Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties
Submitter: voelspriet

Google logoVoelspriet meldt op haar forum dat Google en een aantal andere sites voor tienduizenden gebruikers niet toegankelijk zijn door een lek in Internet Explorer. Door dit lek kunnen kwajongens het hosts-file van de gebruiker aanpassen en ervoor zorgen zorgen dat de URL van Google of een andere site naar het verkeerde IP verwijst, waardoor de gebruiker op een andere site terecht komt. Vaak is dat de site van softwarefabrikant TweakXP, die daar niet erg blij mee lijkt te zijn. De URL kan ook naar een fopsite verwijzen, waarbij elke link naar een 'error 404'-pagina leidt. Tweakers die last hebben van het probleem installeren best de door Microsoft uitgebrachte patch. Meer informatie rond dit lek is hier te vinden.

Moderatie-faq Wijzig weergave

Reacties (68)

een paar dagen geleden las ik op de nieuwsgroup ook dat er een trojan was gereleased die er voor zorg dat de dns server niet meer gevonden kan worden. ern dat er pas op 8 oktober een nieuwe virus update voor zou komen..

zou dit verband hebben met dit lek?

edit:
de naam van dit trojan is Trojan.Qhosts
http://www.snt.utwente.nl/actueel/news.php?id=117
http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts. html

op deze site (http://www.imilly.com/google.htm) is te lezen dat het om een ander trojan gaat, genaamd Trojan.BAT.Startpage.a meer info hier:
http://www.europe.f-secure.com/v-descs/delude.shtml
en een fix is hier te vinden:
http://www.microsoft.com/security/security_bulletins/ms03-032.asp
Al gehad, oplossing staat netjes weergegeven op de betreffende pagina waar je terecht komt:

Start>uitvoeren (run)>
dan typ je het volgende in

%windir%\system32\drivers\etc\

even rechtsklikken op het bestands "hosts" en dan "openen met", vervolgens kladblok (notepad) uit de lijst kiezen

als het bestand is geopend kan je gewoon alle adressen die er staan wissen (behalve evt. adressen die je er zelf in hebt gezet)

even opslaan en klaar ben je


samenvattende credits: Wisp
<we leven in een copy-paste tijdperk :)>
Al gehad, oplossing staat netjes weergegeven op de betreffende pagina waar je terecht komt:
Dit mag dan wel een (tijdelijke) oplossing zijn voor het probleem, maar de oorzaak van het probleem wijzig je hier niet mee. Met andere woorden, het zou zo nog een keer kunnen gebeuren.

De enige echte oplossing lijkt het patchen van de IE6 lek. En dan nog, er zullen tienduizenden gebruikers zijn die dat niet meteen of niet zullen doen. Voor die gebruikers kan dit een zeer ongemakkelijk "probleem" zijn.

Ik werk zelf in een bibliotheek, en daar kon ik met IE6 ook een aantal websites niet bezoeken. Waaronder google. Ik weet niet of het hier iets mee te maken heeft, maar met Netscape had ik geen problemen. Ik zal volgende keer eens kijken of Microsoft's patches tegen lek werken en dus bevestigen of uitsluiten wat de oorzaak was in mijn geval.
samenvattende credits: Wisp
<we leven in een copy-paste tijdperk >
Opmerking op de workaround; het is misschien noodzakelijk om in veilige modus te booten. Dit kan het geval zijn als je het "host" bestand op de een of andere manier niet kan opslaan nadat je de inhoud hebt gewist. Opstarten in veilige modus doe je met F8 tijdens het booten.
De oplossing is anders heel simpel hoor, heb je geen patch voor nodig. Gewoon je hosts. file read-only maken --> probleem opgelost.
Als je het nieuwsbericht gelezen had en de samenvatting van symantec over de Qhost trojan dan had je kunnen lezen dat het een registry key veranderd.
Zo uit mijn hoofd: HKLM->System->CurrentControlSet->Microsoft->TcpIp->Services
Daar staat een sleutel die ipv Databasepath ="%SystemRoot%/System32/drivers/etc/" Er "%SystemRoot%/Help" van maakt, er wordt dus niets met je huidige hosts bestand gedaan er wordt alleen maar verwezen naar een nieuw gemaakt hosts bestand :)

Bovenaan wijsde nog iemand naar een fix (MS03-032) Deze werkt niet, fix MS03-040 zoals in het artikel genoemd werd werkt wel.


Het had trouwens veel erger kunnen zijn dan dit omdat Qhost ook een virus kan installeren, zorg dus dat je na het verwijderen van alle resten van Qhost nog even op virusen scant.
Dat werkt natuurlijk alleen als je geen adminrechten op de hosts file hebt (dus als admin moet je de rechten aanpassen). Anders kan het wormpje toch zelf eerst die readonly vlag uitzetten.
TweakXp lijkt er niet blij mee te zijn, maar een beetje gratis reclame vindt toch niemand erg.
Het enige negatieve is dat ze in verband worden gebracht met hackeractiviteiten.
En dat hun site enorm traag laadt / laadde door de bandbreedte die het geintje opslokt. Lees het nieuwsbericht op hun site maar eens.
TweakXp lijkt er niet blij mee te zijn, maar een beetje gratis reclame vindt toch niemand erg.
Het enige negatieve is dat ze in verband worden gebracht met hackeractiviteiten
Bandbreedte is duur en ik kan me voorstellen dat zo'n site niet blij is met tienduizenden bandbreedte-verslindende bezoekjes van mensen die helemaal niet geinteresseerd zijn in de site.
als je de link volgt zie je ook dat het verkeer zeer erg omhoog geschoten is daardoor waardoor de server het bijna niet meer aankon en de site dus zeer traag werdt

edit:
1 thought, 3 minds
En op deze manier kunnen kwajongens ook windowsupdate.microsoft laten blokkeren |:(

en later komen er nieuwe virussen: virusscanner ongedaan maken en windowsupdate.microsoft.com laten blokkeren en patchs uninstalleren.
Virussen die de virusscanner ontschadelijk maken bestaan al tijden. En MSBlaster probeerde windows update plat te gooien. Hellaas / gelukkig met de verkeerde hostname.
Daar zeg je wat. Ik vermoed dat ze google hebben gebruikt omdat die door onzettend veel mensen gebruikt wordt. Als ze nu ook windowsupdate in die host file hadden gezet dan zou het voor veel normale gebruikers een stuk lastiger zijn om de update op te halen en was het effect nog erger geweest.
@TheOneLLama:
Het was wel de juiste hostname, maar Microsoft heeft de verwijzingen weg gehaald naar de juiste site en nog wat andere troep beveiligd (dit heb ik van de die hards op dit gebied gehoord op mijn school).

Verder nog een vraagje:
Het lek betreft dus niet Internet Explorer 5.5 oid? Alleen 6?
Dat kan ik eigenlijk nergens echt bevestigd zien in de nieuwsberichten...

Ik gebruik op School wel IE 6.0. K denk dat ik daar mn Hosts bestand ff ga aanmaken (die bestond nl. nog niet, heb iig nog niet er mee gewerkt daar) en em alleen "lezen ga" maken :Y)
K heb het al gevonden op http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/MS03-040.asp

Affected Software:

Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0
Internet Explorer 6.0 for Windows Server 2003
Volgens mij staat een hosts file standaard al in je system32\drivers\etc mappie. :7
Op een NT4.0/5.0/5.1-systeem wel.
Onder Win9x is het %windir%\hosts
Zijn er nog mensen die IE gebruiken dan :Y)

Nee maar serieus, iedere serieuze computergebruiker browsed toch met Mozilla/Firebird/Opera/Konqueror/Galeon/Lynx/Links/Emacs/etc?
ja whatever, IE start 3 keer zo snel op en werkt voor alles wat ik wil prima en snel.
Elke n00b weet toch ook wel hoe IE dat doet. :?
Als je Mozilla (of Opera) bij het opstarten ook direct in je geheugen laat plaatsen (als optie), dan komt ie ook meteen op je scherm. Maar Mozilla en Opera geven je tenminste nog de keuze of je dit wilt. :Z
Geen enkele reden om geen Opera of Mozilla te gebruiken.
Dat zou ik wel eens zwart op wit willen zien.
Behalve dat dit feit 'well known' is: Hier een linkje.
Gezien de andere browsers onderliggend IE nodig hebben, lijkt het mij logisch dat ook zij kunnen profiteren van de onderdelen van IE die al zijn opgestart.
Nou, nee.
Alleen myIE2 en dat soort IE overlays gebruiken de engine van IE. De meeste andere browsers maken gebruik van een andere rendering engine als Gecko. Deze browsers zijn dan ook niet vatbaar voor de gangbare IE exploits, maar misschien wel voor andere, en zijn vaak erg snel met renderen..
Feit is dat iexplorer.exe niet van bij het begin van de windows startup erbij staat. En dat denk ik, andere browsers niet per definitie trager moeten opstarten.
Feit dat het onmogelijk is om IE uit te schakelen of te deinstalleren verklaard wellicht je feit.
Eigenlijk is IE zo geintegreerd met windows dat het onderscheid tussen explorer.exe en iexploerer.exe weggevallen is.
Je kan ook URLs in explorer.exe intikken...
Andere browsers kan je ook bij het starten van windows laten inladen, maar dat moet je dan wel aangeven.
Firebird probeert, met succes vind ik, een zo kort mogelijke laadtijd na te streven.
Dat zou ik wel eens zwart op wit willen zien. Gezien de andere browsers onderliggend IE nodig hebben, lijkt het mij logisch dat ook zij kunnen profiteren van de onderdelen van IE die al zijn opgestart.
Erm, er zijn een aantal "browsers" (zoals Avant Browser) die een laag boven Internet Explorer kunnen bouwen, waarin tabs e.d. gebruikt kunnen worden. Dit zin imo geen browsers, maar gewoon Internet Explorer met een extra laagje er bovenop.
Feit is dat iexplorer.exe niet van bij het begin van de windows startup erbij staat. En dat denk ik, andere browsers niet per definitie trager moeten opstarten.
Dat wil niet zeggen dat de onderdelen die Internet Explorer gebruikt niet worden opgestart tijdens het opstarten van de computer. Mickey$oft weet waarschijnlijk meer truckjes op (hun eigen) programma's vlotter te maken dan andere softwareleveranciers.

[edit]
boesOne was me voor :Y)
[/edit]
De engine van IE zelf, dus die de HTML rendert, zit in SHDOCVW.DLL en MSHTML.DLL. Zodra die worden geladen hoeft iexplore.exe alleen nog maar een window te maken en daar een ActiveX-IE control inzetten... SHDOCVW en MSHTML worden bij de start door Windows geladen, omdat explorer.exe ze nodig heeft (de shell maakt veel gebruik van IE).

Mozilla heeft nog geen enkele componenten geladen als je PC is opgestart, dus die doet er gewoon wat langer over. Als je de 'agent' aanzet (zit meestal erbij) dan krijg je een icoontje in je taskbar en dan is mozilla eigenlijk net zo snel :)
Maar ik zie ook nog geen reden om wťl opera of mozilla te gebruiken :)

Ik heb hier zowel opera, als mozilla & firebird, en soms brows ik daar een tijdje mee, maar uiteindelijk meestal toch gewoon met IE. Er is gewoon weinig mis met IE :) (ok, wat lekjes dan, maarja, zoals je ziet is voor 9 van de 10 lekken al een update voordat er echte exploits zijn.)
Dat zou ik wel eens zwart op wit willen zien. Gezien de andere browsers onderliggend IE nodig hebben, lijkt het mij logisch dat ook zij kunnen profiteren van de onderdelen van IE die al zijn opgestart. Feit is dat iexplorer.exe niet van bij het begin van de windows startup erbij staat. En dat denk ik, andere browsers niet per definitie trager moeten opstarten.
Ik heb Explorer hier zo ingesteld dat het de IE rendering engine nooit nodig heeft (geen active desktop en in explorer altijd enkel file-lijsten tonen, en geen preview rotzooi, etc.).
IE opstarten duurt hier meer dan 10 seconden... :P

Mozilla wordt hier in de achtergond opgestart. Een Mozilla venster openen duurt hier < 1 sec.
Waarom Mozilla?
Tabbed browsing, ingebouwde pop-up killer, minder leaks, etc.
ongeveer 95% van de surfende bevolking, meneer die denkt dat alles en iedereen op linux draait of anti-MS is |:(
... of de voorkeur aan een echte browser geeft.
mozilla die weer is tabellen verkeerd rendert enzo
Ligt dat niet aan de webbouwers die zich niet aan de standaarden houden???
Ligt dat niet aan de webbouwers die zich niet aan de standaarden houden???
dus ga je een browser gebruiken die zich wel aan de regels houdt en daarmee dwing je websitemakers hun sites aan te passen :?

submit je dan iig alle fout geladen pagina's aan de webmaster(s) anders helpt het zeker niet

NOFI maar ik denk dat dit het zelfde effect heeft als te hard blijven rijden om de overheid te dwingen de maximale snelheid te verhogen
dus ga je een browser gebruiken die zich wel aan de regels houdt en daarmee dwing je websitemakers hun sites aan te passen
Ja! Want met de browser waarmee het er wel "goed" uitziet, loop je gevaar met de beveiligings lekken die hij mee brengt.
Websitebouwers moeten niet zo egoÔstisch doen, en effe wat meer tijd steken in hun techniek en zich gewoon aan de regels houden! :r
En als een site het alleen in IE doet, willen ze dus meer op je systeem dan nodig is!
IE dus, die doet temminste alles goed

mozilla die weer is tabellen verkeerd rendert enzo :r
IE en alles goed doen. Keep on dreaming. Het is meer zo dat iedereen hun pages zo klust dat ze ook werken met alle html bugs van ie.
links rulez :*)

onder windows gebruik ik meestal opera en onder linux firebird als X aanstaat en anders links (bij goede sites is links prima bruikbaar), dan moet je bij links natuurlijk wel framebuffer gebruiken zodat je ook plaatjes kan zien :)
Ja... nu rulet linux wel ja.... maar reken er maar op dat, wanneer 95% van de interetn gebruikers Mozilla zou gebruiken, dat er dan ook wel worms voor worden geschreven, en dat er dan exploits komen. Het loont nu de moeite niet!

ik ben b.t.w. een linux gebruiker... en idd.... zolang de rest van de wereld windows gebruikt, zit ik hier heel veilig met evolution mijn email te lezen, en met mozilla mijn pagina's te bekijken (niet als root uiteraard).
uhm het is natuurlijk wel zo dat in de windows wereld een hoop mensen als administrator op hun pc werken (of erger windows 98 gebruiker, waar geen sprake is van een multi user omgeving) en een virus simpelweg veel meer schade aan kan richten. Dat soort dingen komt natuurlijk wel minder voor onder linux (lindows terzijde weliswaar)

~Progster
het hele multiuser idee is mijns inziens omslachtig op PC's voor de huiskamer. Mensen hebben geen zin om apart als admin te moeten inloggen bij elke systeemverandering of het deleten / wijzingen van software.
Ja... nu rulet linux wel ja.... maar reken er maar op dat, wanneer 95% van de interetn gebruikers Mozilla zou gebruiken, dat er dan ook wel worms voor worden geschreven, en dat er dan exploits komen. Het loont nu de moeite niet!

ik ben b.t.w. een linux gebruiker... en idd.... zolang de rest van de wereld windows gebruikt, zit ik hier heel veilig met evolution mijn email te lezen, en met mozilla mijn pagina's te bekijken (niet als root uiteraard).
Je zegt zelf: je gebruikt Mozilla als browser & Evolution voor mail. Een ander zal Mozilla/Thunderbird gebruiken voor mail en Konqueror voor het surfen, nog een andere ... (etc.)
Ik begrijp daar ook niets van. IE werkt niet eens met de helft van de sites.
maar het was dus ook mogelijk om mensen die naar hotmail.com of .nl gaan naar een ip te verwijzen waar je vervolgens je eigen mirror van hotmail hebt en daar de passwords uitleest? Vind et een beetje raar dat er in de titel perse google staat.
Inderdaad, dit heeft niks met Google te maken. Je kan door die fout elke pagina omleiden naar een andere pagina. :(
is google dan niet de (bijna) meestbezochte site ter wereld?

vooral door google te veranderen krijg je opeens veel bezoekers, als je hotmail gaat proberen dan zal je zeker een stuk minder mensen krijgen
Gelukkig gebruik ik Fastnet99, dus ik heb er geen last van. Fastnet99 checkt namelijk o.a. of de bestanden in het hostsbestand worden gekoppeld aan het juist IP-adres.
1 nadeel daarbij, je kunt nl. niet meer al die adservers naar 127.0.0.1 verwijzen...
google ( ;)) eens naar kazaa supertrick (die naam slaat nergens op maargoed alles wordt direct duidelijk)
Google is dan niet alleen onvindbaar met IE, doordat de hosts file wordt aangepast zullen alle browsers hier last van hebben.
Aangezien windows eerst een ip/naam opzoekt via de hosts en daarna pas gaat dns'en
Je interne netwerk zal ook niet blij zijn als er in de hostsfile geprutst is.
Hmmmmmm,

Dit is echt oud hoor, je kunt met verwijzingen in je hosts bestand ook de porno-, advertentie- en meer van dies sites laten omleiden naar een pagina met een gewoon grijs plaatje, wat ook gedaan is.

Maar dat het door een lek in IE zo gemakkelijk gaat en dat het naar een site gaat niet naar jouw wens, je, dat is wat anders.

Tipje voor de gamers onder ons: zet de dns naam en ip van de masterserver in de hosts tabel, als de dns server van je ISP eruit knalt kun je toch nog online gamen :)
Tipje voor de gamers onder ons: zet de dns naam en ip van de masterserver in de hosts tabel, als de dns server van je ISP eruit knalt kun je toch nog online gamen
als je een beetje een gamer bent heb je gewoon je eigen dns staan die je gebruikt aangezien je toch ook vaak gaat lannen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True