Google waarschuwt gebruikers met malware op hun systeem

Google kan een bepaalde soort malware detecteren en zal gebruikers waarschuwen als hun computer ermee is geïnfecteerd. De malware, die het hosts-bestand op Windows-systemen aanpast, valt op door het gebruik van specifieke proxyservers.

Google gaat gebruikers waarschuwen als hun computers met een bepaalde soort malware zijn geïnfecteerd. De malware valt op doordat hij Google-zoekopdrachten door een select aantal proxyservers stuurt. Bij zoekopdrachten die via deze proxies verlopen, zal er een gele waarschuwingsbalk te zien zijn, waarmee de gebruiker van de mogelijke infectie op de hoogte wordt gesteld.

Tijdens routineonderhoud van Google aan zijn datacenters viel een patroon van vreemde zoekopdrachten op. Uit nader onderzoek door de zoekmachinegigant en bedrijven waar het verdachte verkeer vandaan kwam, bleken er computers besmet te zijn met malware. Om welke malware het precies gaat, meldt Google niet. Uit het Google Help Center-artikel valt op te maken dat de malware het hosts-bestand op Windows-systemen aanpast.

Google malware-waarschuwing

IT-banen

Reacties (101)

wildhagen

Malware
Zoekmachines
Google

20 juli 2011 13:24

Tip: maak je hosts-bestand read-only (attrib +r %systemroot%\system32\drivers\etc\hosts commando op een admin cmd-prompt uitvoeren), dan voorkom je dat dat bestand gekaapt word door malware.

Dit is namelijk een vrij bekende en veel gebruikte vorm van malware.

Carino @wildhagen • 20 juli 2011 13:29

op zich een goede tip, echter na de komst van Windows Vista en Windows 7 is dit overbodig. Het Host bestand is al niet meer zomaar aan te passen, dat dient nu te gebeuren door een admin instantie van Notepad (uitvoeren als Administrator) te openen en dan het bestand te bewerken.

wildhagen

Malware
Zoekmachines
Google

@Carino • 20 juli 2011 13:31

Klopt, voor Windows Vista en hoger is het niet strikt nodig meer, maar velen gebruiken nog XP, en dan kan het wel een uitkomst bieden.

Overigens kan je ook specalistische anti-malware tools als MalwareBytes, HijackThis etc gebruiken om de hosts file te editten, voor de minder technisch onderlegde mensen

De enige twee entries die erin horen te staan (plus door jezelf toegevoegde entries uiteraard) zijn:

127.0.0.1 localhost
::1 localhost

Die laatste is er uiteraard alleen als je IPv6 enabled hebt, anders zie je alleen de eerste.

Reboot @Carino • 20 juli 2011 13:32

Ja, je krijgt dan een popup die vraagt of je wil toestaan of niet. En heel veel mensen zijn ok klikkers.

highflyer @Carino • 20 juli 2011 14:17

dat krijg je ook alleen maar als je UAC aan hebt staan.
deze heb ik uit staan omdat ik redelijk zeker ben van de applicaties en internet security die ik draai.

ik draai momenteel officiële Windows versies maar heb daarvoor wel met illegale versies gespeeld en daar was de UAC meestal uit gezet om de cracks en dergelijk te kunnen laten draaien
en weet genoeg mensen die deze versies van windows draaien en zijn dan net zo kwetsbaar als XP machines

Brahiewahiewa @wildhagen • 20 juli 2011 13:47

Iemand mag mij toch eens uitleggen wat je hosts-bestand met je proxy-instellingen te maken heeft. Vziw worden je proxy-instellingen in je browser gemaakt (zonder dat je daar adminprivileges voor nodig hebt).

