procmon wat ongeveer hetzelfde doet, maar dan moet je de informatie er zelf tussenuit zoeken.
staat op je mac het programma cmd.exe ?
dat was met de banners van Nu.nl en Telegraaf niet het geval volgens mij.
Nee hoor, de malware wordt direct actief bij het bezoeken van de site.

Bij Adblock Plus hangt het ervan af hoe je ads blokkeert. Bij Element Hiding wordt alle code van de banner wel uitgevoerd, maar wordt de banner alleen niet op het scherm getoond. Bij een totale blokkade (zoals bij EasyList gebeurt) wordt ook de JavaScript van de banner niet ingeladen.
Nope, dat is juist het probleem bij dit soort exploits. Je hoeft als gebruiker niets meer te doen dan de pagina te openen.
AdBlock Plus is de bekendste en naar mijn weten werkt die prima. Ik weet niet zeker of dit de Ad blocker is waar jij het over hebt maar op Chrome werkt hij prima (zelfde auteur, dunkt me).
Ik vind nu.nl juist een slecht voorbeeld. Een "gewaarschuwd mens telt voor twee". De eerste keer ben je wat mij betreft slachtoffer, de tweede keer is bewijs dat je de vorige keer niets geleerd hebt en ben je onvoorzichtig. Sterker nog, ik vind die link: "http:// talky dao.is-an- accountant.com/finance/" maar wat luguber. Speedtest had zoiets meteen dus wel mogen checken.

[Reactie gewijzigd door klonic op 7 februari 2013 11:41]

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Tablets Luchtvaart Samsung Crash Smartphones Microsoft Apple Games Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013