Trojaans paard vervangt Google Adsense-advertenties

Een nieuw trojaans paard richt zich op websites die gebruik maken van Google Adsense. De malware plaatst dubieuze tekstadvertenties op een website door een ingreep in het hosts-bestand van Windows.

Trojan.Qhost.WU, ontdekt door beveiligingsfirma BitDefender, heeft vermoedelijk als doel om gebruikers te lokken naar websites die een pc ongemerkt met malware besmetten. De uiteindelijke bron van de gemanipuleerde advertenties is echter nog niet gevonden, maar de hostfile verwijst na besmetting naar 'page2.googlesyndication.com' in plaats van een Adsense-server van Google, bericht Zdnet.

Behalve nadelig voor een geïnfecteerde pc van een gebruiker lopen zowel Google, de oorspronkelijke adverteerder en websitebeheerders inkomsten mis uit het Adsense-systeem. Veel websites halen een aanzienlijk deel van hun inkomsten uit het tonen van Adsense-tekstadvertenties, terwijl de inkoper van een Google-advertentie zijn reclame vervangen ziet worden door een geheel andere advertentie, maar toch moet afrekenen.

Daarnaast kan Google niets ondernemen tegen de aanvallen van de trojan, omdat de malware op lokaal gebruikersniveau opereert. Bovendien is de zoekgigiant al in eigen huis in een strijd verwikkeld met malwareverspreiders. Steeds vaker duiken dubieuze tekstadvertenties op in het Adsense-systeem, waardoor consumenten minder snel geneigd zijn om op de advertenties te klikken.

Door Dimitri Reijerman

Redacteur

Feedback • 23-12-2007 15:05
38 • submitter: urharm

23-12-2007 • 15:05

38

Submitter: urharm

Lees meer

De Telegraaf en The Guardian serveren malware via advertentienetwerk - update
De Telegraaf en The Guardian serveren malware via advertentienetwerk - update Nieuws van 26 mei 2014
Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk
Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk Nieuws van 18 maart 2014
'Sinowal-trojan stal in 2,5 jaar tijd gegevens van half miljoen mensen'
'Sinowal-trojan stal in 2,5 jaar tijd gegevens van half miljoen mensen' Nieuws van 1 november 2008
Malware past dns-gegevens op thuisrouters aan
Malware past dns-gegevens op thuisrouters aan Nieuws van 13 juni 2008
Trojans verspreid via downloadmanager
Trojans verspreid via downloadmanager Nieuws van 15 maart 2008
Google-aandelen omlaag door 'klikmoeheid'
Google-aandelen omlaag door 'klikmoeheid' Nieuws van 27 februari 2008
'Russen voeren malwarehitlijst aan'
'Russen voeren malwarehitlijst aan' Nieuws van 19 februari 2008
Beveiligers willen standaard voor malwaretests
Beveiligers willen standaard voor malwaretests Nieuws van 5 februari 2008
Geen winnaar in uitgebreide virusscannertest
Geen winnaar in uitgebreide virusscannertest Nieuws van 29 januari 2008
Aandelen Incredimail kelderen na sluiting Adsense-account
Aandelen Incredimail kelderen na sluiting Adsense-account Nieuws van 14 januari 2008
Google boekt in derde kwartaal 46 procent meer winst
Google boekt in derde kwartaal 46 procent meer winst Nieuws van 19 oktober 2007
YouTube-advertenties maken doorstart via AdSense
YouTube-advertenties maken doorstart via AdSense Nieuws van 10 oktober 2007
Ekudos.nl laat gebruikers meeverdienen via Google Adsense
Ekudos.nl laat gebruikers meeverdienen via Google Adsense Nieuws van 14 augustus 2007
Adsense naar mobiel; MS wil patent op advertentie-os
Adsense naar mobiel; MS wil patent op advertentie-os Nieuws van 16 juli 2007
Google wil reclame in games serveren
Google wil reclame in games serveren Nieuws van 22 januari 2007
Meer producten en artikelen
Netwerk en systeembeheer E-commerce Privacy Google Advertenties Beveiliging Malware

Reacties (38)

-Moderatie-faq
38
34
10
7
0
0
Wijzig sortering
FragFrog 23 december 2007 16:59
terwijl de inkoper van een Google-advertentie zijn reclame vervangen ziet worden door een geheel andere advertentie, maar toch moet afrekenen.
Dit klopt, voor zover ik weet, niet. Er wordt bijgehouden hoeveel pageviews je advertentie krijgt en hoeveel goede clicks en alleen aan de hand daarvan moet je betalen, niet voor het uberhaupt hebben van een advertentie.