De enige reden die ik me kan voorstellen is dat je in de proxy-instellingen een FQDN opgeeft, die niet via DNS te resolven is. Maar een IP-adres of een valide hostnaam in je proxy-instellingen, ga je niet detecteren door je hosts-bestand te monitoren.

wildhagen

Malware
Zoekmachines
Google

@Brahiewahiewa • 20 juli 2011 13:50

Iemand mag mij toch eens uitleggen wat je hosts-bestand met je proxy-instellingen te maken heeft.

Dat soort proxy word hier volgens mij niet bedoeld.

Stel, in je hostfile staat het volgende (fictieve) regeltje:

1.2.3.4 www.google.com

Op het moment dat jij dan nietsvermoedend naar www.google.com gaat, ga je dus eerst via het adres 1.2.3.4. Waarschijnlijk zal die site je dan doorsturen naar Google (anders zou het wel erg snel opvallen natuurlijk), maar die site kan intussen dan van alles doen met wat jij daarnaartoe verstuurd.

tes_shavon @wildhagen • 20 juli 2011 14:51

Op het moment dat jij dan nietsvermoedend naar www.google.com gaat, ga je dus eerst via het adres 1.2.3.4.

ter info: dit is een uiteindelijk dus een fout in de implementatie van DNS. Vroeger (opa spreekt) hadden we WINS. Ik ga nog even op zoek naar de plaatjes, maar als je daarmee een ipadres/naam resolutie deed, was de volgorde (onder windows):

1. in cache zoeken (ben ik er al eens geweest)
2. geen antwoord -> broadcasten
2. geen antwoord -> wins-server vragen
3. geen antwoord -> lmhosts-file vragen

met DNS is de volgorde:

1. Ben ik het zelf
2. Nee -> hosts-file vragen
3. geen antwoord -> dns-server vragen
4. geen antoowrd -> wins-server vragen

dit betekent simpelweg dat er eerst lokaal gekeken wordt naar de hosts-file voordat we de dns-server gaan raadplegen....

edit: ondersteunende artikelen gevonden.

[Reactie gewijzigd door tes_shavon op 23 juli 2024 10:40]

wildhagen

Malware
Zoekmachines
Google

@tes_shavon • 20 juli 2011 14:59

dit betekent simpelweg dat er eerst lokaal gekeken wordt naar de hosts-file voordat we de dns-server gaan raadplegen....

Om helemaal volledig te zijn, dit is de resolution order voor Windows-systemen by default:

1) Kijk in de HOSTS-file
2) Kan hij hem daar niet vinden, zal hij de DNS-server vragen
3) Daarna WINS
4) Vind hij dan nog niets, zal hij een NetBIOS Broadcast doen
5) Vind hij dan nog niets, gaat hij in de LMHOSTS file kijken

Als hij na stap 5 nog niets vind, geeft hij het op

Die default search order kan ook worden aangepast, zodat de volgorde anders word. Welke volgorde bij welke optie staat, kan je op deze site nalezen.

tes_shavon @wildhagen • 20 juli 2011 15:05

Mijns insziens wordt op deze site niet aangegeven hoe je de volgorde van resolving kunt kiezen, maar hoe je de "preferred resolving method" kunt aangeven met een daarbij behorende volgorde...

[Reactie gewijzigd door tes_shavon op 23 juli 2024 10:40]

daft_dutch @tes_shavon • 20 juli 2011 16:41

RTFM: man hosts

host file is altijd de eerste omdat het ook IP address kunnen worden resolved voordat het netwerk echt up is.

well0549 @wildhagen • 20 juli 2011 16:56

Ehmmmmm,

Ik had altijd geleerd (op windows dan he)

No Way Babe Lets Have Dinner

Name cache
Wins
netBios
Lmhosts
Hosts
Dinner

wildhagen

Malware
Zoekmachines
Google

@well0549 • 20 juli 2011 18:13

Dat klopt, als je in "Hybrid Mode"-resolving draait. Dat is niet de default mode voor elke versie van Windows (ik geloof dat dit namelijk ook nog eens per versie verschillend is).

Welke mode je gebruikt kan je zien door op een command prompt ipconfig /all in te tikken.

Op een gegeven moment zie je dan Node Type staan, met daarachter iets als "Hybrid", "Mixed", "Broadcast" of "Point to point". Dat is dus de mode die actief is voor je.

Aan de hand van die code kan je op deze site dan weer opzoeken in het tabelletje wat voor jouw specifieke situatie de resolving order is

daft_dutch @wildhagen • 20 juli 2011 13:58

maar toch zegt google als fix download een virus scanner. het IP 1.2.3.4 zal het erg druk krijgen

[Reactie gewijzigd door daft_dutch op 23 juli 2024 10:40]

OddesE @Brahiewahiewa • 20 juli 2011 14:03

Precies. Proxy is een generieke term die zoiets betekent als een persoon of entiteit die handelt namens een ander.

Met de proxy instellingen in bijvoorbeeld de internet opties van Internet Explorer geef je aan dat je standaard verbinding maakt via een andere PC. Je leidt dan zelf vrijwillig al je verkeer via een bepaalde PC.

Wat deze crackers doen is dat ze in je hosts file google.com omleiden naar hun eigen machine. Deze machine fungeert dan als een proxy en stuurt je aanvragen weer door naar Google. De antwoorden van Google gaan dan weer terug naar de proxy, die het vervolgens weer bij jou aflevert. Het netto effect is dat de aanvaller tussen jou en Google in is gaan zitten en al je search opdrachten kan zien. Dit noemt men een 'man in the middle attack'.

Glabbeek @wildhagen • 20 juli 2011 13:32

Helaas is dat onder Windows-systemen niet zo veilig als onder andere OS'en, want met hetzelfde gemak kan de malware de read-only-flag er weer afhalen. Daar zit geen enkele beveiliging op.

wildhagen

Malware
Zoekmachines
Google

@Glabbeek • 20 juli 2011 13:34

Alleen als je als admin draait (of de malware aan privilege elevation doet), maar dat is nogal logisch, als admin kun je nu eenmaal alles.

Maar als het goed is draai je niet als admin, maar als user met minder privileges, en dan is de stap voor malware alweer een stukje groter.

Natuurlijk is het niet 100 procent veilig, maar dat is niets natuurlijk. Het is een aanvulling op de rest van de beveiligingsmaatregelen die je moet nemen

Glabbeek @wildhagen • 20 juli 2011 13:36

Ok, mijn kennis van het Windows-platform begin een beetje achter te lopen merk ik. Tot XP zat er geen beveiliging op, daarna is het blijkbaar verbeterd

pstalman @Glabbeek • 20 juli 2011 19:19

in XP zat een deel van de beveiliging er ook al in, alleen logde iedereen nog steeds als "admin" in ipv user omdat het vaak niet anders werkte.

Dreamvoid

Malware

@wildhagen • 20 juli 2011 13:38

Een beetje goede malware kan ook de read-only flag van bestanden veranderen.

off-topic, maar ik moet zeggen dat het hele concept met een hosts lijst als simpel text bestandje (zowel op Windows en op Unix/like OSsen trouwens) vanuit fundamenteel security standpunt echt ongeloofelijk naief ontworpen is, maar goed - dat is nou eenmaal historisch zo gegroeid.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 10:40]

OddesE 20 juli 2011 13:23

Ja het hosts bestand aanpassen is een oude truc. Zo leidde men ook alle verkeer naar grote winkel sites zoals Amazon via hun eigen site en zorgde ervoor dat het net leek alsof jouw aankoop via hun liep. Hierdoor vingen ze dan een affiliate bonus.

Dit bestand is overigens een gewoon simpel tekst bestand dus je kunt zelf simpel controleren of er bij jou wat raars in staat:
C:\Windows\System32\drivers\etc\hosts

EDIT: Hier die van mij. Dit is de ongewijzigde minimale versie. Regels die beginnen met een hekje (#) zijn commentaar en hebben verder geen invloed op het systeem.

