Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Submitter: urharm

Een nieuw trojaans paard richt zich op websites die gebruik maken van Google Adsense. De malware plaatst dubieuze tekstadvertenties op een website door een ingreep in het hosts-bestand van Windows.

Trojan.Qhost.WU, ontdekt door beveiligingsfirma BitDefender, heeft vermoedelijk als doel om gebruikers te lokken naar websites die een pc ongemerkt met malware besmetten. De uiteindelijke bron van de gemanipuleerde advertenties is echter nog niet gevonden, maar de hostfile verwijst na besmetting naar 'page2.googlesyndication.com' in plaats van een Adsense-server van Google, bericht Zdnet.

Behalve nadelig voor een geïnfecteerde pc van een gebruiker lopen zowel Google, de oorspronkelijke adverteerder en websitebeheerders inkomsten mis uit het Adsense-systeem. Veel websites halen een aanzienlijk deel van hun inkomsten uit het tonen van Adsense-tekstadvertenties, terwijl de inkoper van een Google-advertentie zijn reclame vervangen ziet worden door een geheel andere advertentie, maar toch moet afrekenen.

Daarnaast kan Google niets ondernemen tegen de aanvallen van de trojan, omdat de malware op lokaal gebruikersniveau opereert. Bovendien is de zoekgigiant al in eigen huis in een strijd verwikkeld met malwareverspreiders. Steeds vaker duiken dubieuze tekstadvertenties op in het Adsense-systeem, waardoor consumenten minder snel geneigd zijn om op de advertenties te klikken.

Moderatie-faq Wijzig weergave

Reacties (38)

terwijl de inkoper van een Google-advertentie zijn reclame vervangen ziet worden door een geheel andere advertentie, maar toch moet afrekenen.
Dit klopt, voor zover ik weet, niet. Er wordt bijgehouden hoeveel pageviews je advertentie krijgt en hoeveel goede clicks en alleen aan de hand daarvan moet je betalen, niet voor het uberhaupt hebben van een advertentie.

Het is natuurlijk wel nadelig voor de site-beheerder, niet alleen loopt die inkomsten mis maar bovendien heeft hij nu "slechte" links op zijn site staan wat slecht is voor zijn pagerank en bovendien alarmbellen kan laten afgaan bij net-nanny achtige oplossingen.

Nog kwalijker wordt het voor servereigenaren wiens hostfile aangepast wordt: je include namelijk een stuk javascript, en op deze manier wordt cross-site scripting wel heel erg makkelijk. Voor professionele sites met degelijke hosting geen punt natuurlijk, maar er zijn genoeg particulieren die zelf een siteje hebben draaien op hun pc....
terwijl de inkoper van een Google-advertentie zijn reclame vervangen ziet worden door een geheel andere advertentie, maar toch moet afrekenen.
Dit begrijp ik niet. Als het virus / trojan door middel van de hosts file werkt, wil dat dus zeggen dat de advertentie überhaupt niet bij Google van de server opgehaald word, maar bij een andere server. Dan word tie toch ook niet geteld bij Google en hoeft de adverteerder hier ook toch niet voor te betalen?

Stel ik zou dat virus hebben, is niet zo maar stel... en ik bekijken een pagina met Adsense reclame. Pagina word geladen, verschillende onderdelen zoals plaatjes en flash worden bij laden opgehaald, zo ook de Adsense reclame. Maar in plaats van dat deze van de Google server opgehaald word, word tie van een andere server opgehaald. Google weet dan lijkt me heel niet dat ik die pagina bekijk en dat er een (nep) Adsense reclame blokje getoond word. Google loopt zo tuurlijk wel inkomsten mis, maar de adverteerder hoeft hiervoor niet te betalen lijkt me.

* Nickname55 checkt voor de zekerheid zijn /etc/hosts file

[Reactie gewijzigd door Nickname55 op 23 december 2007 17:12]

Waarom word zo'n website dan niet meteen geblokkeerd door een overkoepelend orgaan?
(page2.googlesyndication.com bedoel ik dus)

[Reactie gewijzigd door NitroX infinity op 23 december 2007 15:11]

Welk overkoepelend orgaan had je in gedachten? AFAIK is er namelijk helemaal geen 'overkoelend orgaan' dat zoiets zou kunnen.

Als de hostingprovider van die website niet mee wil werken om de site offline te halen, houd het snel op. Ja, een ISP kan die site blocken, maar zie alle ISP's ter wereld maar eens zover te krijgen...

Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
Klopt want volgens mij zit er een type fout in de pagina van Bitdefender: http://www.bitdefender.co...-en--Trojan.Qhost.WU.html

Eerst praten ze over:
The "hosts" file used to provide a local storage for domain name / IP mappings contains a line redirecting the host "page2.googlesyndication.com"
Daarna doen ze een ping naar:
ping -t pagead2.googlesyndication.com

The response should look similar to this:

Pinging pagead.l.google.com [6x.xxx.xxx.xxx] with 32 bytes of data:
Ik vermoed dat het dus pagead2.googlesyndication.com ipv page2.googlesyndication.com moet zijn.

Blocken of uit de dns halen zal niet werken. Wat google wel zou kunnen doen is de dns naam meer dynamisch te maken dan moet de trojan al meer entries toe gaan voegen.

Dus in de vorm: pagead<#hash>.googlesyndication.com De #hash in de vorm van willekeurige nummers en cijfers.

Zie deze eens:
http://de.mcafee.com/viru...escription&virus_k=143808
91.184.6[removed] pagead2.googlesyndication.com
Deze zelfs met een screen shot van de host file:
http://www.tweakness.net/index.php?topic=4266

De whois van deze slice verwijst naar een Nederlands bedrijf.

Google kan in ieder geval beginnen met juridische stappen, tegen de eigenaar het systeem/de systemen met dit/deze IP adres(sen). Als deze de betreffende dubieuze content aan leverde.

[Reactie gewijzigd door worldcitizen op 23 december 2007 23:28]

Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
page2.googlesyndication.com is een subdomein van googlesyndication.com en die laatste is eigendom van google zelf.
Kortom als dat subdomein al bestond, was het op de DNS-servers van Google zelf ingesteld.
Je provider heeft er in dit geval dus niets mee te maken.

edit:
Wat Free rider hier onder mij dus zegt ;)

[Reactie gewijzigd door TD-er op 23 december 2007 15:48]

Same here Wanadoo / Orange
Overigens kan ik (met @Home als provider) die genoemde webpagina niet eens resolven, dus kennelijk is er al actie ondernomen.
Ben jij ook besmet dan? Want de gewone AdSense moet gewoon nog werken, maar het is de trojan die em doorsluist naar een alternatief IP-adres.

TD-er, wat moet google doen aan een lokale gebruikersinstelling? Analoog hieraan: als ik "core.tweakers.net" laat verwijzen naar 127.0.0.1, wat moet t.net daar dan aan doen :?
Lees de tekst nogmaals, in de hosts file van de eindgebruiker wordt een entry opgenomen voor deze pagina, en laat deze verwijzen naar het IP adres van de kwaadwillende server.
Ofwel: zelfs als alle Google URLs door alle DNS servers geblokkeerd worden zal dat niets helpen; de geinfecteerde computers weten immers zelf welke server ze moeten benaderen.
De verwarring komt omdat de tekst niet goed is. Het moet zijn:
'page2.googlesyndication.com' is de Adsense-server van Google, maar na besmetting verwijst deze naam in de hostfile naar een ander (niet Google) ip-adres.
tja,

wat mij betreft mogen de google ads wel blijven. adblock gebruik ik wel voor sites die 'in overtreding zijn' bij mij, dus als ze immens grote flash ads over mn scherm gooien, of mn main window minimaliseren en met zo'n achterlijke windows-lookalike popup met een antivirus ad komen.

maar ja, even ontopic dan maar:

* google zou directe IP's in hun adsense tooltje kunnen stoppen ipv resolvable names. Maar ja, dan kunnen wij normale mensen de IP's niet meer herkennen.

* google zou hun ads via https kunnen aanbieden. dan ben je ook van het hosts probleem af, maar ja, dan moet iedereen de cross-site https melding accepteren ofzo.

ik denk dat google hier best een probleem mee heeft. misschien dat ze de content kunnen hashen en een hash-check functie kunnen meegeven in hun display routine. dat zou qua werk voor google best wel even intensief kunnen zijn, maar qua gebruikersvriendelijkheid voor ons gewone mensen het beste.

my 2 eurocents.
Je laatste oplossing is volgens mij onmogelijk voor google. Aangezien de adsense scripts worden vervangen door andere scripts heeft google zelf geen inzicht/controle over de site. Er wordt een ander javascript bestand ingeladen dan die van google (is mijn gok) en dus kan google niets hashen of de hash checken.

Al met al een lastige situatie, gelukkig dat et iig niet op server gebied gebeurd maar gewoon clientside :)
Je begrijpt z'n 2e oplossing niet: https verbindingen zijn niet te 'spoofen' met het host-bestandje.
Je browser gaat dan alleen wel de hele tijd zeuren dat de verbinding maar half beveiligd is enzo..
tja, ik weet niet precies hoe dat hele adsense werkt, maar volgens mij werd er via AJAX een div gevuld met content.

hmm, ik zat de ehel tijd te denken dat het framework, de aanroepfunctie en callbacks enzo, wel door google geleverd worden, en dat de ads dan van een 2e server vandaan komen. Maar deze trojan zal wel de callback ofzo overschrijven om dan zn eigen content in te laden, of misschien wel gewoon alles van een geredirecte server afhalen.

dus, ja je hebt gelijk, een checksum meesturen oid gaat inderdaad niet werken. helaas :S
De eerste oplossing zal ook niet helpen, volgens mij kan je in je hosts file ook gewoon een IP-adres naar een ander IP-adres doorverwijzen.
nope, een hosts file bevat per regel steeds een IP adres, en dan een URL ..

je OS kijkt dan of die URL gezocht wordt, en substitueert daarvoor in de plaats dan dat IP adres. Een IP adres naar een ander IP adres mappen via hosts kan niet.

ofwel, oplossing #1 werkt wel.
Voor hackers of misbruikers is het alleen maar interessant om groor bereik bedrijven te pakken. Google had dit voreg of laat kunnen verwachten, het verbaast me dan ook dat er niet meer preventief word gewerkt dat wanneer zoiets plaatsvind het gelijk aangepakt kan worden.

Ik ben bang dat Google in de toekomst nog wel meer van dit soort grappen kan verwachten. Het is alleen treurig dat opsporing en strafmaat wereldwijd nog steeds onder de maat is, er is meer mogelijk dan nu word gedaan en eindgebruiker blijft altijd de gedupeerde.

Controle bots is misschien wat op termijn, die met name naar dit soort misbruikers op zoek gaan zonder dat er nog veel manuren aan hoeft besteed te worden voor opsporing, vaak de grootste reden waarom er op opsporing bezuinigd blijft worden, veel manuren dus een duur kostenplaatje. al weegt dat niet altijd op tegen het belang.
Ik denk dat je het bericht verkeerd leest. Dit is een trojan die op de client computer draait, en clientside advertenties vervangt. Controlebots helpen dus hier niet tegen.

Al met al denk ik dat de impact wel mee zal vallen. De advertenties worden alleen vervangen op pc's die al besmet zijn met een trojan.

Veel erger was het als het aan google's kant mis was, of als er DNS servers waren gehackt.
Het was erger geweest in de zin dat iedereen slachtoffer zou zijn geworden.
Maar het probleem zou snel gevonden zijn en opgelost zijn.
In dit geval is Google afhankelijk van individuele internetters waar ze geen invloed over hebben en het probleem wel eens groter zou kunnen worden.
Het is dus belangrijk dat iedereen goed ingelicht wordt over het probleem en actie onderneemt.
Google zou bijvoorbeeld een waarschuwing op zijn hoofdpagina kunnen plaatsen, al vraag ik me af of ze dat zullen doen.
Het is nog steeds het standaard liedje, Gebruikers die nalaten een goede virusscanner/firewall te installeren, overal maar op klikken en alles openen zonder erbij na te denken. Daar kan Microsoft niks aan doen.

Om de vergelijking met de auto maar weer eens te maken:

Een fabrikant kan nog zoveel airbags of kreukelzone's inbouwen, op het moment dat er iemand dronken of zonder rijbewijs achter het stuur kruipt gaat het mis.
Vervelend voor google vooral omdat hier vrij weinig aan te doen is zoals vermeld in het artikel . Ik hoop dat de virusscanners dit soort grappen ook gaan controleren.
Edit
Misschien een idee om host files readonly te maken

[Reactie gewijzigd door Pimmetje16 op 23 december 2007 15:20]

Vista met UAC staat het zowieso al bijna niet toe, je moet er echt moeite voordoen.

Hosts file readonly maken heeft niet veel nut want hier is het juist voor. Ik heb de google analytics servers er ook in staan, maar dan naar 127.0.0.1
En onder XP gewoon met beperkte gebruikersrechten werken. Je moet gewoon niet steeds als Admin draaien. Dat is onder Linux ook al jaren de standaard. Overigens valt Linux weer eens buiten de boot ;( Ik wil ook wel eens een spannend virus :Y)
Hm, niet voor niets dat ik google-analytics.com, googlesyndication.com en doubleclick.net standaard block m.b.v. firefox + noscript. Zat er vroeg of laat aan te komen dat er misbruik van gemaakt zou worden. Veel te alomvertegenwoordigd en daarom lucratief voor 'hackers'.
Maakt niet uit dat jij die blockt, enkel die geinfecteerde PC heeft last van de fraude. Niet iedere PC die de pagina bekijkt sigh ... ik dacht dat tweakers het principe van een hostsfile wel kenden.
Google kan er niks aan doen, maakt ook niks uit er zijn ook genoeg mensen met AdBlock, die er dus voor kiezen.

Het gaat erom hoe die Trojan op de PC komt en hoe mensen hem eraf kunnen halen, welke virusscanner bijvoorbeeld.

edit: bitdefender zelf dus (de bron van het nieuwbericht).

[Reactie gewijzigd door Soldaatje op 23 december 2007 16:05]

Een paar dagen geleden zag ik dat McAfee een trojaans paard verwijderd/tegengehouden had. Er stond geen naam bij dacht ik, maar ik zal even kijken of ik wat in de logs kan vinden.
heel toepasselijk ook die googleads onder het nieuwsbericht.... :X

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True