Het is natuurlijk wel nadelig voor de site-beheerder, niet alleen loopt die inkomsten mis maar bovendien heeft hij nu "slechte" links op zijn site staan wat slecht is voor zijn pagerank en bovendien alarmbellen kan laten afgaan bij net-nanny achtige oplossingen.

Nog kwalijker wordt het voor servereigenaren wiens hostfile aangepast wordt: je include namelijk een stuk javascript, en op deze manier wordt cross-site scripting wel heel erg makkelijk. Voor professionele sites met degelijke hosting geen punt natuurlijk, maar er zijn genoeg particulieren die zelf een siteje hebben draaien op hun pc....
Nickname55 23 december 2007 17:03
terwijl de inkoper van een Google-advertentie zijn reclame vervangen ziet worden door een geheel andere advertentie, maar toch moet afrekenen.
Dit begrijp ik niet. Als het virus / trojan door middel van de hosts file werkt, wil dat dus zeggen dat de advertentie überhaupt niet bij Google van de server opgehaald word, maar bij een andere server. Dan word tie toch ook niet geteld bij Google en hoeft de adverteerder hier ook toch niet voor te betalen?

Stel ik zou dat virus hebben, is niet zo maar stel... en ik bekijken een pagina met Adsense reclame. Pagina word geladen, verschillende onderdelen zoals plaatjes en flash worden bij laden opgehaald, zo ook de Adsense reclame. Maar in plaats van dat deze van de Google server opgehaald word, word tie van een andere server opgehaald. Google weet dan lijkt me heel niet dat ik die pagina bekijk en dat er een (nep) Adsense reclame blokje getoond word. Google loopt zo tuurlijk wel inkomsten mis, maar de adverteerder hoeft hiervoor niet te betalen lijkt me.

* Nickname55 checkt voor de zekerheid zijn /etc/hosts file

[Reactie gewijzigd door Nickname55 op 25 juli 2024 13:26]

NitroX infinity 23 december 2007 15:11
Waarom word zo'n website dan niet meteen geblokkeerd door een overkoepelend orgaan?
(page2.googlesyndication.com bedoel ik dus)

[Reactie gewijzigd door NitroX infinity op 25 juli 2024 13:26]

wildhagen
@NitroX infinity23 december 2007 15:14
Welk overkoepelend orgaan had je in gedachten? AFAIK is er namelijk helemaal geen 'overkoelend orgaan' dat zoiets zou kunnen.

Als de hostingprovider van die website niet mee wil werken om de site offline te halen, houd het snel op. Ja, een ISP kan die site blocken, maar zie alle ISP's ter wereld maar eens zover te krijgen...

Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
Anoniem: 112442 @wildhagen23 december 2007 22:50
Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
Klopt want volgens mij zit er een type fout in de pagina van Bitdefender: http://www.bitdefender.co...-en--Trojan.Qhost.WU.html

Eerst praten ze over:
The "hosts" file used to provide a local storage for domain name / IP mappings contains a line redirecting the host "page2.googlesyndication.com"
Daarna doen ze een ping naar:
ping -t pagead2.googlesyndication.com

The response should look similar to this:

Pinging pagead.l.google.com [6x.xxx.xxx.xxx] with 32 bytes of data:
Ik vermoed dat het dus pagead2.googlesyndication.com ipv page2.googlesyndication.com moet zijn.

Blocken of uit de dns halen zal niet werken. Wat google wel zou kunnen doen is de dns naam meer dynamisch te maken dan moet de trojan al meer entries toe gaan voegen.

Dus in de vorm: pagead<#hash>.googlesyndication.com De #hash in de vorm van willekeurige nummers en cijfers.

Zie deze eens:
http://de.mcafee.com/viru...escription&virus_k=143808
91.184.6[removed] pagead2.googlesyndication.com
Deze zelfs met een screen shot van de host file:
http://www.tweakness.net/index.php?topic=4266

De whois van deze slice verwijst naar een Nederlands bedrijf.

Google kan in ieder geval beginnen met juridische stappen, tegen de eigenaar het systeem/de systemen met dit/deze IP adres(sen). Als deze de betreffende dubieuze content aan leverde.

[Reactie gewijzigd door Anoniem: 112442 op 25 juli 2024 13:26]

TD-er @wildhagen23 december 2007 15:47
Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
page2.googlesyndication.com is een subdomein van googlesyndication.com en die laatste is eigendom van google zelf.
Kortom als dat subdomein al bestond, was het op de DNS-servers van Google zelf ingesteld.
Je provider heeft er in dit geval dus niets mee te maken.

edit:
Wat Free rider hier onder mij dus zegt ;)

[Reactie gewijzigd door TD-er op 25 juli 2024 13:26]

Pimmetje16 @wildhagen23 december 2007 15:23
Same here Wanadoo / Orange
_Thanatos_ @wildhagen23 december 2007 18:45
Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
Ben jij ook besmet dan? Want de gewone AdSense moet gewoon nog werken, maar het is de trojan die em doorsluist naar een alternatief IP-adres.