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

[Reactie gewijzigd door OddesE op 23 juli 2024 10:40]

Dreamvoid

Malware

@OddesE • 20 juli 2011 13:37

Voor de Mac gebruikers: in OS X staat dit bestand in /private/etc/hosts . Altijd nuttig om even te checken, aangezien er ook op de Mac een aantal DNS changers actief zijn (geweest), oa DNSChanger (aka OSX.RSPlug.A).

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 10:40]

XRayXI @OddesE • 20 juli 2011 19:30

Als je Spybot - Search & Destroy gebruikt dan is die lijst echt een stuk langer

Stukje tot het eind:

"
127.0.0.1 xxxl-cash.net
127.0.0.1 www.xxxl-cash.net
127.0.0.1 yourdrugtorewellness.com
127.0.0.1 www.yourdrugtorewellness.com
127.0.0.1 yourprofitclub.net
127.0.0.1 www.yourprofitclub.net
127.0.0.1 www.youseemore.com
127.0.0.1 youseemore.com
127.0.0.1 www.zvamzyucu.com
127.0.0.1 zvamzyucu.com
# End of entries inserted by Spybot - Search & Destroy
"

Echter, zin of onzin ?

Carino @XRayXI • 20 juli 2011 21:40

ik zou het geen onzin willen noemen, het voorkomt in ieder geval dat er door cookies en eventuele spyware gecommuniceerd wordt met 't 'thuisfront'. een blokkade kan in dat geval nooit kwaad. in dit geval wordt al het verkeer naar je eigen computer (localhost) geleid.

XRayXI @Carino • 20 juli 2011 22:27

Dank U wel

Het is echt een hele lijst, dus laat ik het zoals het is.

Anoniem: 234453 20 juli 2011 14:17

Ik heb een kanjer van een hosts-bestand (paar Mb groot) met daarin namen van alle grote ad-servers, analytics-servers en nog meer van die troep. Om je hosts te onderhouden kan ik iedereen het programma Hostsman aanbevelen. Niet alleen kun je daarmee makkelijk je hosts-file aanpassen of opschonen, maar je kunt hem ook (tijdelijk) uitschakelen, op hijacks controleren enz.

Anoniem: 315662 20 juli 2011 13:22

mooie zet, al denk ik dat 'gewone' computergebruikers hier wel van zullen schrikken, maar wel goed dat ze de gebruiker hier op attent maken. Ik hoop dus wel dat de "Learn how to fix this" in gewone taal is geschreven.

[Reactie gewijzigd door Anoniem: 315662 op 23 juli 2024 10:40]

Gover

@Anoniem: 315662 • 20 juli 2011 13:25

Het zet natuurlijk de deur open voor 'Scareware', er is niets mis met het initiatief, maar ik denk dat het beter zou zijn wanneer je eigen virusscanner de melding geeft dan een website als Google. De normale gebruiker zou namelijk in de verleiding kunnen komen om pop-ups of gele balken met een waarschuwing als veilig te bestempelen, met daarbij de bekende gevolgen.

ajakkes @Gover • 20 juli 2011 13:46

Het grappige is eigenlijk dat juist doordat de site via een proxy wordt geleidt het heel goed mogelijk is dat deze proxy dit bericht er weer uit filtert.

Dus als je nu denkt dat je geen last hebt van deze malware omdat je dit bericht niet ziet in google, kan je er alsnog heel erg naast zitten.

Of de proxy veranderd alleen de link die in de gele balk staat naar een site met nog meer malware.

Hoewel het een slimme zet lijkt van google om dit bericht te tonen vraag ik me af of het op de lange termijn het juiste effect zal hebben.

Een laatste waarschuwing: Mocht je dit bericht krijgen installeer dan zo snel mogelijk een goede virusscanner. En om dit probleem echt te verhelpen had je dat eigenlijk al eerder moeten doen!

