Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties
Submitter: Bor

Speedtest.net heeft volgens een beveiligingsbedrijf en een -onderzoeker enige tijd malware geserveerd aan gebruikers. Waarschijnlijk gebeurde dat door middel van een ge´nfecteerde banner. Speedtest.net heeft de kwestie niet bevestigd.

Beveiligingsbedrijf Invincea schrijft op zijn website dat Speedtest.net gedurende een onbekende periode malware heeft geserveerd aan bezoekers. Dat bevestigt een beveiligingsonderzoeker. Bij het misbruik werd een exploit-kit gebruikt. Exploit-kits gebruiken kwetsbaarheden in software om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Een test-installatie van het bedrijf, met Windows XP SP3, Internet Explorer 8 en een niet volledig gepatchte Java-versie, werd na een bezoek aan Speedtest.net geïnfecteerd. Met behulp van een lek in Java werd namaak-antivirussoftware geïnstalleerd. De Java-versie op de testinstallatie was de op-één-na-nieuwste; afgelopen week bracht Oracle voortijdig een patch uit nadat een groot aantal beveiligingsproblemen aan het licht kwam.

Waarschijnlijk is Speedtest.net niet gehackt, maar werd de malware verspreid door malvertising: een banner die malware serveert. Dat overkomt meer websites: vorig jaar nog waren NRC.nl en Telegraaf.nl het slachtoffer van malvertising. Speedtest.net heeft de kwestie niet bevestigd. Volgens Invincea is de site inmiddels weer veilig te bezoeken.

Malvertising op Speedtest.net

Reacties (98)

Reactiefilter:-198093+159+25+30
Moderatie-faq Wijzig weergave
Toch bizar. Allerhande sites beschuldigen je van broodroof en dergelijke als je third-party cookies en ads blokkeert, want die site moet toch betaald worden? Los van het feit dat ads op websites over het algemeen voornamelijk irritant zijn en dus in ieder geval geen positieve reclame voor de adverteerder opleveren, helpt het ook niet als deze sites ook bij tijd en wijlen nog eens malvertising (laten) serveren.

In dit geval door Google dus, speedtest.net haalt zijn ads van doubleclick op zo te zien. Een van de nare gevolgen hiervan kan zelfs zijn dat als Google deze pagina crawled, hij vervolgens, door de aanwezigheid van de malware, aangemerkt wordt als aanvalssite waardoor bezoekers een mooi rood scherm krijgen die hen afraadt om de betreffende website te bezoeken. En dat terwijl het dus door Google zelf geserveerd wordt. Lijkt me ook niet echt positief voor de bezoekersaantallen.

Dat websites willen adverteren heb ik geen moeite mee, maar waarom kunnen ze a) de ads niet vanaf hun eigen servers serveren en b) een wat meer lik-op-stuk beleid doen: blijkbaar wordt het normaal gevonden dat bv Doubleclick af en toe wat malware verspreid en worden de contracten als reactie daarop niet opgezegd.

Een van de weinige positieve eigenschappen van Facebook: ze serveren hun eigen advertenties!
Javascript is inderdaad niet hetzelfde als Java.

Javascript draait in je browser en Java is een losse applicatie, een soort virtuele machine (volgens mij).
Ik reageerde op de post boven jouw.

Naar mijn weten gebeurt dat infecteren door java, als je die niet gebruikt dan
Kan tweakers jouw niet bannen.
Zou je de oplossing misschien willen delen voor mede-tweakers die hetzelfde probleem hebben en dit niet op kunnen lossen.
dat hangt af van de rule. Er zijn rules die verkeer inderdaad voorkomt (als je een URL blokt), maar je hebt ook element hiding rules, die bijv ad-divjes niet toont maar de content dus wel laadt.

Het antwoord op de vraag is dus niet zo simpel. Maar klopt wel voor het "blocking" deel van mijn verhaal.
Geloof me, dit merk je vanzelf. Mijn schoonbroer was ge´nfecteerd, op de dag dat hij speedtest.net bezocht en ik kon vervolgens geen enkele map meer openen. Kreeg een AVG popup screen te zien en pc liep vast. Kon enkel opstarten in veilige modus, gaf msconfig als command en zag dat een ROY_JAN_13 was ingelogd op zijn pc. Nadat ik dit uitschakelde bij opstarten deed hij het voor de korte tijd weer en zag in taakbeheer dat hij telkens weer verscheen. Uiteindelijk pc geformatteerd en opnieuw windows 7 ge´nstalleerd.

Wat een virus zeg.
Voor sommigen gesneden koek maar ik twijfel toch altijd. Dit komt door Java, staat dan los van javascript toch? Met andere woorden als ik niet zelf java geinstalleerd heb van sun, dan ben ik voor deze specifieke exploit niet vatbaar toch? Of treft dit ook javascript wat met de browser meekomt?
Waarschijnlijk het programma waarmee dat bedrijf malware onderzoekt. Ik denk niet dat dit op het web te verkrijgen is.
Banners zouden degelijk gescreend moeten worden voor ze in een adnetwerk geserveerd worden.
Opera doet het ook wel OK op YouTube zonder Flash. Dat ligt volgens mij meer aan de codecs van bepaalde filmpjes, dan aan de afwezigheid van HTML5 ondersteuning. (Ik heb me helemaal nergens voor opgegeven en browse weinig met Chrome.)
Vraagje: weet iemand wat voor programma er in de printscreen wordt getoond? Infection analysis?
Ja mij was het ook al opgevallen dat de site de laatste tijd wat trager werd, dus nu gebruik ik gewoon: speedtest.ziggo.nl dat werkt wel gewoon prima.
Toch lekker dan dat ik Adblock Plus in Firefox heb zitten, weer een reden om Adblock Plus te hebben.

Het is toch triest dat je bijna op geen enkel site meer kan kijken zonder de kans te hebben dat je computer ge infecteert woord |:(
Adblock plus voor security gebruiken? Dan kun je beter noscript gebruiken, dat is meer bedoeld om scripjes te blokkeren. Levert ook een rustiger internet op.
Daar voor heb je ook Ghostery, werkt daar ook erg goed voor.

[Reactie gewijzigd door AmigaWolf op 7 februari 2013 18:51]

@jarrin : Kijk, weer wat geleerd. Bedankt !
Speedtest.net heeft volgens een beveiligingsbedrijf en een -onderzoeker enige tijd malware geserveerd aan gebruikers. Waarschijnlijk gebeurde dat door middel van een ge´nfecteerde banner. Speedtest.net heeft de kwestie niet bevestigd.


Welke tijdsperiode was enige tijd ?

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True