TD-er, wat moet google doen aan een lokale gebruikersinstelling? Analoog hieraan: als ik "core.tweakers.net" laat verwijzen naar 127.0.0.1, wat moet t.net daar dan aan doen :?
Free rider @NitroX infinity23 december 2007 15:33
Lees de tekst nogmaals, in de hosts file van de eindgebruiker wordt een entry opgenomen voor deze pagina, en laat deze verwijzen naar het IP adres van de kwaadwillende server.
Ofwel: zelfs als alle Google URLs door alle DNS servers geblokkeerd worden zal dat niets helpen; de geinfecteerde computers weten immers zelf welke server ze moeten benaderen.
Daos @Free rider23 december 2007 15:54
De verwarring komt omdat de tekst niet goed is. Het moet zijn:
'page2.googlesyndication.com' is de Adsense-server van Google, maar na besmetting verwijst deze naam in de hostfile naar een ander (niet Google) ip-adres.
DrClaw 23 december 2007 15:52
tja,

wat mij betreft mogen de google ads wel blijven. adblock gebruik ik wel voor sites die 'in overtreding zijn' bij mij, dus als ze immens grote flash ads over mn scherm gooien, of mn main window minimaliseren en met zo'n achterlijke windows-lookalike popup met een antivirus ad komen.

maar ja, even ontopic dan maar:

* google zou directe IP's in hun adsense tooltje kunnen stoppen ipv resolvable names. Maar ja, dan kunnen wij normale mensen de IP's niet meer herkennen.

* google zou hun ads via https kunnen aanbieden. dan ben je ook van het hosts probleem af, maar ja, dan moet iedereen de cross-site https melding accepteren ofzo.

ik denk dat google hier best een probleem mee heeft. misschien dat ze de content kunnen hashen en een hash-check functie kunnen meegeven in hun display routine. dat zou qua werk voor google best wel even intensief kunnen zijn, maar qua gebruikersvriendelijkheid voor ons gewone mensen het beste.

my 2 eurocents.
ultimasnake @DrClaw23 december 2007 17:11
Je laatste oplossing is volgens mij onmogelijk voor google. Aangezien de adsense scripts worden vervangen door andere scripts heeft google zelf geen inzicht/controle over de site. Er wordt een ander javascript bestand ingeladen dan die van google (is mijn gok) en dus kan google niets hashen of de hash checken.

Al met al een lastige situatie, gelukkig dat et iig niet op server gebied gebeurd maar gewoon clientside :)
BramT @ultimasnake23 december 2007 18:58
Je begrijpt z'n 2e oplossing niet: https verbindingen zijn niet te 'spoofen' met het host-bestandje.
Je browser gaat dan alleen wel de hele tijd zeuren dat de verbinding maar half beveiligd is enzo..
DrClaw @ultimasnake23 december 2007 21:08
tja, ik weet niet precies hoe dat hele adsense werkt, maar volgens mij werd er via AJAX een div gevuld met content.

hmm, ik zat de ehel tijd te denken dat het framework, de aanroepfunctie en callbacks enzo, wel door google geleverd worden, en dat de ads dan van een 2e server vandaan komen. Maar deze trojan zal wel de callback ofzo overschrijven om dan zn eigen content in te laden, of misschien wel gewoon alles van een geredirecte server afhalen.

dus, ja je hebt gelijk, een checksum meesturen oid gaat inderdaad niet werken. helaas :S
mae-t.net
@DrClaw23 december 2007 19:01
De eerste oplossing zal ook niet helpen, volgens mij kan je in je hosts file ook gewoon een IP-adres naar een ander IP-adres doorverwijzen.
DrClaw @mae-t.net23 december 2007 20:54
nope, een hosts file bevat per regel steeds een IP adres, en dan een URL ..

je OS kijkt dan of die URL gezocht wordt, en substitueert daarvoor in de plaats dan dat IP adres. Een IP adres naar een ander IP adres mappen via hosts kan niet.

ofwel, oplossing #1 werkt wel.
Anoniem: 50893 23 december 2007 15:28
Voor hackers of misbruikers is het alleen maar interessant om groor bereik bedrijven te pakken. Google had dit voreg of laat kunnen verwachten, het verbaast me dan ook dat er niet meer preventief word gewerkt dat wanneer zoiets plaatsvind het gelijk aangepakt kan worden.