Edit:
Als zoeken over een https verbinding de standaard zou zijn had dit geen issue geweest volgens mij. In de gele balk wijzen op de mogelijkheid om via https de pagina te bezoeken zal al iets meer oplossen. Ook omdat veel gebruikers inmiddels wel weten dat https extra veiligheid geeft (veel gebruikers hebben inmiddels wel ervaring met internetbankieren en waar ze daar op moeten letten).

[Reactie gewijzigd door ajakkes op 23 juli 2024 10:40]

mbb @ajakkes • 20 juli 2011 16:46

Inderdaad. Of als het een ingelogde google-gebruiker is, een email sturen waarin uitgelegd staat wat mis is.

Overigens worden (wat ik uit de link begrijp) sites alleen per domein getunneld, het is dus niet dat je DNS server gekaapt wordt.

Dus ik denk dat het resultaat vooral zal zijn dat Google uit de proxielists gehaald zal worden.

ajakkes @mbb • 20 juli 2011 20:17

En die mail is wel zeker weten van google afkomstig? Mail afzenders zijn ook niet te vertrouwen.

Door in de host file een ander IP adres aan veel populaire sites te verbinden zorg je dat dit verkeer naar het nieuwe adres wordt geleid. Je kan vervolgens de data loggen en eventueel aangepast doorgeven.

Dit is het meest interessant als het adres veel gebruikt wordt. En welk adres wordt zo ongeveer het meest gebruikt als startpunt? google.com (of .nl of .be enz.) Op die manier kom je natuurlijk een hoop te weten over de gebruiker. Ook zou je de zoekresultaten kunnen aanpassen. norton.com aanpassen naar norton.ru bijvoorbeeld. Daar kan je mooie software op aanbieden.

Google zal dus niet zo snel uit de host file gehaald worden.

Mijn gok is dat je na deze malware infectie alleen een https://www.google.com kan vertrouwen mits deze zonder waarschuwingen in beeld verschijnt.

Ook al Bezet @Gover • 20 juli 2011 13:35

Het zet natuurlijk de deur open voor 'Scareware', er is niets mis met het initiatief, maar ik denk dat het beter zou zijn wanneer je eigen virusscanner de melding geeft dan een website als Google. De normale gebruiker zou namelijk in de verleiding kunnen komen om pop-ups of gele balken met een waarschuwing als veilig te bestempelen, met daarbij de bekende gevolgen.

Natuurlijk, maar als iedereen een goed werkende virus- en spywarescanner had dan was dit initiatief van google ook niet nodig. Als mensen hiervan schrikken en beter op gaan letten dan is dat alleen maar goed.

Trouwens, scareware maakt allang van dit soort taktieken gebruik door de UI van windows te imiteren, dit opent dus niet echt nieuwe deuren.

Baserk @Ook al Bezet • 20 juli 2011 13:47

"scareware maakt allang van dit soort taktieken gebruik door de UI van windows te imiteren"

Waar, maar 't is toch niet handig dat users geacht worden nu wel een specifieke Google melding te herkennen als valide?
Net op het moment dat pa/ma/oma de boodschap hebben meegekregen om meldingen behalve die van hun eigen software te 'negeren', komt dit langs.

[Reactie gewijzigd door Baserk op 23 juli 2024 10:40]

Ook al Bezet @Baserk • 20 juli 2011 13:54

Wat stel jij dan voor? Het is natuurlijk niet ideaal maar het alternatief, niets doen, schiet ook niet erg op. Gewoon een regeltje aan de boodschap toevoegen, alles negeren, behalve eigen software* en google.nl.

*Al hebben sommige mensen er erg veel moeite mee om hun eigen software te onderscheiden van, zeg, een website dus die regel was sowieso al niet 100% effectief.

dgompie

@Ook al Bezet • 20 juli 2011 15:37

Zoekopdrachten gewoon niet toelaten vanaf die proxy's, dan wordt de malware snel aangepast dat ze een andere oplossing verzinnen en kan Google het niet meer detecteren ...

i-chat @Ook al Bezet • 20 juli 2011 15:10

Wat stel jij dan voor? Het is natuurlijk niet ideaal maar het alternatief, niets doen, schiet ook niet erg op. Gewoon een regeltje aan de boodschap toevoegen, alles negeren, behalve eigen software* en google.nl.

*Al hebben sommige mensen er erg veel moeite mee om hun eigen software te onderscheiden van, zeg, een website dus die regel was sowieso al niet 100% effectief.

en de volgende keer komt microsoft met een waarschuwing en dan komt adoble.ws <let op spelling>

Faberge @Ook al Bezet • 20 juli 2011 13:54

Het verschil met deze melding en de scareware-meldingen is dat bij de scareware-meldingen altijd een "KLIK HIER OM UW COMPUTER OP TE SCHONEN" knop te vinden is. Wanneer een gebruiker er gewoon op geattendeerd wordt dat er malware op zijn/haar systeem is, is dit veel betrouwbaarder en moet de gebruiker zelf actie ondernemen.

LDenninger @Faberge • 20 juli 2011 13:58

"learn how to fix this" met daarachter een pagina die je vertelt dat je anti-spyware-software moet installeren komt toch op hetzelfde neer ?

Faberge @LDenninger • 20 juli 2011 14:47

Point taken

i-chat @Faberge • 20 juli 2011 15:14

zowiso zou google op zo'n moment duidelijk moete maken dat gebruikers moeten opletten dat de site gebruik maakt van een degelijke ssl cert. (https).

dat ze eerst moeten onderzoeken of de av-software die ze willen installeren, wel betrouwbaar is, of dat ze 'hulp' moeten zoeken als ze er niet op vertrouwen deze keuze zelf te kunnen maken, - maar het blijft lastig, ik ben benieuwd waarom ze niet waarschuwen gewoon windows update (en dus ms spyware removal tool) uit te voeren... dat lijkt mij de veiligste oplossing. om het scareware effice te verkleinen...

Gover

@Ook al Bezet • 20 juli 2011 13:54

Je hebt volkomen gelijk dat het niet echt nieuwe deuren opent, maar laten we zeggen dat 0,01% van de gemiddelde Europese internetter bij twijfel op sluiten klikt, zou wanneer ook de Google website dit soort waarschuwingen geeft, daarna geneigd kunnen zijn om wel door te klikken op een malafide boodschap. En 0,0001% (als percentage van de eerder genoemde 0,01%) van alle gemiddelde internetgebruikers is een heel erg grote doelgroep waar flink wat te halen valt.
Misschien dat een onderzoek naar de effecten van waarschuwingen, waarbij zowel de goede als de meer criminele kant belicht worden uitsluitsel kan geven omtrent het wel of niet waarschuwen van mensen.

Patriot @Gover • 20 juli 2011 14:11

Ik denk dat je bij 0,0001% van 0,01% van de gemiddelde Europese internetgebruikers op ongeveer 1 persoon zit dus dat vind ik een bijzonder kleine doelgroep voor een scarewaremaker om als doelwit te gebruiken

i-chat @Patriot • 20 juli 2011 16:17

als er idd 1.000.000.000 mensen in europa wonen wel...

maar de cijfers die hij noemt zijn dan ook belachelijk laag ... naar mijn inschatting zul je zo'n 100 tot 250 mln internet aansluitingen hebben, waarvan zeker 65% computer onkundig is.. als je net veel moeite hebt gedaan om 10% daarvan (dus 6.5% van het totaal) zover te krijgen dat ze niet meer reageren op scareware dan praat je dus al zeker over miljoenen mensen. wil je de volgende keer nog meer mensen gaan overhalen - zul je snel zien: "ja maar die meldingen zijn van google dus die kan ik gewoon installeren..." en dan ben je helemaal de sjaak...

Knobby @Gover • 20 juli 2011 13:33

Inderdaad, dit ziet er precies uit als een scareware popup op een niet al te zuivere site.
"Your computer has been infected by a virus!! Click here to remove." En als je dan klikt wordt je juist geinfecteerd...
Beetje gek dat google zelf die overeenkomst niet ziet.

G-bird @Knobby • 20 juli 2011 13:56

Inderdaad bij mij springt de term Apple Defender in mijn hoofd.

De nietsvermoedende Apple gebruiker trapte daar ook in.

edit=typo's

[Reactie gewijzigd door G-bird op 23 juli 2024 10:40]

TheLunatic @G-bird • 20 juli 2011 14:43

Huh, op Apple kun je toch geen virussen krijgen?

G-bird @TheLunatic • 20 juli 2011 15:28

En daarom was Aple Defender zo'n succes. De allereerste!

ik bedoel natuurlijk Mac Defender.

edit; de juiste naam

[Reactie gewijzigd door G-bird op 23 juli 2024 10:40]

supersnathan94

@G-bird • 20 juli 2011 17:24

ff offtopic hoor, maar dat was natuurlijk helemaal geen virus gekkie. gewoon een malware tool waar je zelf een wachtwoord voor moest ingeven.

Slurpgeit @supersnathan94 • 20 juli 2011 21:38

De laatste versies hebben geen admin wachtwoord nodig voor installatie. Daarnaast is het zeker niet het eerste virus / rouge voor de Mac, simpelweg de eerste die zoveel media aandacht kreeg.

Atomsk @Knobby • 20 juli 2011 18:40

Het is duidelijk geen popup, maar een balk die boven het zoekvenster wordt gezet in de pagina met Google zoekresultaten. Helemaal niet zo gek dus.

Hoe dan ook: mensen die zo dom zijn om malware op hun pc te installeren, zijn waarschijnlijk ook wel "dom" genoeg om de waarschuwing van Google serieus te nemen.

Darkraver8 @Knobby • 20 juli 2011 20:46

Ik denk dat mensen die geinfecteerd zijn over het algemeen juist op zulke links klikken, vandaar dat ze eerder geinfecteerd zijn geworden.

Anoniem: 346066 @Anoniem: 315662 • 20 juli 2011 13:25

Mwah, denk dat de 'gewone' computergebruiker dit bericht gewoon weg klikt, de meeste waarschuwingen op het internet die melden dat je computer geïnfecteerd is met malware zijn gewoon opdringerige reclames of erger.

Orwell @Anoniem: 346066 • 20 juli 2011 13:35

Er is wel één verschil tussen de standaard-ads en Google's 'ads':

Op, laten we zeggen, de naast een invoerveld en twee knoppen lege pagina van Google Search zijn mensen dat soort reclame niet gewend. Er zal dus wel wat meer naar gekeken worden.

Uiteraard zijn er nog steeds massa's mensen die de waarschuwing alsnog negeren, maar het percentage wegklikkers zal op het normaal lege witte google.com flink lager zijn dan op een site die toch al volstaat met onoverzichtelijke content (msn.com ofzo).

BazB @Anoniem: 346066 • 20 juli 2011 17:43

Op basis van het screenshot lijkt het er niet op dat je de melding kan wegklikken...

boyjim 20 juli 2011 13:33

hele slimme zet van google.. ze staan er om bekend het internet gedrag van mensen te bestuderen om volgens google "" betere zoekresultaten" te kunnen weergeven.

Dus doordat mensen hierdoor een melding krijgen en er hopelijk dan ook iets aan gaan doen, kan google vanaf dat moment hun gedrag beter bestuderen omdat het dan van hun eigen ip-adres komt.

Verder vind ik de zet wel heel goed voor gebruikers die ook daadwerkelijk geïnfecteerd zijn, want in theorie kan de malware eigenaar hetzelfde gedrag bestuderen als google doet bij zijn eindgebruikers.

Anoniem: 126717 @boyjim • 20 juli 2011 13:46

Google doet wel meer... Ze waarschuwen ook als je account van een onverwachte plek wordt benaderd.
Dat zag ik laatst bij mensen, hun mail was benaderd vanuit China. Altijd foute boel natuurlijk.
Simpele waarschuwing werd weergegeven dat het veranderen van het password toch wel een sterke zet zou zijn. En dat vindt ik persoonlijk toch wel goede service.

OddesE @boyjim • 20 juli 2011 14:11

Ik hoor je ironie boyjim, maar als ik Google bezoek dan doe ik dat vrijwillig en stuur ik bewust mijn zoekopdrachten naar dit bedrijf. Ik denk dat met mij de meeste mensen wel snappen dat Google kan 'zien' waar je op zoekt bij hun.

Deze malware leidt dit verkeer echter ongevraagd en op slinkse wijze om. Je bent je er dan dus niet van bewust dat een derde partij je zoekopdrachten kan monitoren. Nogal een ander verhaal naar mijn mening.

Subigo 20 juli 2011 13:23

Beetje misleidende titel.
Ik dacht dat de Google systemen geïnfecteerd waren.

OT : Goed initiatief. Hoe eerder de gebruiker op de hoogte is hoe beter natuurlijk.

tes_shavon @Subigo • 20 juli 2011 13:51

Ik las juist in eerste instantie dat Google pc-bezitters (om wat voor reden dan ook) ging waarschuwen door ZELF malware op de pc's van die mensen te installeren

[Reactie gewijzigd door tes_shavon op 23 juli 2024 10:40]

arnoo1 20 juli 2011 13:48

Ik denk eerder dat " normale gebruikers" denken dat google zelf is geinfecteerd is en dat door geeft hun eigen computer, aangezien je tegenwoordig van die crappy sites heb die dat aangeven terwijl er niks aan de hand is.
Ik denk dat google beter eerst aan de gebruiker moeten vragen of ze mogen kijken of er iets mis, misschien zitten bepaalde mensen er niet wachten dat weet je niet,
Ik vind het zelf wel ontzettende goeie inzet van google

OddesE @arnoo1 • 20 juli 2011 14:14

Ik denk dat de meeste mensen toch meer waarde hechten aan een boodschap van een site als Google dan van één of andere crappy site.

Net zoals je toch meer waarde hecht aan een boodschap van de koningin dan van een willekeurige oude dame die toevallig een plechtige stem opzet.

"Geachte medetweakers, het is mijn eer u mede te delen dat uw PC vol staat met rommel. Koop nu onze opruim software!"

Reboot 20 juli 2011 13:25

Heel mooi dat ze dit doen.
Veel gebruikers weten niet dat ze mal/spyware op hun computer hebben staan tot deze het begeeft.

Op deze manier kunnen ze, bij bepaalde infecties hun computer proper maken, of binnenbrengen zodat schade beperkt blijft.

Thc_Nbl 20 juli 2011 13:28

Heel goed, dit doe ik al een paar jaar op mijn webservers.
geinfecteerde pc's krijgen geen toegang tot mijn server.
voor apache questie van mod-spamhaus installeren.

Als iedereen deze techniek zou gebruiken zijn meer mensen op de hoogte dat ze geinfecteerd zijn, wordt dit sneller opgelost en zal spam e.d. verminderen.

Wat alleen nog fijn zou zijn dat ze net als wat via spamhaus kan dat ze aangeven met wat je geinfecteerd ben.
Ik bericht mijn klanten waarmee ze geinfecteerd zijn en hoe ze het kunnen verwijderen.

[]InTeR[] 20 juli 2011 13:34

Dat ze daar niet eerder op komen.
Ook veel malware past je browser signature aan, kunnen ze daar ook meteen op scannen.

Op dit item kan niet meer gereageerd worden.

Google waarschuwt gebruikers met malware op hun systeem

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: