Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties
Bron: Sans, submitter: hasse_m

Een aantal grote internetsites zijn besmet met kwaadaardige zichzelf verspreidende JavaScript-code. Het uit Rusland afkomstige trojaans paard verspreidt zich via deze pagina's razendsnel verder. Om welke sites het gaat, wil beveiligingsspecialist en ontdekker van de uitbraak, NetSec niet zeggen. Het gaat in ieder geval om een veilingssite, een zoekmachine en vergelijkingssite. Men denkt dat de originele webpagina's schoon zijn en dat het hier dus over de caching servers gaat. Als een onwetende bezoeker een plaatje van de site bekijkt wordt de kwaadaardige code meegestuurd. Daarna wordt er contact gezocht met een ip-adres in Rusland of Noord-Amerika waarvandaan een keylogger wordt geïnstalleerd en het systeem wordt opengezet voor ongeautoriseerde toegang voor de aanvaller. Het Russische adres staat bekend als een afzender van spam.

Alleen servers met Microsofts IIS zijn vatbaar voor de gevaarlijke code. Deze maakt gebruik van een bekende beveiligingsfout van deze software. IIS-beheerders ontdekten vreemde .dll-bestanden met javascript code. De code die zich via deze servers verspreidt heeft het alleen gemunt op systemen met Microsoft Windows en Internet Explorer. In de browser zitten twee gevaarlijke bugs die nog niet door Microsoft gepatcht zijn. Er is wel een remedie tegen deze besmetting: het uitzetten van JavaScript of een alternatieve browser. Of er al recente virusdefinities zijn die iets tegen de besmetting kunnen doen blijft nog onduidelijk. De verspreiding is al een paar dagen aan de gang, de eerste ontdekte besmetting dateert van 20 juni.

Virus cartoon / illustratie
Moderatie-faq Wijzig weergave

Reacties (92)

Zoiets kan niet met Javascript, alleen met de Microsoft implementatie die ze JScript noemen en dat combineren met VBScript/ActiveX wat ze samen weer "active scripting" noemen.
inderdaad, javascript wordt alleen gebruikt in dit geval om een connectie te maken naar de Russische server die vervolgens weer naar alle waarschijnlijkheid de iframe-exploit gebruikt om JScript, VBscript of ActiveX uit te voeren als ware het in de local zone.
en die server ligt er nu gelukkig uit...
Ja, vanwege het enorme aantal verzoeken :D
Mooi overzicht op http://isc.sans.org

"The attack, which had turned some Web sites into points of digital infection was nipped in the bud on Friday, when Internet engineers managed to shut down a Russian server that had been the source of malicious code for the attack. Compromised Web sites are still attempting to infect Web surfers' PCs by referring them to the server in Russia, but that computer can no longer be reached."
http://www.cnet.com 22:25
Vooral irc is er bezaait mee.

Zo moet je opletten voor links die bevatten:
http://europa04*.*.*
http://images.google.com/(dit is de zoekmachine in kwestie waar het in het artikel over gaat. Google heeft virrusen in zijn cache staan)

Mijn tip is gewoon een goede virusscanner installeeren omdat deze het goed afvangen.
mijn tip is om een andere browser te installeren. IE exploits zijn er aan de lopende band.

bovendien vind ik t wel interessant om te zien dat de meeste virussen voor webservers voor IIS zijn, terwijl Apache toch meer wordt gebruikt. Komt volgens mij toch echt omdat apache open source is, en er daarom al veel meer bugs uit zijn gehaald. Daarom denk ik ook niet, om maar es ff off-topic te gaan doen, dat er meer virussen voor linux komen als linux net zo groot als windows zou zijn, zoals windows-fanboys wel es beweren, als ze met de neus op de virus-feiten worden gedrukt.
Bugs in apache zijn makkelijker te patchen:
gisteren een exploit gevonden in de mod_proxy code van apache op debian. Ik kreeg om 23:00 een mailtje van de debian security mailinglist met daarin omschrijving, oplossing, etc.
Ik log in op mn webservers en draai apt-get update; apt-get upgrade, apache krijgt een klein schopje en is hooguit 10s uit de lucht. Het gaat hier om een backport van een bugfix in de versie die je al een dik halfjaar draait, niet om een compleet nieuwe versie.
Niet dat ik mod_proxy gebruik, maar toch om even zeker te zijn updaten. Mocht de fix de boel slopen, het oude pakket staat er ook zo weer op.

In het windows geval gaat dat anders:
- IIS is diep geintegreerd in het OS, heeft dus zeer waarschijnlijk een reboot nodig
- Omdat IIS zo diep in het systeem zit, kan het ook voorkomen dat ineens de helft het niet meer doet als de patch niet goed blijkt te zijn
- Bij de helft van de patches van MS is het niet mogelijk om een rollback te doen zonder een OS reinstall of het terugzetten van een backup/restorepoint, hier wordt overigens wel voor gewaarschuwd als je zo'n patch installeert.
[quote] Een update kan bij Apache ook betekenen dat *iets* er niet meer goed werkt.[quote]

dat *iets* zal dan onderdeel van apache zelf zijn, of een service die afhankelijk is van apache -- Jan de Groot doelde meer op het feit dat het OS zelf problemen kan ondervinden als er iets in de IIS patch niet goed is; iets dat je in een apache patch echt niet zult vinden.
- IIS is diep geintegreerd in het OS, heeft dus zeer waarschijnlijk een reboot nodig
Windows 2003 server hoeft slechts in uitzonderlijke gevallen een reboot te krijgen. Veel patches kan je er gewoon opzetten en desnoods even de betreffende service herstarten.
- Omdat IIS zo diep in het systeem zit, kan het ook voorkomen dat ineens de helft het niet meer doet als de patch niet goed blijkt te zijn
Beetje tendentieus ... 'de helft' van wat? Het systeem? Een update kan bij Apache ook betekenen dat *iets* er niet meer goed werkt. Elke wijziging brengt tenslotte dat risico met zich mee, want het is een wijziging in het gedrag van de applicatie. IIS zit niet diep in het systeem. Je bent in de war met Internet Explorer. IIS is niet meer dan een applicatie, zoals Apache.
- Bij de helft van de patches van MS is het niet mogelijk om een rollback te doen zonder een OS reinstall of het terugzetten van een backup/restorepoint
Een OS reinstall .... right. :) Als je een hotfix al niet gewoon kan de-installeren kan je terugstappen naar een restore punt. Precies wat je zegt. Dat duurt een paar minuten en dan is het weer zoals het was voordat je begon. Dat doe je in feite ook als je Linux systeem een wijziging krijgt die je toch liever niet had: je gaat terug naar de situatie zoals het was.

Je moet niet ongefundeerde reacties geven, Linux is zeker niet altijd het ultieme antwoord op ICT vraagstukken.
IIS is gewoon een applicatie net zoals apache.
De gevolgen van een foute update van IIS en apache zijn dan ook vergelijkbaar.
Als je in IIS iets patched dat ook door andere programma's wordt gebruikt (bv een gedeelde DLL) kunnen die andere programma's daar problemen door ondervinden. Hetzelfde geld natuurlijk voor apache.

Er is simpelweg geen fundamenteel verschil. Misschien is de code van MS wat slechter dan de code van apache, misschien juist het omgekeerde.
Fundamenteel zijn de risico's gewoon hetzelfde.
Jan de Groot doelde meer op het feit dat het OS zelf problemen kan ondervinden als er iets in de IIS patch niet goed is; iets dat je in een apache patch echt niet zult vinden.
Onzin, daarom zei ik ook:
"IIS zit niet diep in het systeem. Je bent in de war met Internet Explorer. IIS is niet meer dan een applicatie, zoals Apache."
Hey dat heb ik dus ook gehad.
Norton vond vandaag een trojan horse in een plaatje, "gaming_pc_banner.gif"... Ook vond het 'KeyPress.dll"
Met Keypress.dll moet je even uitkijken, omdat het schijnt dat Norton ook een valse melding kan geven als je het programma TeamSpeak 2 hebt geïnstalleerd. TS2 gebruikt keypress.dll om uit te vinden of je de toets voor 'push-to-talk' indrukt, maar gelijke code kan ook gebruikt worden door bijvoorbeeld trojans, waarbij ze elke aanslag registreren, inclusief bijvoorbeeld usernames en passwords.
Bij Teamspeak.org zelf hebben de programmeurs er naar gekeken en Teamspeak2 was volgens hen iig virusvrij, maar voor de zekerheid hebben ze pas geleden nog een nieuwe versie online gezet, die zeker clean is.
keypress.dll is onderdeel van Teamspeak.... dus je begrijpt waarom dat nu niet meer werkt
In dit bericht wordt wel gezegd dat alleen IIS servers vatbaar zijn voor besmetting (de eerste besmetting, die er vervolgens voor gaat zorgen dat clients besmet raken met de backdoor), maar het is vooralsnog niet bekend hóe die IIS servers besmet raken. Eén van de suggesties is zelfs dat ze besmet geraakt zijn doordat de sysadmins op de server zelf met IE hebben zitten browsen ;)
Kan ik me goed voorstellen. Allemaal ZO makkelijk onder windows. Point, click, return en huppakee, tijd over om op de klant z'n server lekker ff wat porno te bekijken of films te downloaden :P
Nou, het is nogal moeilijk om niet IE te gebruiken, als je je machines up-to-date wil houden met Windows Update...

En dat up-to-date houden is nogal nodig, juist om dit soort gaten te dichten.
Oh, dat kan best hoor. Je kunt ELKE update ook gewoon los downloaden van Microsoft. Keurig uit een lijstje. Dan moet je dus alleen zelf uitzoeken welke je wel en welke je niet nodig hebt. Gelukkig kan je dat voor critical updates zo opvragen door de Microsoft Baseline Security Analyzer (gratis te downloaden van Microsoft) te draaien op je systeem. Die checkt van alles rondom security op je systeem, waaronder ontbrekende critical updates. Zo kan je zelfs updates bij elkaar zoeken op een systeem wat niet aan het internet verbonden zit of waar de Windows Update om een andere reden niet beschikbaar is.
heb je ff een dagje om ze 1 voor 1 te downloaden?
Je kan ook gewoon alleen maar IE gebruiken om Windows Update te gebruiken.

Of nog beter, ik ben van mening dat de manier waarop Windows Update nu werkt, ook een manier is van Microsoft om gebruikers toch afhankelijk te maken van IE, het zou eigenlijk gewoon in de meeste browsers moeten kunnen werken.
Is wel bekend hoe IIS servers geinfecteerd raken, zie pagina van microsoft hierover..

Als je IIS met alles patches hebt dan heb je er geen last van... gewoon kwestie van up to date zijn met pachtes, hoewel deze patch al een tijdje uit is..
Wat ben ik toch blij dat ik FireFox gebruik :) Zelfs Windows is er veilig mee geworden :)
Of er al recente virusdefinities zijn die iets tegen de besmetting kunnen doen blijft nog onduidelijk.
Van McAfee weet ik dat er een Super EXTRA.DAT is uitgebracht (te downloaden op http://a64.g.akamai.net/7/64/2015/2003-08-04-03-/download.nai.com/prod ucts/mcafee-avert/100488-a.exe), die het zaakje detecteert.

Microsoft heeft overigens zelf ook een pagina gewijd aan dit probleem: http://www.microsoft.com/security/incident/download_ject.mspx

Edit: dit was niet bedoeld als reactie op Breepee, maar als reactie op het hoofdartikel...
Sorry hoor, maar die tweede pagina vind ik wel HEEL ERG krom, althans, wel een link op die pagina. Dan gaat het mij om Step 3: Read E-Mail Messages in Plain Text. Zitten ze met OE zo ongelofelijk te hameren op HTML e-mails en newsgroup-posts, elke OE stuurt een mailtje in HTML, elke Outlook smaak stuurt zelfs EDHTML (Extremely Dirty HyperText Markup Language ;+ ), en dan gaan ze doodleuk roepen dat je e-mails in plaintext moet gaan zitten bekijken. Als ze nou gewoon e-mails in Plaintext versturen en die HTML support by default uitzetten, scheelt nog een hoop bandbreedte ook...

edit: okee, dit is wel een beetje heel erg offtopic, maar het moest me echt even van m'n hart.
* 786562 Flipz
Reactie op EPrimus:
Als je geen Engels kan, probeer het dan ook niet te gebruiken aub...
Als je geen humor hebt, post je best ook niet...

a pache = Apache, een alternatieve webserver...
Als je een post niet begrijpt probeer hem dan ook niet af te kraken aub...
Ja, dat zou erg leuk zijn, jammer dat je .net site dan niet meer werkt :)

En nee, mono is nog niet af :P
Dat IIS nog marktaandeel heeft verbaast me eigenlijk. Die mannen hebben inderdaad a pache nodig :)

EPrimus: duhhhh :)
Ook erg leuk dat ze erbij zetten om welke versies van IIS het gaat. Als je op de microsoft site kijkt zie je dat het alleen IIS5 is.
Om welke sites het gaat, wil beveiligingsspecialist en ontdekker van de uitbraak, NetSec niet zeggen. Het gaat in ieder geval om een veilingssite, een zoekmachine en vergelijkingssite.
Dan heb ik al snel een donkerbruin vermoeden dat die veilingsite eBay is, aangezien dat de grootste is én op Windows Server 2003 draait.

Wat me toch wel blijft verbazen is het feit dat IIS toch keer op keer zo kwetsbaar blijkt te zijn...
Dan heb ik al snel een donkerbruin vermoeden dat die veilingsite eBay is, aangezien dat de grootste is én op Windows Server 2003 draait.
Zoals MS zelf al zegt in dit artikel geld de vulnerability ALLEEN voor Windows 2000 en IIS5.

Windows 2003 draait met IIS6, dus die kan het dan niet zijn...

Daarnaast is de patch voor deze bug volgens diezelfde site te vinden in fix MS04-011, die is dus van 13 april dit jaar... met andere woorden: de fix is er dus al bijna 2.5 maand...
En diezelfde fix is ook berucht om de problemen die het veroorzaakt op sommige systemen...

Daar is trouwens ook weer een fix voor, maar die is alleen beschikbaar voor klanten met een supportcontract.
En diezelfde fix is ook berucht om de problemen die het veroorzaakt op sommige systemen...
En ook daar zijn al één maand lang oplossingen voor (vanaf 27 mei al): http://support.microsoft.com/default.aspx?kbid=841382

Maarja, als de systeembeheerders/users te lui zijn om dat allemaal even te regelen... tsja, dan moeten ze nu ook niet klagen natuurlijk.
Daar is trouwens ook weer een fix voor, maar die is alleen beschikbaar voor klanten met een supportcontract.
Jazeker, maar een beetje zichzelf respecterend bedrijf hééft een support-contract. Hoe ga je anders om met problemen die je niet opgelost krijgt?

En mocht je onverhoopt geen contract hebben, op die site site staan ook een aantal work-arounds.
Jazeker, maar een beetje zichzelf respecterend bedrijf hééft een support-contract. Hoe ga je anders om met problemen die je niet opgelost krijgt?
Door een support contract af te sluiten met een onafhankelijke partij. Net zoals je doet met alle andere productie middelen in je bedrijf.
Het "supportcontract" van je verwarmings installatie, autopark(je) en bedrijfsruimte sluit je óók niet af bij de fabrikant van deze spullen. Waarom moet dit dan bij microsoft wel?
Waarom moet dit dan bij microsoft wel?
Omdat een verkoopmiepje in de softwarewinkel er waarschijnlijk niet genoeg verstand van heeft...
ja, en ook dat heb ik een maand geleden al gelezen en geprobeert maar dat verhielp in ieder geval niet de problemen die ik had met deze hotfix, en jammer genoeg ben ik maar een particulier...

Gelukkig draai ik geen IIS meer, en windows heeft z'n langste tijd hier ook wel gehad ;)
Wat me toch wel blijft verbazen is het feit dat IIS toch keer op keer zo kwetsbaar blijkt te zijn...
Ga jij maar eens opzoeken wanneer de laatste patch voor *IIS* is verschenen. Dat is echt heeeel lang geleden, dus niet zo snel brullen...

Het zou me niets verbazen als het uiteindelijk allemaal aan IE blijkt te liggen en IIS slechts indirect 'gebruikt' wordt.
Fout: enkel IIS 5 is vatbaar, dus win2k3 niet, tenzijn IIS5 afzonderlijk werd geïnstalleerd :)
Als je zeker wil weten dat alle sites 100% werken dan is IE de enige keuze. Dit komt omdat er van die rare code in zit. Sommige websites worden met rare code geschreven en dan raken sommige browsers de weg kwijt.

Bovendien is het downloaden en installeren en het daarna aanpassen van de instellingen zodat IE niet meer je default browser is een hoop gedoe, vergeleken met simpelweg het IE icoon dubbelclicken.

Omdat meer dan 90% van de internetters een IE browser gebruikt is het natuurlijk makkelijk te zeggen dat IE zo lek als een zeef is en mozilla e.d. niet omdat daar geen hacks en virussen voor gemaakt worden (of iig heel weinig), maar als MS opeens mozilla mee ging leveren en 90% mozilla zou gebruiken dan zou dat het nieuwe platform voor virussen e.d. worden en zou er een hoop geblaat zijn over hoe lek mozilla wel niet is.

Relativeren is ook een kunst :)
Als je zeker wil weten dat alle sites 100% werken dan is IE de enige keuze. Dit komt omdat er van die rare code in zit. Sommige websites worden met rare code geschreven en dan raken sommige browsers de weg kwijt.
Er zijn maar een paar sites die niet werken in FFox. Voor die sites is er een handige extension: "open this link in IE".
Bovendien is het downloaden en installeren en het daarna aanpassen van de instellingen zodat IE niet meer je default browser is een hoop gedoe, vergeleken met simpelweg het IE icoon dubbelclicken.
Da's precies de zwakte van het windows/IE platform.. de mentaliteit klikken..overal op klikken. Juist daarom moet je geen IE gebruiken. Zomaar klikken is link. Zeker als je denkt tweaker te zijn moet je dat weten.
maar als MS opeens mozilla mee ging leveren en 90% mozilla zou gebruiken dan zou dat het nieuwe platform voor virussen e.d. worden en zou er een hoop geblaat zijn over hoe lek mozilla wel niet is.
Nou, dat weet je helemaal niet. Er zijn nogal wat ongepatchte exploits voor IE. Voor FFOX en Moz niet. We weten in ieder geval zeker dat MS niet goed patched. Je kan niet concluderen dat dat ook voor FFOX geldt. Bug vrij zal FFOX niet zijn, maar wel opensource. Die openheid betekent transparantie en dat betekent een grotere kans op snelle patches.
Kletskoek.
Een jaar of wat geleden was het toch vaak noodzakelijk om Internet Explorer erbij te pakken, terwijl je wat anders gebruikte.
Zelf gebruik ik nu Firefox (ik ben net overgestapt van Opera :+), MSIE gebruik ik een jaar niet meer. Het gebeurd mij echt zo ontzettend weinig dat website's niet werken op mijn browser. Zo weinig dat dit geen argument meer is om MSIE te blijven gebruiken. Die paar brakke website's die overblijven zijn vaak de moeite toch niet waard. Er zijn geloof ik een aantal banken die MSIE-only zijn, die nemen zichzelf duidelijk niet serieus waardoor je je het beste kunt afvragen of je daar uberhaupt lid van wilt zijn.

Ik ben het er mee eens: Als je als tweaker zijnde aan de Internet Explorer zit, moet met een betere reden aankomen dat die jij noemt, of je hard schamen.

* 786562 Databeest
Ik gebruik nu SlimBrowser(www.flashpeak.com)
en dat is ook IE-based.
Alles wordt hier goed weergegeven(ookal is het niet CSS/XHTML-valid).
Ik heb natuurlijk wel ActiveX uitstaan.
JS zet ik maar niet uit want dan kom ik niet meer op veel sites.
(Probeer maar eens T.net te bezoeken zonder JS)
Hebben die sysadmins dan autoupdate uitstaan, want als er toch al een tijdje een fix voor was...
Natuurlijk heb je in een bedrijfssituatie autoupdate uitstaan - fixes dienen immers eerst getest te worden voordat je ze uitrolt...
Natuurlijk niet. Je gaat toch niet automagisch dingen downloaden en installeren van een bedrijf dat je niet vertrouwt? :7

Even serieus. Er is een heel goede reden om dit met het handje te doen: als jouw server 24/7 omhoog moet zijn, dan wil je niet om de zoveel dagen weer een reboot, omdat er weer een kritieke update is.

Het is overigens aan de IIS-kant zo, dat als je alle patches er op hebt staan, je webserver *waarschijnlijk* veilig is.
Even serieus. Er is een heel goede reden om dit met het handje te doen: als jouw server 24/7 omhoog moet zijn, dan wil je niet om de zoveel dagen weer een reboot, omdat er weer een kritieke update is.
Als je site 24/7 up moet zijn heb je dan ook niet slechts 1 server.
En kan je ze om de beurt doen.
IIS is structureel niet in orde. Dat constateerde ook de Gartner group.
Daar helpt geen patch tegen. Hooguit tijdelijk.
Ik hoor nooit 's iets over Linux webservers met Apache die rommel verspreiden. (Met IE en IIS is 't continue hommeles.) Terwijl Apache toch zeer populair is. Wie zei d'r ook al weer dat Linux (of wie dan ook) even snel last van viri zou hebben als ze even veel gebruikt werden als MS?
Onzin, check Gartner maar eens over IIS 6 op Windows 2003. Er verder genoeg exploits voor Apache in omloop.

Het grootste probleem dat Microsoft heeft is dat er nogal wat beheerders rondlopen die zonder opleiding en via trial en error hun omgevingen beheren. Dit is bij UX varianten gewoon een stuk moeilijker.

Ik wil hier echter niet mee zeggen dat Microsoft er geen zooitje van gemaakt heeft sinds DOS.
Precies, sommige dingen worden je in een Microsoft omgeving gewoon té makkelijk gemaakt. Een klikje hier en een klikje daar. En ineens denkt iedereen dat hij voor systeembeheerder doorkan.
In een andere omgeving moet men veel meer van de omgeving zelf op de hoogte zijn, waardoor degene die daarmee werken het kwa beveiliging vaak ook beter op orde hebben, omdat ze weten wat ze doen en waarom.
Dat merk ik wel vaker. Men klikt wat in het rond, neemt hier en daar een wizardje en klaar. Terwijl ik zelf vaak liever veel handmatig instel. Krijg je weer dom commentaar van "het kan toch ook zo, en veel sneller". OK, het kost vaak behoorlijk meer tijd, maar dan ben je wel veel zekerder van een juiste setup.
Wel een beetje ongenuanceerd wel vind ik, je weet niet eens welke IIS versie het om gaat. Hoewel ik Apache idd veiliger acht dan IIS is er toch nog wel een verschil tussen IIS 4.0 en IIS 6.0,je veegt alles op 1 hoop alsof het alleen aan IIS zou liggen, ik lees hier dat er door wel meer mensen steken hebben laten vallen (sysadmins bv). Veel IE exploits zijn overigens niet afhankelijk van op welke webserver de site is gehost, maar gewoon van een gebruiker met IE, liefst Windows XP (vanwege volledige implementatie van raw sockets dat echt niet nodig is)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True