Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties, 40.496 views •
Submitter: Bor

Speedtest.net heeft volgens een beveiligingsbedrijf en een -onderzoeker enige tijd malware geserveerd aan gebruikers. Waarschijnlijk gebeurde dat door middel van een ge´nfecteerde banner. Speedtest.net heeft de kwestie niet bevestigd.

Beveiligingsbedrijf Invincea schrijft op zijn website dat Speedtest.net gedurende een onbekende periode malware heeft geserveerd aan bezoekers. Dat bevestigt een beveiligingsonderzoeker. Bij het misbruik werd een exploit-kit gebruikt. Exploit-kits gebruiken kwetsbaarheden in software om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Een test-installatie van het bedrijf, met Windows XP SP3, Internet Explorer 8 en een niet volledig gepatchte Java-versie, werd na een bezoek aan Speedtest.net geïnfecteerd. Met behulp van een lek in Java werd namaak-antivirussoftware geïnstalleerd. De Java-versie op de testinstallatie was de op-één-na-nieuwste; afgelopen week bracht Oracle voortijdig een patch uit nadat een groot aantal beveiligingsproblemen aan het licht kwam.

Waarschijnlijk is Speedtest.net niet gehackt, maar werd de malware verspreid door malvertising: een banner die malware serveert. Dat overkomt meer websites: vorig jaar nog waren NRC.nl en Telegraaf.nl het slachtoffer van malvertising. Speedtest.net heeft de kwestie niet bevestigd. Volgens Invincea is de site inmiddels weer veilig te bezoeken.

Malvertising op Speedtest.net

Reacties (98)

Reactiefilter:-198093+159+25+30
Moderatie-faq Wijzig weergave
Gasten, je gaat met windows XP en IE8 op een website en je vindt het vreemd dat je ge´nfecteerd wordt? Als je nou eens met recente software test.
Niet echt nieuws dit.. Het is meer sensatie..
Gast, het betreft een Java exploit. Nu is alleen een XP / IE8 implementatie het slachtoffer maar met de recente stand van zaken met Java kan eenieder slachtoffer zijn, zowel op Windows als op Mac. Er is wel onlangs weer een update verschenen van Java waarbij de bekende gaten gedicht zouden zijn. Dat dachten we bij de vorige versie ook.

Ik heb zelf Java uitgeschakeld in mijn browsers maar maak af en toe wel gebruik van software die alleen op Java draait. Dat gaat prima.
Shit daar ben ik zondag nog op geweest met mijn mac mini :( hoop niet dat het toen ook was en of dit ook effect heeft op mac
not sure if trolling or serious...
staat op je mac het programma cmd.exe ?
Ligt er meer aan of je Java draait lijkt me? Kan best dat het puur gericht is op Windows systemen, zoals bij de meeste virussen het geval is. In het plaatje zie je wel dat hij cmd.exe opent dus zou mij niet zo druk erover maken.

[Reactie gewijzigd door krosis op 7 februari 2013 11:41]

Vaak wordt bij zo'n hack een stukje standaardcode gebruikt die al je software naloopt (voornamelijk Java, Flash en Adobe Reader) op exploits. Het zou ook best kunnen dat er code en een virus voor Mac bij zit. Het is niet zo dat die code specifiek voor Speedtest.net geschreven wordt en je dus kans hebt dat ze uit gemak een bepaald OS overslaan.
Toch bizar. Allerhande sites beschuldigen je van broodroof en dergelijke als je third-party cookies en ads blokkeert, want die site moet toch betaald worden? Los van het feit dat ads op websites over het algemeen voornamelijk irritant zijn en dus in ieder geval geen positieve reclame voor de adverteerder opleveren, helpt het ook niet als deze sites ook bij tijd en wijlen nog eens malvertising (laten) serveren.

In dit geval door Google dus, speedtest.net haalt zijn ads van doubleclick op zo te zien. Een van de nare gevolgen hiervan kan zelfs zijn dat als Google deze pagina crawled, hij vervolgens, door de aanwezigheid van de malware, aangemerkt wordt als aanvalssite waardoor bezoekers een mooi rood scherm krijgen die hen afraadt om de betreffende website te bezoeken. En dat terwijl het dus door Google zelf geserveerd wordt. Lijkt me ook niet echt positief voor de bezoekersaantallen.

Dat websites willen adverteren heb ik geen moeite mee, maar waarom kunnen ze a) de ads niet vanaf hun eigen servers serveren en b) een wat meer lik-op-stuk beleid doen: blijkbaar wordt het normaal gevonden dat bv Doubleclick af en toe wat malware verspreid en worden de contracten als reactie daarop niet opgezegd.

Een van de weinige positieve eigenschappen van Facebook: ze serveren hun eigen advertenties!
Voor sommigen gesneden koek maar ik twijfel toch altijd. Dit komt door Java, staat dan los van javascript toch? Met andere woorden als ik niet zelf java geinstalleerd heb van sun, dan ben ik voor deze specifieke exploit niet vatbaar toch? Of treft dit ook javascript wat met de browser meekomt?
Javascript is inderdaad niet hetzelfde als Java.

Javascript draait in je browser en Java is een losse applicatie, een soort virtuele machine (volgens mij).
Banners zouden degelijk gescreend moeten worden voor ze in een adnetwerk geserveerd worden.
Vraagje: weet iemand wat voor programma er in de printscreen wordt getoond? Infection analysis?
Waarschijnlijk het programma waarmee dat bedrijf malware onderzoekt. Ik denk niet dat dit op het web te verkrijgen is.
Ja mij was het ook al opgevallen dat de site de laatste tijd wat trager werd, dus nu gebruik ik gewoon: speedtest.ziggo.nl dat werkt wel gewoon prima.
Ik gebruik Opera 11.64 op Puppy Linux Precise 5.4.2.3 met Java 6. Maar, ik heb Opera zodanig ingesteld dat hij plug-ins alleen op aanvraag inschakelt. Als ik een website bezoek, wordt geen enkele plug-in geladen. Pas als ik op het witte driehoekje klik, wordt de desbetreffende plug-in ingeschakeld voor dat onderdeel. Ik heb dus geen last van dit soort ge´nfecteerde banners.

Het valt me op dat Macromedia Flash Player (tegenwoordig bekend als Adobe Flash Player) heel erg vaak gebruikt wordt. YouTube en bijna alle andere videowebsites gebruiken Flash Player om de video’s af te kunnen spelen. Bijna alle Internet-spelletjes die je bijvoorbeeld vindt op http://www.funnygames.nl/ vereisen Flash Player. Bijna alle advertenties maken gebruik van Flash Player. Ik heb meerdere computerspellen, zoals Leer het lekker zelf, Lego Star Wars en 102 DalmatiŰrs Puppy’s Reddingsactie; die maken ook allemaal gebruik van Flash Player. Er zullen vast wel veel meer spellen zijn die gebruik maken van Flash Player. Als je de statistieken van Avast! Antivirus wilt bekijken, heb je Flash Player nodig.

Er zijn echt heel veel dingen afhankelijk van Flash Player. Moet je je voorstellen hoe het is om te werken op een computer zonder Flash Player: geen YouTube-video’s (alleen als je je met Google Chrome aanmeld voor de HTML5-test), geen/amper advertenties, je kunt amper video’s bekijken op andere websites, geen Internet-spelletjes, een heleboel Windows-games die gebruik maken van Flash Player doen het dan niet meer of reageren heel traag.
Opera doet het ook wel OK op YouTube zonder Flash. Dat ligt volgens mij meer aan de codecs van bepaalde filmpjes, dan aan de afwezigheid van HTML5 ondersteuning. (Ik heb me helemaal nergens voor opgegeven en browse weinig met Chrome.)
gisteren nog bezocht om bij een oom de snelheid te controleren. Hopelijk is zijn pc niet ge´nfecteerd...
GVD, juist de laatste tijd regelmatig die site bezocht omdat ik mijn glasvezelverbinding wilde testen. Ik vond de site al behoorlijk traag. Java draait uiteraard op mijn Windows bakjes, dus dikke kans dat ik besmet ben geraakt :( Tenzij dŰ storingen tijdens het testen juist het werk waren van mijn virusscanner.

Hoe merk ik dat ik geinfecteerd ben?

Ik ga mijn bakjes maar eens even een volledige scan laten doen...
Geloof me, dit merk je vanzelf. Mijn schoonbroer was ge´nfecteerd, op de dag dat hij speedtest.net bezocht en ik kon vervolgens geen enkele map meer openen. Kreeg een AVG popup screen te zien en pc liep vast. Kon enkel opstarten in veilige modus, gaf msconfig als command en zag dat een ROY_JAN_13 was ingelogd op zijn pc. Nadat ik dit uitschakelde bij opstarten deed hij het voor de korte tijd weer en zag in taakbeheer dat hij telkens weer verscheen. Uiteindelijk pc geformatteerd en opnieuw windows 7 ge´nstalleerd.

Wat een virus zeg.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True