Politie haalt dienst offline waarmee criminelen malware konden testen

De Nederlandse politie heeft een dienst offline gehaald die door criminelen werd gebruikt om malware te testen en om antivirussoftware te omzeilen. AVCheck was 'een van de grootste counterantivirusdiensten die internationaal gebruikt werd', zegt het Team High Tech Crime.

Het neerhalen van de dienst AVCheck is volgens de politie onderdeel van Operation Endgame, een collectieve, internationale politieactie tegen cybercrimediensten. De operatie werd uitgevoerd door het Team High Tech Crime, dat onderdeel is van de Landelijke Eenheid. Nederland werkte samen met politiediensten in de VS en Finland.

De dienst die offline is gehaald is AVCheck.net, waar nu op te zien is dat er een politieactie heeft plaatsgevonden. De politie noemt die dienst een 'counterantivirus'-dienst. "Met een CAV-dienst kunnen ontwikkelaars van malware testen of hun malware gedetecteerd wordt door verschillende antivirusprogramma's", schrijft de politie. "Het gebruik van een CAV-dienst is een onmisbare stap bij de inzet van malware, vooral bij het verkrijgen van initiële toegang tot slachtoffernetwerken. Een cybercrimineel wil namelijk weten of zijn malware wel of niet wordt gedetecteerd door virusscanners. Als malware niet wordt gedetecteerd, kan het worden ingezet om ongezien nieuwe slachtoffers te maken. Een CAV-dienst als AVCheck speelt dus een cruciale faciliterende rol in het cybercriminele ecosysteem."

Tijdens de operatie heeft de politie een nagemaakte loginpagina gebouwd. Gebruikers die daarop inlogden, bijvoorbeeld met het idee malware te checken, kregen daarbij een waarschuwing te zien. De politie werkte samen met enkele antivirus- en beveiligingsbedrijven voor het neerhalen van de site. Naast AVCheck heeft de politie ook twee andere, vergelijkbare diensten offline gehaald: Cryptor.biz en Crypt.guru.

AVcheck

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 30-05-2025 11:42
74 • submitter: DarkFly

30-05-2025 • 11:42

Submitter: DarkFly

Lees meer

Politie haalt kindermisbruikwebsite op Nederlandse servers offline

Politie haalt kindermisbruikwebsite op Nederlandse servers offline Nieuws van 2 april 2025

Internationale politiediensten halen cybercrimefora Cracked en Nulled offline

Internationale politiediensten halen cybercrimefora Cracked en Nulled offline Nieuws van 30 januari 2025

Amerikaanse autoriteiten halen illegale clearnetmarktplaats Rydox offline

Amerikaanse autoriteiten halen illegale clearnetmarktplaats Rydox offline Nieuws van 13 december 2024

Duitse politie haalt criminele online marktplaats uit de lucht

Duitse politie haalt criminele online marktplaats uit de lucht Nieuws van 5 december 2024

Europese politiediensten halen iptv-dienst met 22 miljoen gebruikers offline

Europese politiediensten halen iptv-dienst met 22 miljoen gebruikers offline Nieuws van 27 november 2024

Interpol haalt ruim 22.000 malafide IP-adressen offline

Interpol haalt ruim 22.000 malafide IP-adressen offline Nieuws van 7 november 2024

ACM waarschuwt voor onbetrouwbare webwinkels

ACM waarschuwt voor onbetrouwbare webwinkels Nieuws van 31 oktober 2024

Politiediensten delen meer details over ontmantelen Redline- en Meta-malware

Politiediensten delen meer details over ontmantelen Redline- en Meta-malware Nieuws van 29 oktober 2024

Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline

Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline Nieuws van 28 oktober 2024

Telegram heeft 'bangalijsten' verwijderd na verzoek van Nederlandse stichting

Telegram heeft 'bangalijsten' verwijderd na verzoek van Nederlandse stichting Nieuws van 25 oktober 2024

Meer producten en artikelen

Politiek en recht Malware Politie Team High Tech Crime

IT-banen

Meer vacatures

Reacties (74)

Mas-ih 30 mei 2025 11:45

Ik ben benieuwd hoe dit juridisch staat. De dienst opzich lijkt me niet illegaal te zijn? Er wordt geen malware aangeboden, maar enkel tools om je software te testen (en als dat malware is, dan is dát natuurlijk illegaal).
Iemand die daar meer vanaf weet?

[Reactie gewijzigd door Mas-ih op 30 mei 2025 11:49]

Politiek en recht

@Mas-ih • 30 mei 2025 11:53

Het zal per land verschillen of het wel of niet illegaal is, denk ik?

Volgens mij is het beoogde doel van de dienst ook van belang. Als het beoogde doel is, het testen van software die gebruikt wordt voor computervredebreuk, dan kun je denk ik stellen dat het illegaal is? (mogelijk dat je er ook legale dingen mee kunt doen, maar dat is dan eerder een neveneffect.)

Dus een beetje als de vergelijking met The Pirate Bay en een autosnelweg. The Pirate Bay heeft als beoogd doel het faciliteren van copyrightschending (ook al kun je er een paar Linux distro's vandaan halen), en een autosnelweg heeft als beoogd doel het faciliteren van wegtransport (ook al kunnen er ook drugsrunners op rijden).

(En dan even los van wat we van de blokkade vinden van TPB hè? Gewoon even puur op de letter van de wet en het beoogde doel van een dienst.)

Politiek en recht

@lenwar • 30 mei 2025 12:03

Sterker nog, ik denk dat het beoogde doel het enige is dat telt. Een hamer is perfect legaal, maar de intentie om er iemand de schedel mee in te slaan is dat niet.
Dat geld in computerland net zo goed.

Neurosis @lenwar • 30 mei 2025 12:03

Beide zijn platformen die mogelijk illegaal of onredelijk gedrag kunnen faciliteren. Op de snelweg handhaaft de overheid, dus op iets anders moet er sprake zijn dat er ook op een wijze wordt gemodereerd en dat deed TPB natuurlijk niet.

Als AVCheck nou ook de malware doorspeelde naar AV suppliers (of gebeurde dat al?), dan was het een heel ander verhaal geweest. Dan is de defacing wat jammer, want het was een ideale honeypot geweest.

mphilipp @Mas-ih • 30 mei 2025 11:56

Het gaat denk ik om de intentie en doel van de site. Als ik het zo lees, is er geen echt legitiem doel voor zo'n site. Het is faciliterend voor criminele doeleinden zoals ransomware, dus ik denk niet dat je een goede juridische case kan bouwen om dit tot een volstrekt legitieme site te verklaren.

Goed dat men ook tegen dit soort activiteiten optreedt. De tijd dat politie en justitie helemaal machteloos stonden/leken te staan, is wel zo'n beetje voorbij. En er lijkt ook goed samengewerkt te worden met andere opsporingsdiensten internationaal.

killergrave @mphilipp • 30 mei 2025 13:48

Er zijn toch wel legitieme scenario's waarbij zo een detectie systeem op deze manier gewenst kan zijn. Hetzelfde met ChatGPT voor bedrijven, waar je de keuze krijgt om niet je data te delen voor machine learning doeleinden of iets anders. Je wilt niet weten wat daar allemaal mee gedaan wordt of dergelijke a.i modellen. Ik heb laatst een scrape script laten maken door ChatGPT. Doeleind was zeker niet koosjer, dus? platgooien dan maar?

Als je een Whitehat bent (Ik zeker niet), en je ontwikkelt "Tools" voor de NSA,AIVD. Is het denk ik wel gewenst dat je achterdeurtje verborgen blijft, en niet meteen doorgestuurd wordt naar elk bedrijf die zijn software dan calibreert op het detecteren daarvan. Of hebben de whitehats daar andere tools voor die industriebreed gebruikt worden?

Ze moeten toch ergens die Zero-Day's testen?

[Reactie gewijzigd door killergrave op 30 mei 2025 13:51]

@killergrave • 31 mei 2025 09:14

Als je een Whitehat bent (Ik zeker niet), en je ontwikkelt "Tools" voor de NSA,AIVD. Is het denk ik wel gewenst dat je achterdeurtje verborgen blijft, en niet meteen doorgestuurd wordt naar elk bedrijf die zijn software dan calibreert op het detecteren daarvan. Of hebben de whitehats daar andere tools voor die industriebreed gebruikt worden?

Ze moeten toch ergens die Zero-Day's testen?

Wat maakt het uit of jouw sandboxed tool je achterdeur ontdekt of dat een reguliere AV-tool dat doet?

In beide gevallen weet je dat je je code aan moet passen. Want wanneer je een achterdeur toepast die door je sandboxed tool wordt gedetecteerd heb je maar zeer beperkt de tijd om deze in het wild te gebruiken totdat deze daar door een reguliere AV-tool wordt ontdekt en in de virusdefinities wordt opgenomen.

Je wilt juist dat jouw achterdeur zo lang mogelijk onzichtbaar blijft voor reguliere AV-tools. Dan is er niets mis mee om je achterdeur daar te 'testen'.

Politiek en recht

@mphilipp • 30 mei 2025 12:05

Ik kan makkelijk een legitiem doel noemen. Hoe denk je dat security researchers aan het resultaten komen? Die testen of ze gaten in beveiliging kunnen vinden.

Maar dat zal wel niet zijn waar deze site zich als klanten pool op richtte.

edit:
Wat niemand lijkt te begrijpen is dat ik de functionaliteit in de algemene zin bedoel. niet die van deze specifieke site. Dus stop aub met melden dat deze site niet geweldig was voor dat doel. Dat snappen we allemaal wel.

[Reactie gewijzigd door bzuidgeest op 30 mei 2025 15:04]

Malware
Politie
Politiek en recht

@bzuidgeest • 30 mei 2025 12:15

Dat is niet wat AVCheck deed nee, verre van zelfs. Zij deelden hun informatie juist niet met antimalware-makers.

En daarmee verschilt het dus nadrukkelijk met bijvoorbeeld een dienst als VirusTotal die ook bestanden laat scannen op potentiele malware.

Echter deelt VirusTotal die bestanden wél voor verdere analyse met hun partners (zoals een Symantec, F-Secure etc) zodat zij hun detectie kunnen verbeteren:

Upon submitting a file or URL basic results are shared with the submitter, and also between the examining partners, who use results to improve their own systems. As a result, by submitting files, URLs, domains, etc. to VirusTotal you are contributing to raise the global IT security level.

Zie https://docs.virustotal.com/docs/how-it-works

Ook het Nederlandse Jotti Malware Scan doet iets dergelijks, en ook zij delen dat met anti-malwaremakers zodat zij hun produkt(-detectie) kunnen verbeteren.

banaj @wildhagen • 30 mei 2025 19:21

Dus met wie ze data delen verschilt. De core-functionaliteit is tot hetzelfde? Het lijkt me toch niet dat de juridsiche status afhangt van met wie je data deelt? Juristen in de zaal die hier duiding aan kunnen geven?

mphilipp @bzuidgeest • 30 mei 2025 12:32

Hint: antivirusbedrijven deden mee in deze politie actie. Die hebben hun eigen methodieken om dat te testen.

majetta @bzuidgeest • 30 mei 2025 12:35

Researchers doen het in een controlled lab. niet in een lab in de cloud waarvan zei niet weten wie erachter zitten.

Mathijs Kok @bzuidgeest • 30 mei 2025 14:04

Ik kan makkelijk een legitiem doel noemen. Hoe denk je dat security researchers aan het resultaten komen? Die testen of ze gaten in beveiliging kunnen vinden.

Security reserachers gebruiken dit soort sites om gaten in beveiliging te vinden? Nee, zo werkt het werkelijk niet. Als je geen inzicht hebt in de methodiek is een test zo goed als waardeloos.

Politiek en recht

@Mathijs Kok • 30 mei 2025 15:03

Wat niemand lijkt te begrijpen is dat ik de functionaliteit in de algemene zin bedoel. niet die van deze specifieke site.

Scriptkid @mphilipp • 30 mei 2025 13:09

Geen legal doel?

Ik wil Namelijk wel weten of mijn vscode build door een virus scanner gepakt wordt of niet voordat ik naar klanten stuur als de nieuwe update voormij tool.

Mathijs Kok @Scriptkid • 30 mei 2025 14:09

Ik wil Namelijk wel weten of mijn vscode build door een virus scanner gepakt wordt of niet voordat ik naar klanten stuur als de nieuwe update voormij tool.

En daarom wil je weten of je software virusscans kan omzeilen? Komt meteen de vraag op wat voor software je maakt. Als je dat weten wilt maak je een paar VMs en installeer je de AV software waarmee je je software wilt testen. Er bestaan ook services die dat voor je doen (maar die laten je niet weten hoe je de beveiliging kan omzeilen.

Laten we elkaar geen mietje noemen. Dit was een service voor criminelen, niets meer en niets minder.

mphilipp @Scriptkid • 30 mei 2025 13:51

Nou, dan zet je een VM neer. Deze cloud dienst had geen legaal doel, anders was ie wel door anti-virus researchers opgezet, en die deden nou nét mee aan die actie (de research waarschijnlijk).

Scriptkid @mphilipp • 30 mei 2025 21:12

een Vm met 30 AV versies betaald, weet je wat dat kost, en die kunnen ook niet allemaal op 1 vm dat zijn +- 30 vm`s .

en die deden nou nét mee aan die actie

take out the competition ?

mphilipp @Scriptkid • 30 mei 2025 22:01

ok, jij wint,. het waren 'good guys'. Nog meer conspiracies te koop?

Je kunt er ook gewoon helder over proberen na te denken...

@Scriptkid • 31 mei 2025 09:05

Wanneer dat enkel is om false-positives te voorkomen, kan je elke andere antivirus site of tool gebruiken.

Een reguliere site of tool zal de meldingen ook terugkoppelen aan de makers. Vooral bij meldingen als 'mogelijk kwaadaardig' zullen ze er in geïnteresseerd zijn wat die melding triggerde. Wanneer het een bepaalde combinatie aan eigenschappen betreft die in bepaalde configuraties kwaadaardig kunnen zijn, maar in andere configuraties niet, zullen ze de tool zo kunnen tweaken dat deze geen of een stuk minder false-positives geeft bij de veilige configuraties.

En voor het reguliere doel van virusdetectie in bestanden zullen deze sites een analyse geven of het enkel mogelijke kwaadaardige eigenschappen bevat, of dat het om een bekend virus gaat, waarbij ook informatie gegeven kan worden over hoe dat virus verwijderd kan worden.

Scriptkid @CivLord • 31 mei 2025 09:30

Wanneer dat enkel is om false-positives te voorkomen, kan je elke andere antivirus site of tool gebruiken.

Dat is natuurlijk bs.

Dus er mogen geen andere community sites of zo zelfde dienst aan bieden.

Ik heb zelf ook hele tijden scanners gehost oor allerlij dingen die ik niet door geef aan 3rd party av.

Bij deze site is niks raars te zien als je het internet archief bekijkt. Er zal dus vast wel hoop neven activiteiten zijn geweest.

@Scriptkid • 31 mei 2025 10:08

En waarom kan je geen reguliere AV-site of -tool gebruiken?

En iedereen mag vergelijkbare dienste aanbieden, zolang ze gericht zijn om false-positives te voorkomen en niet om false-negatives mogelijk te maken.

Of ze daar wel of niet op gericht zijn kan blijken op de manier waarop de dienst wordt gepromoot, maar ook wat de terugkoppeling is bij een detectie.

Coy @mphilipp • 2 juni 2025 14:58

Voor mensen die statelijke actoren of ransomware groepen nabootsen (adversary simulation/red teaming) is het wenselijk om te testen of de manier waarop je je code/virus/probeersel hebt ingepakt langs de door de klant gebruikte AV heen komt, *zonder* dat deze automatisch in een publiek beschikbare database beland. Virustotal is in deze zin een geschikt alternatief, ware het niet dat deze by default dus de boel upload en beschikbaar maakt voor de AV vendors/het publiek.

Noxious @Mas-ih • 30 mei 2025 11:48

Als ik zo het artikel lees dan lijkt het inderdaad vergelijkbaar met bijv. VirusTotal. Maar bij veel van dit soort dingen draait het natuurlijk ook om de intenties. Encrypted chat apps zijn ook niet verboden; maar wel als ze primair aan criminelen worden verkocht zo blijkt.

Politiek en recht

@Noxious • 30 mei 2025 12:02

Maar daarbij is encrypted chats niet wat verboden word. Het faciliteren van misdaad is wat verboden is. Dat het toevallig een keer om chats gaat is niet relevant.

Noxious @bzuidgeest • 30 mei 2025 12:10

Precies; dat is hier niet anders lijkt mij. De intentie is het faciliteren van misdaad bij beide.

dutchgio @Noxious • 30 mei 2025 12:35

VirusTotal is dan ook een legitieme tool, bestanden die daar gecontroleerd worden helpen de anti-virus bedrijven ook om de detectie te verbeteren.
De criminele site bied hetzelfde aan maar deelt dat niet, dus dan blijft die intelligentie bij de criminelen zelf.

Malware
Politie
Politiek en recht

@Mas-ih • 30 mei 2025 11:50

Ja, dit is illegaal als het specifiek erop gericht is om antivirus-tools te misleiden.

Hier zijn in het verleden al vaker rechtzaken over geweest, met strafeisen die oplopen tot 35 jaar celstraf. Zie bijvoorbeeld https://securityaffairs.c...you-service-shutdown.html

De tool an sich is mogelijk niet illegaal, hoewel dat al een heel erg grijs gebied genoemd kan worden. Maar als de intentie is om het voor malwaremakers mogelijk te maken om antivirus-tools te omzeilen wordt het een heel andere zaak.

Scriptkid @wildhagen • 30 mei 2025 13:19

Hoe zou dat zitten als ik blue team tools maak.

Die moeten ook de av omzeilen en aggresief in kunnen grijpen.

Kaasrol @Scriptkid • 30 mei 2025 13:37

Als blueteamer heb je controle over je omgeving en kun je je tools toestaan.

DrWaltman @Scriptkid • 30 mei 2025 14:01

Lijkt me voor red team nog stuk relevanter? Al doen ze dat beiden natuurlijk.

Ossebol @wildhagen • 30 mei 2025 20:00

Het maken/hebben/verwerven etc. van een tool (= technisch hulpmiddel) is strafbaar als het oogmerk hiervan is om cybercrime, zoals hacken en DDoS, te faciliteren. Zie artikel 139d lid 2 onder a van het Wetboek van Strafrecht https://wetten.overheid.n...z=2025-05-15&g=2025-05-15

Politiek en recht

@Mas-ih • 30 mei 2025 12:53

Ik ben benieuwd hoe dit juridisch staat. De dienst opzich lijkt me niet illegaal te zijn? Er wordt geen malware aangeboden, maar enkel tools om je software te testen (en als dat malware is, dan is dát natuurlijk illegaal).
Iemand die daar meer vanaf weet?

Het draait juridisch niet alleen om wat een dienst doet, maar ook om hoe en waarvoor hij wordt gebruikt en of de aanbieder wist van het gebruik of zelfs bewust faciliteerde. De intentie van de aanbieder speelt hierbij een rol, als kan worden aangetoond dat hij het misbruik niet alleen tolereerde maar ook faciliteerde of stimuleerde, dan kan dat leiden tot strafrechtelijke aansprakelijkheid op basis van medeplichtigheid (artikel 48) of deelneming aan een criminele organisatie (artikel 140).

Artikel 48:

Als medeplichtigen van een misdrijf worden gestraft:
zij die opzettelijk behulpzaam zijn bij het plegen van het misdrijf;
zij die opzettelijk gelegenheid, middelen of inlichtingen verschaffen tot het plegen van het misdrijf.

Bron: https://wetten.overheid.nl/jci1.3:c:BWBR0001854&boek=Eerste&titeldeel=V&artikel=48&z=2025-05-15&g=2025-05-15

en artikel 140, iets te veel om allemaal erin te zetten maar komt neer op:

1: Deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

[...]

5: Onder deelneming als omschreven in het eerste lid wordt mede begrepen het verlenen van geldelijke of andere stoffelijke steun aan alsmede het werven van gelden of personen ten behoeve van de daar omschreven organisatie.

Zie ook:

Het Nederlands Openbaar Ministerie benadrukt in de persconferentie dat encryptie op zichzelf goed is en dat veel mensen daar gebruik van maken. Het netwerk van Encrochat werd echter volledig gebruikt voor criminaliteit, en profileerde zich ook als zodanig. "Dit soort telefoons wordt vrijwel alleen in criminele circuit gebruikt, en daarom zijn ze niet in het algemeen belang", zegt de openbaar aanklager.

Bron: nieuws: Politie las in real time mee met otr-berichten op cryptotelefoons van Encrochat

en:

Sky ECC verkocht gemodificeerde Android- en iOS-smartphones waarop een eigen berichtendienst werd geïnstalleerd. De goedkoopste telefoon is een iPhone SE voor 729 euro, de duurste was een iPhone 11 Pro voor 1539 euro. Gebruikers kregen daarbij een abonnement voor drie maanden; verlengen kostte 600 euro per drie maanden. Berichten werden met 521-bit elliptic-curve cryptography versleuteld en maximaal 48 uur opgeslagen op de servers van Sky ECC.

Kijk bijvoorbeeld naar cryptotelefoondiensten als EncroChat en Sky ECC maar ook iets als CyberBunker. Die boden op papier een legitiem product aan, namelijk versleutelde communicatie. Toch zijn ze aangepakt omdat duidelijk was dat ze vrijwel uitsluitend door criminelen werden gebruikt en omdat de aanbieders dat wisten en actief ondersteunden, bijvoorbeeld door remote wipe-functionaliteit, het ontbreken van logging en meer.

Mocht blijken dat AVCheck een vergelijkbare rol speelde in het cybercriminele ecosysteem, dus structureel en opzettelijk werd gebruikt voor het testen en optimaliseren van malware, en de aanbieder daarvan wist en dat niet voorkwam of zelfs ondersteunde, dan is het juridisch goed verdedigbaar dat de dienst zelf deel uitmaakte van de criminele infrastructuur en daarom kon worden neergehaald.

[Reactie gewijzigd door jdh009 op 30 mei 2025 13:10]

Mas-ih @jdh009 • 30 mei 2025 13:04

Ik moest ook gelijk aan Sky ECC, denken, maar dat is denk ik makkelijker te bewijzen aangezien de (meeste) kopers gepakt zijn en de fysieke telefoons bij de criminele gebonden zijn.

Met software lijkt me dat lastiger, tenzij ze dus met de nagemaakte inlogpagina ook inzage hebben gekregen in de geteste malware en eventueel de gegevens van de personen/groepen die ze geüpload hebben.

Maar goed, laten we hopen dat met het offline halen van dit dienst er potentiële malware aanvallen zijn voorkomen.

@Mas-ih • 31 mei 2025 09:26

Met een site kan je ook kijken hoe deze aangeboden wordt en hoe deze werkt.

Wanneer de site voornamelijk in hackersforums wordt gepromoot en voor een reguliere gebruiker of developer nauwelijks zichtbaar is, heb je al een duidelijke aanwijzing.

Wanneer de melding die teruggegeven wordt niet is: "Dit bestand bevat verdachte code die zus-en-zo probeert te doen." of "Dit bestand is besmet met 'trojan.XYZ' en hier kan je vinden hoe je dat kan verwijderen.", maar meer lijkt op: "De volgende code in dit bestand triggert mogelijk virusscanners en in dit forum kan je vinden hoe je die code aan kan passen." dan is dat ook een duidelijke aanwijzing.

necessaryevil @jdh009 • 30 mei 2025 14:03

Kijk bijvoorbeeld naar cryptotelefoondiensten als EncroChat en Sky ECC maar ook iets als CyberBunker. Die boden op papier een legitiem product aan, namelijk versleutelde communicatie. Toch zijn ze aangepakt omdat duidelijk was dat ze vrijwel uitsluitend door criminelen werden gebruikt en omdat de aanbieders dat wisten en actief ondersteunden, bijvoorbeeld door remote wipe-functionaliteit, het ontbreken van logging en meer.

Is het dan bekend geworden dat aanbieders de criminelen ondersteunen? Anders lijkt me het verschil met andere legitem bevonden diensten toch wel minimaal. Whatsapp en Telegram zijn ook versleuteld. Het ontbreken van loggen lijkt me vrij standaard, maar dat kan ik mis hebben. Android telefoons hebben ook remote wipe functionaliteit.

Politiek en recht

@necessaryevil • 30 mei 2025 15:40

Is het dan bekend geworden dat aanbieders de criminelen ondersteunen? Anders lijkt me het verschil met andere legitem bevonden diensten toch wel minimaal. Whatsapp en Telegram zijn ook versleuteld. Het ontbreken van loggen lijkt me vrij standaard, maar dat kan ik mis hebben. Android telefoons hebben ook remote wipe functionaliteit.

Het lijkt erop dat opsporingsdiensten en justitie dit inderdaad zo zien, gezien het feit dat AVCheck samen met andere diensten is neergehaald in het kader van een internationale operatie tegen deze cybercriminele infrastructuur. Daaruit blijkt toch wel dat zij de dienst in ieder geval niet als neutraal beschouwen, maar als actief faciliterend binnen het criminele ecosysteem.

Of dat juridisch volledig standhoudt, hangt af van de feiten en het juridische kader dat uiteindelijk aan een rechter wordt voorgelegd. Het offline halen van de dienst is in deze fase vooral een operationele maatregel binnen een bredere opsporingsactie, waarvoor in Nederland voorafgaande toestemming vereist is van de officier van justitie en, afhankelijk van de aard van de maatregel, ook van de rechter-commissaris.

Wat betreft een eventuele strafrechtelijke vervolging van de aanbieder, en de vraag of er sprake is van strafbare medeplichtigheid of deelneming aan een criminele organisatie, zal dat moeten blijken uit verder onderzoek. De politie kan dat slechts onderzoeken en aan de officier van justitie voorleggen. Vervolgens beslist het Openbaar Ministerie over vervolging, en het uiteindelijke oordeel over eventuele strafbaarheid ligt bij de rechter.

Of het zwart-op-wit is bewezen dat de aanbieders van AVCheck bewust criminelen hebben ondersteund, valt in ieder geval niet uit dit artikel af te leiden. Ik lees vooral dat de politie de faciliterende rol van de dienst binnen het cybercriminele ecosysteem benadrukt, maar er worden geen concrete aanwijzingen genoemd over de intenties of betrokkenheid van de beheerders. Ook zie ik geen vermeldingen van aanhouding of strafrechtelijke vervolging. Het feit dat AVCheck desondanks is meegenomen in een internationale actie suggereert dat opsporingsdiensten de dienst in ieder geval niet als 'neutraal' beschouwen, en dat waarschijnlijk toestemming is verleend door het Openbaar Ministerie of een bevoegde rechterlijke instantie. Dat betekent nog niet dat er sprake is van bewezen schuld, maar wel dat justitie de dienst kennelijk ernstig genoeg vond om in te grijpen.

necessaryevil @jdh009 • 30 mei 2025 17:48

Ik doelde meer op de post van jdh009 die ik in mijn bericht gequote heb, die heeft EncroChat en Sky ECC. Ik denk dat je me makkelijker kan overtuigen dat het een goed idee is om AVCheck offline te halen, maar ik heb er eigenlijk ook nog niet echt over nagedacht. Je zou wel vraagtekens kunnen zetten bij het feit dat de politie een website zonder sluitend bewijs offline haalt. Verder schrijf je dat justitie de dienst niet als neutraal ziet, maar dat lijkt me evident.

@necessaryevil • 31 mei 2025 09:45

Het ligt er ook aan hoe de dienst aangeboden wordt.

Wordt het op bv. Marktplaats aan iedereen aangeboden en ontdekken criminelen dat het wel heel erg handig is voor illegale zaken, dan is de kans op problemen erg klein. Wordt het vooral direct aan criminelen aangeboden, compleet met de pitch dat opsporingsdiensten je zo niet afluisteren, dan heb je wél een probleem.

Maar ook wanneer je de dienst op de juiste manier aanbiedt zal je op moeten blijven letten. Stel je biedt zo'n dienst aan op een journalisten conventie, met de pitch dat journalisten in bepaalde buitenlanden op deze manier veilig contact kunnen houden met hun redacties in Nederland. Daar kan een crimineel tussen lopen die denkt dat het ook een veilige oplossing is voor zijn illegale zaken. Wanneer hij dan een setje bij je koopt om veilig contact te kunnen houden met zijn leverancier is er nog niets aan de hand. Maar wanneer je plotseling overspoeld wordt door aanvragen of de toestellen ook op parkeerplaatsen en in restaurants afgeleverd kunnen worden en daar contant betaald kunnen worden, dan moeten er toch alarmbellen gaan rinkelen.

Zie het als een marktkoopman in keukenmessen. Op de markt, tussen de potten en pannen en groetnekramen is er niets aan de hand (zolang hij ze niet aan minderjarigen verkoopt), ook niet wanneer een bij hem gekocht keukenmes in een steekpartij wordt gebruikt. Maar midden in de nacht naast de snackbar in een druk uitgaansgebied is het een heel ander verhaal, ook wanneer hij vol houdt dat ze bedoeld zijn om frikandellen te snijden.

banaj @jdh009 • 30 mei 2025 19:24

Het verschil lijkt dan te zitten in wel versus niet data delen. Niet data delen is toch niet direct crimineel?

xxs @Mas-ih • 30 mei 2025 13:24

Een hamer, schroevendraaier en koevoet zijn ook niet illegaal maar je hebt echt iets uit te leggen als ze je ‘s nachts op een industrieterrein aanhouden.

[Reactie gewijzigd door xxs op 30 mei 2025 17:24]

DefaultError @Mas-ih • 30 mei 2025 12:01

Wat te denken van een opleiding safety-issues tester. De juridische kant is een dynamisch en ethisch proces.

Allemaal keuzes.

yevgeny @Mas-ih • 30 mei 2025 12:33

Virusscanners signaleren regelmatig false positives.

Om je software te testen of het door virusscanners verkeerd wordt gesignaleerd voordat je het in omloop brengt doet iedere verstandige developer, soms moet je instructies in een andere volgorde uit laten voeren zodat heuristics van de scanner je door laten.

@yevgeny • 31 mei 2025 09:16

En wat is er mis mee om dat door een reguliere visusscanner te laten doen? Wanneer het doel is om false-positives van je zelf ontwikkelde software te voorkomen?

GertMenkel @Mas-ih • 30 mei 2025 12:57

Zoals bij de cryptotelefoons is het product op zich niet per se illegaal, maar als je weet dat het vooral door criminelen wordt gebruikt heb je de verplichting om actie te ondernemen.

Het ligt er ook maar net aan wat ze doen met de malware die op hun systeem terecht komt. Als ze de malware delen met antivirusbedrijven en er geen ander bewijs is dat ze dit voor kwaadaardige doeleinden deden, zouden ze redelijk eenvoudig vrij moeten kunnen komen.

Echter denk ik dat het feit dat Virustotal.com nog wel online is en avcheck.net niet, dat de inlichtingendiensten bewijs hebben dat ze het criminele circuit in wilden. Als ik een gearchiveerde versie van crypt.guru lees, lijken ze ook een executable obfuscation tool te verkopen in ruil voor Bitcoin of Litecoin, die dan weer gelinkt is aan avcheck.

Dit is een gevalletje van "je mag een slagersmes vast hebben, maar je mag niet zomaar met een slagersmes op Dick Schoof aflopen". Op zichzelf zijn de tools die ze verkopen legaal en verdedigbaar, maar samen (en waarschijnlijk in combinatie met wat rechergewerk) wordt het verdedigen van deze tools heel lastig.

@Mas-ih • 30 mei 2025 12:59

Ik neem aan dat ze het gooien op medeplichtigheid bij misdrijven en lidmaatschap van een criminele organisatie. In beginsel zijn er meer dan voldoende juridische kapstokjes om dit aan te vliegen.

Scriptkid @FrankHe • 30 mei 2025 13:16

Denk niet dat je verplicht ent doel van je klant teachterhalen.

Gamma vraagt ookniet wat ik met de hamer ga doen. Zelfs voor een mes niet alleen dat je 18 moet zijn.

@Scriptkid • 30 mei 2025 15:31

Het hangt er van af wat Gamma in de verkoopfolder communiceert. Wanneer ze reclame maken voor een puntige hamer die uitermate geschikt is voor het inslaan van je partners schedel dan trekt dat denk ik wel de aandacht van de officier van justitie. Zeker op het moment dat er veel partners worden gedood met specifiek die hamer. Dan gaan de raderen bij het OM wel draaien.

Scriptkid @FrankHe • 30 mei 2025 21:13

Maar op deze site adverteren ze niet met iets crimineels zelfde als de gamma dat neit doet.

Er zitten dus blijkbaar veel meer dingen die niet in dit artikel staan onder het gras

@Scriptkid • 30 mei 2025 21:41

Het is speculatie maar wellicht dat de personen achter de service (site) onderdeel uitmaakten van een breder crimineel netwerk waardoor de Politie en het OM de site zelf konden aanmerken als zijnde een essentieel gereedschap voor criminelen gerund door criminelen. Hierbij gaan ze zelden over één nacht ijs. De rechter-commissaris geeft alleen toestemming hiervoor wanneer voldoende aannemelijk kan worden gemaakt dat er een bands bestaat tussen de activiteiten en de betreffende personen.

@Scriptkid • 31 mei 2025 09:48

Maar werd de site actief gepromoot op algemene tech-sites, zoals Tweakers? Zoals andere AV-oplossingen. Of werd het vooral gepromoot in hackerforums?

JohanNL @Mas-ih • 30 mei 2025 14:36

Inderdaad, doet virustotal.com ook al niet zoiets?
Verschil lijkt bijna wel alleen te zitten in de hoofdgebruikers van de site, bij virustotal zijn dat de eindgebruikers om bestanden te controleren op virussen.

@JohanNL • 31 mei 2025 09:59

Verschil zal ook zitten in de terugkoppeling.

Bij Virustotal zal je een melding krijgen met wel virus een bestand besmet is en hoe je er van af kan komen, of dat een bestand mogelijk kwaadaardige code bevat.

De dienst waar dit artikel over gaat zal niet testen op bekende visusdefinities, maar enkel op code en dan aangeven waarom AV-software daar op kan reageren. En misschien worden er wel tips gegeven hoe die code beter verbergen is of waar je daar meer informatie over kunt vinden.

Baserk @Mas-ih • 30 mei 2025 15:24

In de T's en C's van de verschillende gebruikte antivirusprogramma's zal dit gebruik vermoedelijk niet zijn toegestaan.
Maar dat is redelijk vragen naar de bekende weg, lijkt me zo.
Open deur et cetera.

vrijmark @Mas-ih • 31 mei 2025 09:20

Ik hoop dat er eens programma komt voor mensen die niet digitaal vaardig en toch hun apparaat goed kunnen beveiligen en dan geen duur abonnement wie weet

jeffhuys 30 mei 2025 11:57

Ik dacht juist dat men deze websites NIET moest gebruiken als ze malware wilden testen om te zien of het “undetectable” was - aangezien dat een mooie manier is om je malwaredetectie-lijst of whatever te spekken als AV bedrijf. Dat was iig de consensus op de fora.

Bor Coördinator Frontpage Admins / FP Powermod

Malware

@jeffhuys • 30 mei 2025 12:05

Dat geldt mogelijk bij de legitiemere multi engine anti malware test sites maar daar ligt de focus dan ook op het vinden van malware, niet op evasive measures.

dutchgio @jeffhuys • 30 mei 2025 12:39

Daarom doen ze het ook op deze site, en niet op een site als VirusTotal die je bedoeld. En precies daarom wordt deze site ook offline gehaald, omdat die de gegevens niet deelt met AV partijen, juist met als doel om het voor illegale activiteiten te kunnen gebruiken.

yevgeny @dutchgio • 30 mei 2025 12:48

VirusTotal is van google, niet iedereen wil zijn software/data delen met google.

dutchgio @yevgeny • 30 mei 2025 12:49

Is slechts een voorbeeld, er zijn tal van dit soort sites.

RcsProst 30 mei 2025 12:16

Nooit over nagedacht dat soort software en gelijken als Malware net als alle andere software gewoon getest zou worden. Maar opzich best logisch. Al lijkt mij dat beter dat je dat niet openbaar zou delen. Gewoon lokaal op een machine paar anti virus scanner installeren en dan de malware.

[Reactie gewijzigd door RcsProst op 30 mei 2025 12:24]

kuurtjes 30 mei 2025 13:16

Voor de duidelijkheid:

Een website zoals VirusTotal stuurt alle virus samples door naar de Antivirus bedrijven.
Een website zoals AVCheck doet dat niet.

Meestal gebruiken ze virtuele images die de laatste versie hebben van de Antivirus maar dan niet met het internet verbonden zijn.

dehardstyler @kuurtjes • 30 mei 2025 15:58

Als dat het enige verschil is, vind ik dit maar weer een raar verhaal eigenlijk. Waarom zou dit dan illegaal zijn? Hoezo kan ik die dienst niet gewoon opnieuw opzetten en de samples niet delen? Klinkt totaal niet illegaal eigenlijk.

edit: ik kan mij voorstellen dat de antivirus bedrijven er niet blij mee zijn en met IP gaan schemeren of iets dergelijks, maar dat is dan wel een civielrechtelijk feestje toch?

[Reactie gewijzigd door dehardstyler op 30 mei 2025 16:02]

kuurtjes @dehardstyler • 30 mei 2025 16:27

Grotendeels intentie. En dat is duidelijk als je ziet waar deze diensten geadverteerd worden.

Tota-Fox- @kuurtjes • 30 mei 2025 20:06

Nee, VT doet dat niet altijd, dacht ik. Maar er wordt zeker data gedeeld. Je kunt ook altijd de hash delen om te kijken of deze bekend is, maar dat werkt natuurlijk niet. Daarnaast heeft VT ook iets interessants: omdat veel antivirusbedrijven nu ML/AI, hoe je het ook wilt noemen, gebruiken, kun je gevallen hebben waarin bestanden zes of meer detect hebben, waardoor je als gebruiker denkt dat het zeker malware of een trojan is, terwijl er niets aan de hand is Maar er ook vaak bestanden die slechts één of twee, of zelfs geen detecties hebben, maar toch gevaarlijk kunnen zijn (met nadruk op kunnen).

bjp 30 mei 2025 12:55

zulke websites zijn ook handig voor de normale burger. Vertrouwd hij mss een file niet, kan hij deze checken _voor_ hij deze opent. Met veel meer dan enkel de lokale AV.

Zoiets is voor mij al vaak van pas gekomen.

Malware
Politie
Politiek en recht

@bjp • 30 mei 2025 13:02

Daar heb je genoeg andere websites voor, bijvoorbeeld Virustotal of het Nederlandse Jotti Malware Scan.

En er zijn er nog wel meer.

Bijkomend voordeel is dat die websites de resultaten ook delen met antimalware makers zodat zij hun detectie kunnen verbeteren, en daarmee dragen die websites dus bij aan een betere Internet-security.

Een "dienst" als AVCheck (waar dit artikel over gaat) die dit niet deelt met antimalware-makers, heb je hiervoor absoluut niet nodig. Dit zijn "diensten" met een kwaadwillende intentie, en die kan de wereld missen als kiespijn.

ShadLink @wildhagen • 30 mei 2025 17:01

Maw. wanneer je privacy wil beschermen tijdens het checken of een bestand malware bevat is dat illegaal volgens de politie?

Dat lijkt mij absoluut niet de bedoeling.

Tota-Fox- @ShadLink • 30 mei 2025 20:00

Er kunnen andere sites beschikbaar zijn, maar vaak zit daar tegenwoordig een paywall op of wordt er slechts een deel van de gedeeld, de score.

Het zou mogelijk via de API van VirusTotal kunnen werken, alleen weet ik dit niet direct uit mijn hoofd.

@ShadLink • 31 mei 2025 10:01

Wie zegt dat een site die zich primair lijkt te richten op criminelen jouw privacy beter beschermt?

Scriptkid 30 mei 2025 13:13

https://web.archive.org/web/20250124165941/https://avcheck.net/

Ik kan niet echt zeggen dat dit een maliciues site is.

Ziet er meer uit als end user / develop er die wil testen of zijn vscode build wel ok distribueert.

DrWaltman @Scriptkid • 30 mei 2025 13:57

Dat was t dus blijkbaar niet. Ik ga er vanuit dat een onderzoek van justitie uit meerdere landen iets meer onderzoek gedaan hebben dan even vluchtig naar de website kijken

Tota-Fox- @Scriptkid • 30 mei 2025 19:58

dit was vroeger ook een betere site. https://www.filescan.io/scan

Tota-Fox- 30 mei 2025 19:53

Hoewel ik zelf geen gebruiker ben van een dienst als deze, vraag ik me toch af of de politie dat mag doen. Want als een dienst zoals Meta dit zou doen, ben ik benieuwd of ze er überhaupt iets tegen zouden doen. Wat betreft Limenet, daar heb ik ook veel werk van moeten maken ( IP's waren 45.66.231.0/24 en 45.89.247.0/24). Hun ASN-nummer was uit mijn hoofd AS394711, dacht ik. Dit werd in Nederland gewoon gehost met c/p dox-sites en andere rommel via bulletproof. Pas vijf maanden geleden, in mei 2024, ging het plat.

Wijzelf gebruiken test-VM's om AV's, EDR's en XDR's te testen. Wij testen uitsluitend op gedragsgebaseerde detectie, want in het geval van onbekende malware heb je geen signatures, YARA-regels of IOC's beschikbaar, wat het lastig kan maken. Bij Windows Defender zie je vaak dat als er al internetproblemen zijn, het minder goed werkt en malware minder snel kan detecteren, laat staan tijdig stoppen.

Om te kunnen reageren moet je ingelogd zijn