Ik ben bang dat Google in de toekomst nog wel meer van dit soort grappen kan verwachten. Het is alleen treurig dat opsporing en strafmaat wereldwijd nog steeds onder de maat is, er is meer mogelijk dan nu word gedaan en eindgebruiker blijft altijd de gedupeerde.

Controle bots is misschien wat op termijn, die met name naar dit soort misbruikers op zoek gaan zonder dat er nog veel manuren aan hoeft besteed te worden voor opsporing, vaak de grootste reden waarom er op opsporing bezuinigd blijft worden, veel manuren dus een duur kostenplaatje. al weegt dat niet altijd op tegen het belang.
mocean @Anoniem: 5089323 december 2007 16:06
Ik denk dat je het bericht verkeerd leest. Dit is een trojan die op de client computer draait, en clientside advertenties vervangt. Controlebots helpen dus hier niet tegen.

Al met al denk ik dat de impact wel mee zal vallen. De advertenties worden alleen vervangen op pc's die al besmet zijn met een trojan.

Veel erger was het als het aan google's kant mis was, of als er DNS servers waren gehackt.
Soldaatje @mocean23 december 2007 16:17
Het was erger geweest in de zin dat iedereen slachtoffer zou zijn geworden.
Maar het probleem zou snel gevonden zijn en opgelost zijn.
In dit geval is Google afhankelijk van individuele internetters waar ze geen invloed over hebben en het probleem wel eens groter zou kunnen worden.
Het is dus belangrijk dat iedereen goed ingelicht wordt over het probleem en actie onderneemt.
Google zou bijvoorbeeld een waarschuwing op zijn hoofdpagina kunnen plaatsen, al vraag ik me af of ze dat zullen doen.
Gepetto @Olaf van der Spek24 december 2007 10:55
Het is nog steeds het standaard liedje, Gebruikers die nalaten een goede virusscanner/firewall te installeren, overal maar op klikken en alles openen zonder erbij na te denken. Daar kan Microsoft niks aan doen.

Om de vergelijking met de auto maar weer eens te maken:

Een fabrikant kan nog zoveel airbags of kreukelzone's inbouwen, op het moment dat er iemand dronken of zonder rijbewijs achter het stuur kruipt gaat het mis.
Pimmetje16 23 december 2007 15:10
Vervelend voor google vooral omdat hier vrij weinig aan te doen is zoals vermeld in het artikel . Ik hoop dat de virusscanners dit soort grappen ook gaan controleren.
Edit
Misschien een idee om host files readonly te maken

[Reactie gewijzigd door Pimmetje16 op 25 juli 2024 13:26]

GrooV @Pimmetje1623 december 2007 15:26
Vista met UAC staat het zowieso al bijna niet toe, je moet er echt moeite voordoen.

Hosts file readonly maken heeft niet veel nut want hier is het juist voor. Ik heb de google analytics servers er ook in staan, maar dan naar 127.0.0.1
Room42 @Pimmetje1623 december 2007 19:19
En onder XP gewoon met beperkte gebruikersrechten werken. Je moet gewoon niet steeds als Admin draaien. Dat is onder Linux ook al jaren de standaard. Overigens valt Linux weer eens buiten de boot ;( Ik wil ook wel eens een spannend virus :Y)
Radiodurans 23 december 2007 15:15
Hm, niet voor niets dat ik google-analytics.com, googlesyndication.com en doubleclick.net standaard block m.b.v. firefox + noscript. Zat er vroeg of laat aan te komen dat er misbruik van gemaakt zou worden. Veel te alomvertegenwoordigd en daarom lucratief voor 'hackers'.
GoBieN-Be @Radiodurans24 december 2007 00:26
Maakt niet uit dat jij die blockt, enkel die geinfecteerde PC heeft last van de fraude. Niet iedere PC die de pagina bekijkt sigh ... ik dacht dat tweakers het principe van een hostsfile wel kenden.
Soldaatje 23 december 2007 15:53
Google kan er niks aan doen, maakt ook niks uit er zijn ook genoeg mensen met AdBlock, die er dus voor kiezen.

Het gaat erom hoe die Trojan op de PC komt en hoe mensen hem eraf kunnen halen, welke virusscanner bijvoorbeeld.

edit: bitdefender zelf dus (de bron van het nieuwbericht).

[Reactie gewijzigd door Soldaatje op 25 juli 2024 13:26]

Anoniem: 234909 23 december 2007 16:24
Een paar dagen geleden zag ik dat McAfee een trojaans paard verwijderd/tegengehouden had. Er stond geen naam bij dacht ik, maar ik zal even kijken of ik wat in de logs kan vinden.
flippy 23 december 2007 16:35
heel toepasselijk ook die googleads onder het nieuwsbericht.... :X

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq