Blogger.com lijdt onder golf kwaadaardige scripts

Vervalste weblogs op Blogger.com worden in toenemende mate door hackers gebruikt om bezoekers te besmetten met malware. Op de normaal ogende blogs zijn diverse kwaadaardige scripts verstopt.

Het beveiligingsbedrijf Fortinet waarschuwt dat via de frauduleuze weblogs in sommige gevallen ongemerkt de Stration-massmailer wordt geïnstalleerd. Dit stukje malware stuurt de bezoeker door naar diverse frauduleuze sites, waaronder de phishingwebsite Pharmacy Express. Deze nepapotheek probeert allerhande gegevens van het besmette systeem los te peuteren. Een blog die zou gaan over de Honda CR450 - een populaire zoekterm - besmet nietsvermoedende motorliefhebbers met het Wonka-trojan. Op Blogger zouden volgens Fortinet honderden besmette weblogs staan met uiteenlopende onderwerpen als Star Wars, school, meubels, kerstmis en vriendinnen. Google, eigenaar van Blogger, zegt de zaak te onderzoeken en elke verdachte blog direct te wissen. In november werd een andere website van Google, YouTube, ook misbruikt door hackers. Met namaak-pornovideo's werden nieuwsgierigen doorgestuurd naar phishingsites.

Malware Pharmacy Express

Door Dimitri Reijerman

Redacteur

Feedback • 16-03-2007 15:29 47

16-03-2007 • 15:29

47

Bron: Techworld

Lees meer

Steven Tyler klaagt bloggers aan wegens imitatie
Steven Tyler klaagt bloggers aan wegens imitatie Nieuws van 26 september 2008
Google koopt Zuid-Koreaans weblogbedrijf
Google koopt Zuid-Koreaans weblogbedrijf Nieuws van 16 september 2008
Phishers richten pijlen op Apple-gebruikers
Phishers richten pijlen op Apple-gebruikers Nieuws van 3 augustus 2007
Google: 'Een op de tien webpagina's gevaarlijk'
Google: 'Een op de tien webpagina's gevaarlijk' Nieuws van 11 mei 2007
'Malware passeert firewall via Windows-downloadservice'
'Malware passeert firewall via Windows-downloadservice' Nieuws van 11 mei 2007
Criminelen maken misbruik van Google AdWords
Criminelen maken misbruik van Google AdWords Nieuws van 26 april 2007
'Web 2.0 verslaat klassieke pornosite'
'Web 2.0 verslaat klassieke pornosite' Nieuws van 21 april 2007
Google breidt strijd tegen malware uit
Google breidt strijd tegen malware uit Nieuws van 1 maart 2007
'Nieuwe virustrend voor 2007: Ransomware'
'Nieuwe virustrend voor 2007: Ransomware' Nieuws van 12 februari 2007
'Helft Vista-cracks bevat malware'
'Helft Vista-cracks bevat malware' Nieuws van 26 januari 2007
Nieuwe malware verspreidt zich via Skype
Nieuwe malware verspreidt zich via Skype Nieuws van 20 december 2006
Meer producten en artikelen
Bedrijfsnieuws

Reacties (47)

-Moderatie-faq
47
47
24
6
3
16
Wijzig sortering
n1els 16 maart 2007 15:48
@ Justshootit:

En hoe zit het dan met mijn weblog waarin ik mijn ervaringen beschrijf met viagra en cyalis?
Anoniem: 169642 @n1els16 maart 2007 16:00
Haha, ga dat maar aan je vrouw vertellen ;) Het zullen er weinig zijn en volgens mij heeft niemand daar behoefte aan. En als ze het persé willen weten, ga dan maar naar de apotheek
J.J.J. Bokma @Anoniem: 16964216 maart 2007 18:11
Wat een domme opmerking. Ik heb zelf mijn ervaringen opgeschreven over medicatie (geen viagra dit geval, maar oxazepam: http://johnbokma.com/mind/stoppenmetoxazepam.html ) en er zijn heel veel mensen enorm dankbaar voor dat simpele verhaaltje.

Nog krommer dan filteren is het niet toestaan van dingen omdat spammers ze gebruiken.

De enige oplossing is het bij de bron aanpakken. Al die andere "slimme" technische oplossingen staan alleen een groei van het probleem toe.

Onkruid in je groententuin stop je door het bij de wortel uit te trekken, en niet door je groententuin te asfalteren.
alex3305 16 maart 2007 16:20
Tjah en toch komt dit ook door de mentaliteit van de gebruikers zelf. Vaak krijgen internet gebruikers een pagina voor geschoteld met "Uw computer is niet goed beveilgd" oid, en goedgelovige downloaden dan die 'virusscanner', welke dus eigenlijk een virus/trojan/etc bevat.

Verder klikken vaak mensen (vooral mensen die met Windows gewend zijn te werken) gewoon door. Daarmee bedoel ik, dat ze vaak iets te snel geneigd zijn om op 'Ja' of 'Ok' te drukken. Dit geeft bepaalde malware dan ook weer toegang tot dat systeem.

Dit is misschien een beetje offtopic, maar ze hebben het wel eens over het 'internetrijbewijs' gehad. Ik zou eigenlijk blij zijn, mocht zoiets er komen! Dit omdat ik vooral merk bij familieleden of andere leken die niet veel van computers weten, dat zij vaak nogal goedgelovig zijn en het internet iets te goed vertrouwen.
croontje @alex330516 maart 2007 17:14
100 % gelijk over dat rijbewijs. Dat denk ik ook al jaren maar dit is de eerste keer dat ik iemand anders zie die mijn mening deelt.
Voor en auto moet je een rijbewijs hebben omdat het niet verantwoord is om zonder scholing rond te rijden en te gevaarlijk voor anderen. Wel imo is dit bij computers net hetzelfde. Een beetje leren werken met een computer is al genoeg. Maar nee, elke man in de straat kan zich een computer aanschaffen en vervolgens lekker spam beginnen rondsturen en weet ik veel wat nog allemaal |:(
J.J.J. Bokma @croontje16 maart 2007 20:35
Zo'n rijbewijs moet zo laagdrempelig zijn dat het merendeel van de huidige gebruikers kan slagen. Dus in het begin zou het een leuke melkkoe zijn, en weinig tot niks doen aan het echte probleem.

Zou jij even 200-300 euro over hebben voor zo'n rijbewijs. Of vind je dat de "elite" er niet aan hoeft?

En wat dan? Elke vijf jaar verlengen na het slagen van een aangepaste test?

Klinkt mij als: iedereen moet een vergunning hebben voor een wapen en er criminelen mee af kunnen schieten om zo de criminaliteit terug te dringen.
psycix 16 maart 2007 16:42
"Met namaak-pornovideo's werden nieuwsgierigen doorgestuurd naar phishingsites."
En hoe ziet een "namaak pornovideo" er dan uit?
roelieboelie @psycix16 maart 2007 16:49
fappende homo's?
Anoniem: 126610 @psycix16 maart 2007 16:51
Iets met allemaal realdolls ipv echte acteurs?
J.J.J. Bokma @psycix16 maart 2007 18:22
Ik kan er even een paar verzinnen:

Een rar met daarin een "videobestand" en een codec die je eerst moet installeren.

Een videobestand dat niet afspeelt met een bestandje dat je verteld dat je eerst iets op moet halen op een andere site.

En dan denken jullie natuurlijk: wie stinkt daar nu in?

Ik ken iemand waarvan de site gehackt was, met een phishing pagina. Het log liet 52 (uit mijn hoofd) pogingen zien om in te loggen.

Het is vreselijk naief om te denken dat die mensen allemaal dom zijn omdat wij "Tweakers" het snappen.
boe2 16 maart 2007 15:44
De spamfilter op mijn blog toont mij op dit moment de volgende boodschap:
Akismet has protected your site from 7,891 spam comments.
Dit sinds augustus 2006 (wanneer ik de filter geïnstalleerd heb). Ondanks dit mag ik zelf ook nog bijna dagelijks manueel spam verwijderen. Wanneer je de inhoud van deze spam bekijkt merk je dat ze bijna altijd volstaat met malifide links.
Een spijtige zaak, maar voor de blogger is wel een belangrijke verantwoordelijkheid om zijn/haar blog minstens een paar keer per week te checken op inhoud.
Anoniem: 146814 @boe216 maart 2007 16:44
Alleen gaat het niet over Blogger in de vorm van "de persoon die de blogs plaatst" maar als in "Blogger.com". Je zou dat hebben geweten als je verder had gelezen dan de headline.

Desalniettemin wat tips: met captcha's en andere form-handigheidjes kan je al veel ellende voorkomen. Wat mij goed is bevallen:
• hernoem het standaard comment-post script
• kleine javascript controle
• de action= van de form dynamisch laten invullen door javascript => een domme bot kan niet eens op de naam van het comment-post script komen
• plaatsen van loze velden die niet mogen veranderen/niet ingevuld mogen worden. display:none en de bot die 'm invult hangt
J.J.J. Bokma @boe216 maart 2007 18:07
Dat komt omdat Akismet een non-oplossing is. Filteren werkt niet, omdat men gewoon vrolijk door de filters heen probeerd te komen.

Elke spam aanmelden heeft al wat meer effect, nogal wat ISPs wissen een site en sluiten een zombie af.

Blogger is een beerput geworden juist omdat de meeste mensen ongezien de spam wissen.

CAPTCHA, en al die andere dingen maken het je bezoekers lastig en worden in no time door bots gevonden.

Ik heb mijn eigen comment software geschreven, en toch krijg ik per dag 20-30 spams.
(edit: een deel zou ik uit kunnen filteren, maar ik meld het liever aan, wat soms effect heeft)

Bots kunnen de pagina scannen, en dus hebben loze velden geen zin, tenzij je met JavaScript gaat spelen.

En dan krijgen we snel bots die dat (JavaScript) gewoon uitvoeren, wat een eitje is met SpiderMonkey.

"Een spijtige zaak, maar voor de blogger is wel een belangrijke verantwoordelijkheid om zijn/haar blog minstens een paar keer per week te checken op inhoud"
Als iedereen dat zou doen zou het inderdaad minder gebeuren, het spammen. Het werkt nu te goed.

Ikzelf modereer elke comment voor plaatsing.
Anoniem: 82384 @J.J.J. Bokma16 maart 2007 20:52
Ikzelf modereer elke comment voor plaatsing.
En dat is dan ook meteen de enige echte oplossing. Wie een blog wil bijhouden moet daar ook de verantwoordelijkheid voor dragen. En comments op een blog horen daar nou eenmaal bij.

(Tuurlijk zou het veel leuker zijn als dat allemaal niet zou hoeven, maar we leven nou eenmaal niet in een utopia)
J.J.J. Bokma @Anoniem: 8238416 maart 2007 21:25
Yup, helemaal eens. Een nadeel is dat door de vertraging (ik doe het meestal in batches, 1x per 2-3 weken (!)) dat mensen interesse verliezen. En de vaart raakt er soms uit, ik bedoel stel dat hier op Tweakers je 2 weken zou moeten wachten voor je reaktie opduikt :o

Ik wil in de toekomst eens gaan kijken naar registratie/OpenID.
tmensink @J.J.J. Bokma17 maart 2007 16:42
Gebruik nu een aantal maanden een captcha oplossing en dat werkt echt perfect!

Vroeger wel eens 100-en spam berichten per week gehad en nu 0.

Tot dat de spammers weer wat nieuws verzinnen, dan verzin ik ook weer wat nieuws!
Anoniem: 53573 @J.J.J. Bokma19 maart 2007 10:00
Ik heb het tegenwoordig zo staan dat ik een sessie zet op mijn eerste pageina. Als deze sessie niet bestaat is het plaatsen van een comment op een andere pagina niet mogelijk.

Nooit meer last van Spam bots gehad.
Little Penguin 16 maart 2007 16:02
Natuurlijk kun je de verantwoordelijkheid hiervan volledige bij de aanbieder van de dienst leggen, maar als dit mogelijk gemaakt wordt door security-lekken in browsers als Firefox of InternetExplorer dan moet je uiteraard eerst die bron aanpakken.

Het moet voor een willekeurige website niet mogelijk zijn om jouw computer zonder je instemming van malware te voorzien.

Als hierboven in een reactie al aangegeven is: "Geldt dit ook voor Firefox?" Waarbij ik het idee heb dat Fx er inderdaad minder vatbaar voor is - hoewel IE6SP2[XP] volgens mij ook al heel wat beter is dan eerdere versies van IE.

Uiteindelijk moet de gebruiker zijn systeem op order hebben, ik mag met een rammelbak toch ook niet de autoweg op?
J.J.J. Bokma @Little Penguin16 maart 2007 18:18
De bron is de spammer. Je kan niet alle lekken dichten in browsers.

De eerste bron die aangepakt (en dus niet gefilterd) moet worden is spammers, en dat kan alleen via het klagen bij de ISP en hosting providers wat helaas een enorme klus is (ik doe het dagelijks). Als Akismet die taak op zich zou nemen zou er wellicht iets veranderen. Ik heb ze er een keer over gemailed en kreeg te horen dat ze dat niet doen (het melden, a la SpamCop.net). Op mijn vraag waarom niet kreeg ik geen antwoord.

Het zou mij niets verbazen als Akismet dit jaar met een betaalde filter dienst komt (volgens mij verzoeken ze je al te betalen bij grootgebruik). Misschien zoek ik spijkers op laag water, maar Akismet zou er leuk bij varen.

Als meer mensen direct de ISP zouden aanspreken gebeurd er wat. Er zijn tal van ISPs die geen idee hebben van waar ik precies over klaag, want ze missen de email headers...

En hosting providers vangen liever nog een maandje extra voor dat ze de steker er uit trekken. Door meer druk zou dat kunnen veranderen.

Ook zou het aktief zoeken naar "open" gastboeken, blogs, enz. en de provider vriendelijk verzoeken om de gebruiker te vragen om het of af te sluiten (vaak is men een site begonnen, en doet er niks meer mee) of op te schonen.

Zelfs een beginnende (Perl) programmeur kan in een dag een script maken dat na een keer draaien 20,000-40,000 (opnieuw aanname van mij) sites opleverd waar je kan spammen. Het is vervolgens een kwestie van een stukje code schrijven dat elk form af kan handelen, een lijstje met open proxies zoeken, en draaien maar.
Little Penguin @J.J.J. Bokma16 maart 2007 19:51
Het beveiligingsbedrijf Fortinet waarschuwt dat via de frauduleuze weblogs in sommige gevallen ongemerkt de Stration-massmailer wordt geïnstalleerd.
Zoals ik dit lees wordt er op de client-pc een stukje malware geïnstalleerd. Natuurlijk is de uiteindelijke bron een spammer die dit soort blogs aanmaakt, maar zodra het eindpunt (de client-pc) onbereikbaar wordt is het maken van dit soort blogs ook niet interessant meer. Als de gebruiker op een alternatief (niet-Windows) systeem werkt of op een goed beveiligd Windows systeem dan is de client-pc dus ook niet bereikbaar...

Overigens ben ik het wel met je eens dat aanbieders van blog-services, gastenboeken e.d. nog steeds hun verantwoordelijkheid moeten nemen en er alles aan moeten doen om te voorkomen dat dit soort sites ontstaan.
J.J.J. Bokma @Little Penguin16 maart 2007 20:32
Helaas is het zo dat hoe verder je van de bron gaat, hoe lastiger het in te dammen is. De computer van de eindgebruiker is een utopie helaas, en wat nog lastiger is dat als je die mensen redirect naar een pagina met daarop "Download het nieuwste virus" er nog steeds mensen zijn die daar op klikken.
Anoniem: 175386 16 maart 2007 15:46
Het beveiligingsbedrijf Fortinet waarschuwt dat via de frauduleuze weblogs in sommige gevallen ongemerkt de Stration-massmailer wordt geïnstalleerd.
Als ik het goed begrijp worden ongepatchte Windows-machines besmet met malware?
Anoniem: 92314 @Anoniem: 17538616 maart 2007 16:20
Als ik het goed begrijp worden ongepatchte Windows-machines besmet met malware?
ik hoop het, maar ik vrees ervoor.

bij microsoft is het de gewoonte, om eerst het probleem te laten voordoen, alvorens het op te lossen.
is altijd zo geweest en zal zo blijven vrees ik.

wedermalig een les: surft niet met windows naar site's die niet te vertrouwen zijn (meer dan helft van het internet dus)
J.J.J. Bokma @Anoniem: 9231416 maart 2007 18:08
Dat is bij elk bedrijf zo. Dat er op blogger ca. 50.000 blogs (schatting van mij) niks anders staan te doen dan redirecten is omdat men gewoon op zijn kont heeft gezeten.
MAX3400 @Anoniem: 9231419 maart 2007 09:39
Windows is geen browser maar gezien de tendens van je antwoord vrees ik dat verdere discussie aan jou niet besteed is.
KompjoeFriek 16 maart 2007 15:57
Wonka-trojan?

Probeerd die je adresgegevens te loggen zodat ze je een uitnodiging voor een bezoekje aan een chocolade fabriek kunnen sturen?
alex3305 @KompjoeFriek16 maart 2007 16:17
Nee, dat is de trojan van Mr. Depp himself :+
Anoniem: 169642 16 maart 2007 15:37
Zelfde een beetje met Youtube. Straks eisen alle bloggers dat hun wereldje schoongemaakt wordt. Dit wordt weer een soort bot maken die een algoritme heeft met woorden als viagra, etc... :9
Anoniem: 49450 16 maart 2007 15:56
Gelden deze dingen ook voor Firefox gebruikers?
Anoniem: 63982 @Anoniem: 4945016 maart 2007 17:02
Phishing is mogelijk met elke browser, dus ook met Firefox. Overigens zijn er manieren genoeg om 'teveel' gegevens van de argeloze gebruiker afhankelijk te maken en dat hoeft niet altijd via een exploit.
Anoniem: 151736 16 maart 2007 15:30
Zolang er onwetendheid en onzekerheid in e-land is, zullen dit soort zaken blijven komen.....
Anoniem: 176826 @Anoniem: 15173616 maart 2007 15:35
En dat is een vrijbrief voor organisaties als Google om er maar niets aan te doen totdat een bedrijf als Fortinet er wat van zegt?

Natuurlijk hebben wij zelf allemaal een eigen verantwoordelijkheid, maar als je als organisatie veel mensen de mogelijkheid geeft om op een hele simpele manier een website te bouwen, zal je ook na moeten denken over hoe mensen daar misbruik van kunnen maken en hoe je dat kunt voorkomen.
Little Penguin @Anoniem: 17682616 maart 2007 15:57
Hier op verdergaand:
Als fabrikant van een browser (en natuurlijk ook als fabrikant bijbehorende besturingssysteem) heb je een verantwoordelijkheid om er voor te zorgen dat malware niet geïnstalleerd kan worden.

En natuurlijk heeft iedere internetter ook een eigen verantwoordelijkheid.
Anoniem: 63982 @Little Penguin16 maart 2007 16:55
De verantwoordelijkheid ligt inderdaad ook deels bij de internetter maar zeker ook bij het bedrijf dat deze criminaliteit faciliteerd... Google dus in dit geval.

Als iedere debiel op dergelijk eenvoudige wijze een blog kan opzetten zou Google toch wat meer restricties ten aanzien van scripting mogen toepassen. Ik vind het dan ook een goede zaak dat Google, naar aanleiding van dit onderzoek, aangeeft dat ze dit gaan onderzoeken en de malifide blogs sluiten.

Dat een fabrikant een browser helemaal dicht moet spijkeren zodat je niet meer kan doen dan pagina's bekijken.... tja ik ben er geen voorstander van. Dit geldt misschien voor "wazige sites" maar veel internet en intranetapplicaties maken juist gebruik van deze mogelijkheden.

Wat dat betreft vind ik Windows Vista ook helemaal gaaf! Zelfs als Internet Explorer een foutje bevat heb je nog maar beperkte rechten op het systeem doordat het onder minimale rechten in een sandbox draait. Of alternatieve browsers zoals Opera en Firefox ook in een sandbox draaien onder Vista weet ik niet maar dat zou wel prettig zijn.
Little Penguin @Little Penguin16 maart 2007 17:17
@CyberAngel:
Ik heb het dus niet over javascript, maar over de feature van het automatisch installeren van bijvoorbeeld ActiveX in IE - pas met SP2 op XP is die mogenlijkheid een stuk ingeperkt.

Je hebt mijn opmerking blijkbaar geinterpreteerd als het uitzetten van javascript, maar dat is nergens voor nodig als de scripts maar in een sandbox blijven draaien, verder kun je als het goed is met standaard javascript niets op het lokale systeem uitvoeren.

Er zijn eigenlijk maar 2 manieren om malware bij een gebruiker te krijgen:
* de ene is via een download (hetgeen op alle browsers werkt) maar dan moet de gebruiker zelf wel de executable starten

* de andere is via een ActiveX/XPI installatie - waarbij ActiveX zich in het verleden (voor ie6sp2) wel heel makkelijk in een systeem kon nestellen.

Wat dat betreft had MS ActiveX dus wel een flink stuk beter af mogen grendelen...


Over je opmerking inzake IE in een sandbox op Vista, ik ga er vanuit dat andere browser ook zo (gaan) werken. Alleen moet MS dan natuurlijk wel alle bijbehorende APIs publiek gemaakt hebben.
The-Source @Anoniem: 17682616 maart 2007 17:13
nieuws: Google breidt strijd tegen malware uit zo ver ik weet doet google juist actief mee aan malware bestreiding. Neemt niet weg dat er (nog) ongepatchte mogelijkheden zijn op hun site die juist verspreiding mogelijk maken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq