Hackers kraken µTorrent-site en plaatsen malware in installer

Door een inbraak op de utorrent.com-website zijn onbekenden er in geslaagd om de installer van de bittorrent client te vervangen door een exemplaar met malware. Volgens µTorrent-eigenaar Bittorrent.com gaat het om scareware.

De µTorrent-installer die de malware bevatte, zou circa twee uur op de servers van utorrent.com hebben gestaan nadat hackers de webserver van de populaire bittorrent-client wisten te kraken, zo meldt Bittorrent.com op zijn blog. Gebruikers die de besmette µTorrent-client installeerden, kregen een programma met de naam Security Shield voor hun neus. Deze scareware toont valse meldingen dat er virussen gedetecteerd zijn en vraagt de gebruiker geld om de niet bestaande virussen te kunnen 'verwijderen'.

Volgens Bittorrent werd de hack van de website snel ontdekt en is de website korte tijd uit de lucht gehaald om de malware te verwijderen en gaten in de beveiliging te dichten. Eerdere meldingen dat ook bittorrent.com gekraakt is, kloppen volgens het bedrijf niet. Ook de zogeheten mainline-client zou niet zijn besmet. Inmiddels is de µTorrent-website weer in de lucht.

IT-banen

Reacties (65)

DaSt1986

14 september 2011 10:01

Persoonlijk zou ik, als ik een bekend programma zoals uTorrent had gemaakt, deze iedere avond ofzo door middel van een Md5 / SHA1 hash controleren of het file niet aangepast is. Dit is echt hele negatieve publiciteit en ik vraag me af of uTorrent hier goed vanaf gaat komen. Persoonlijk zou ik voorzichtig worden met uTorrent, zeker omdat ik bij heel veel Torrent programma's al het gevoel heb een berg malware naar binnen te halen.

Rinzler @DaSt1986 • 14 september 2011 10:16

Persoonlijk zou ik voorzichtig worden met uTorrent, zeker omdat ik bij heel veel Torrent programma's al het gevoel heb een berg malware naar binnen te halen.

Veel van die clients zullen misschien extra software aanbieden (die irritante toolbars bv), je moet gewoon zien dat je tijdens de installatie die vinkjes uitvinkt. Het is meestal door die reclame dat ze inkomsten kunnen krijgen. Als ze een berg malware zouden binnen halen zonder gebruikerstoestemming zouden ze volgens mij niet zo populair zijn...

En goh, het is deze nacht gebeurd en we krijgen er nu al 'let op' meldingen. Is dat zo negatief? Als het nu al een paar dagen/weken geleden was had ik ondertussen uTorrent er af gesmeten. Maar met deze snelle melding blijft deze er gewoon op staan hoor. Wanneer wordt er tegenwoordig iets niet gehackt?

Het is niet alsof het heel veel werk is je bestanden automatisch te laten controleren, dat kun je snel en gemakkelijk opzetten.

Het is inderdaad niet zoveel werk om deze automatisch te laten scannen, maar ga jij dat om de minuut doen dan? Want als je dat iedere avond doet zoals je zegt in je eerste post, is de kans er nog altijd dat ze je pas na de controle hacken. Ik denk dat de reactie van uTorrent snel genoeg was. Iets zeggen is 1 ding, het hun nadoen wil ik wel eens zien.

edit2: Behalve als je het bestand wil gaan scannen elke keer als iemand het download. Ik kan er helaas geen ervaring of know-how over delen. Het zou me dan logisch lijken dat dat wel heel wat meer serverkracht vereist. Hou er ook rekening mee dat dit nog altijd een gratis programma is.

edit: typo's

[Reactie gewijzigd door Rinzler op 23 juli 2024 14:48]

T-Forever @Rinzler • 14 september 2011 18:42

Je bedoeld 'lees gewoon goed voor je iets installeerd'

Ik heb al verschillende installs meegemaakt waar je de vinkjes aan moest zetten om geen nutteloze software mee ge-installeerd te krijgen.

En worden downloads niet standaard bekeken tegenwoordig met recente virus scanners?
Sever side als er al een check in zit wordt er normaal gekeken naar het aantal bits of iets dergelijks en vergelijk die met het originele en het is snel te zien of er 'iets' mee aan de hand is.

Kan er ook naast zitten natuurlijk =p

Limaad @DaSt1986 • 14 september 2011 10:03

Je kan natuurlijk ook overdrijven.

Hackers zijn er nu eenmaal.. Daar doe je niets aan. En als het 2 uur online heeft gestaan, dan zijn ze er nog snel achtergekomen.
Morgen ben ik dit al vergeten.

DaSt1986

@Limaad • 14 september 2011 10:05

Ja, jij bent het vergeten, maar veel mensen ook niet. En ja, wellicht is het overdrijven, maar om een beetje reputatie te houden zou ik persoonlijk toch wel iets meer moeite willen doen. Het is niet alsof het heel veel werk is je bestanden automatisch te laten controleren, dat kun je snel en gemakkelijk opzetten.

Hylix @DaSt1986 • 14 september 2011 10:18

Erhm.. heb jij het artikel wel goed gelezen? Jij beweert dat je elke avond zou controleren dus om het 24 uur. bij uTorrent hebben ze het binnen 2 uur gevonden, waarschijnlijk sneller dan als je elke avond zou controleert. Dus ik vind dat ze dit netjes hebben gedaan!

Natuurlijk is het altijd smerig als een service gekraakt/gehackt word, maar goed ik geloof dat er overal wel een manier is om in te breken. Je kunt jezelf net zo goed beveiligen maar er is altijd een kans dat ze ooit een keer binnen komen.

Ero-Sensei @Hylix • 14 september 2011 11:02

Wel smerig ja, maar wanneer jouw programma belangrijk genoeg wordt om te hacken, mag je anderzijds jezelf ook wel weer op de schouder kloppen - dan doe je toch iets goed

tweakerbee @DaSt1986 • 14 september 2011 10:21

Ze hebben het binnen twee uur opgelost. Iets zegt mij dat er al een automatische controle plaats vond.

Gert @DaSt1986 • 14 september 2011 10:05

Misschien doen ze dat ook wel, de bestanden hebben er maar 2 uur op gestaan.

Stevie-P @DaSt1986 • 14 september 2011 10:06

Wellicht doen ze dit ook, de besmette file heeft immers maar 2 uur online gestaan.

_{spuit 11, wel grappig dat Gert en ik hier ook bijna exact dezelfde zin voor gebruiken}

[Reactie gewijzigd door Stevie-P op 23 juli 2024 14:48]

Shadowsun @Stevie-P • 14 september 2011 12:59

great minds think alike.....

srry dat moest even... mod maar weg

Gutteguttegut @DaSt1986 • 14 september 2011 10:14

Dit is echt hele negatieve publiciteit en ik vraag me af of uTorrent hier goed vanaf gaat komen.

Dit is wel erg overdreven.
Ik las het stukje, bedacht me dat ik nog een oude versie gebruik en klaar.
Ik zal ook zeker gewoon een nieuwe versie in de toekomst gebruiken.

Wees blij dat ze het vinden en melden, dit is misschien bij andere clients niet het geval en werk je al enige tijd met een virus/malware/etc.

highflyer @DaSt1986 • 14 september 2011 10:34

dan nog wat wil een Md5/SHA1 hash doen, als een hacker al in het systeem is past hij ook ff de hash aan naar zijn versie.

Vind het een goede zaak dat ze het al met 2 uur hebben opgemerkt en er een fix op hebben gezet.

Elmo_nl @highflyer • 14 september 2011 18:15

Het is niet moeilijk het voor een hacker praktisch onmogelijk te maken de hashes van je belangrijke systeembestanden te wijzigen zonder dat dit opvalt. De oplossing (voor redelijk statische (web)sites) is: maak offline je systeem klaar. Natuurlijk is het belangrijk dat je een 'schone' basis hebt en betrouwbare installatie files. Maak hashes van je belangrijke bestanden. Brand deze op een CD/DVD. Verhuis deze CD/DVD naar een read-only CD/DVD lezer in het doelsysteem en laat een programma om de x minuten de hash van de systeemfiles vergelijken met de CD/DVD. Je kunt om snelheidswinst te behalen ook kiezen voor een USB stick waarvan je hardwarematig een schakelaar kunt omzetten naar read/write. Persoonlijk heb ik op mijn Linux server dan Tiger draaien die de hashes van mijn server vergelijkt met de hashes op de CD/DVD.

*Edit: linkje naar Tiger software: http://www.nongnu.org/tiger/

[Reactie gewijzigd door Elmo_nl op 23 juli 2024 14:48]

Singular1ty @DaSt1986 • 14 september 2011 11:09

Je hebt maar 1 torrent programma nodig als het goed is, uTorrent bevalt mij tot dusver prima. De bergen malware die je binnenhaalt zullen eerder van doen hebben met wat jij met behulp van zo'n programma in huis haalt, dan aan het programma zelf...

Dat dit gebeurt is natuurlijk jammer, dat hackers dusdanig kunnen inbreken dat ze je installer package kunnen vervangen geeft aan dat er iets flink was met hun beveiliging, en voor een programma dat door duizenden mensen dagelijks gebruikt word is dit onacceptabel. Aan de andere kant had dit net zo goed Limewire of Bittorrent kunnen zijn dus ja, shit happens. Scareware is best hinderlijk en uit ervaring weet ik dat je er soms ook lastig vanaf komt, maar het is minder erg dan een of ander nuke system32 virus.

pim @DaSt1986 • 14 september 2011 10:21

Als de website te hacken is, dan is die controle ook zo aan te passen..
jouw schijnveiligheid zou dus ook niet werken.

Beerkeeper 14 september 2011 10:00

Wanneer was dit voorgevallen? Ik heb namelijk recent uTorrent gedownload maar geen rare meldingen gezien.

Ook handig voor informatie naar anderen

This morning at approximately 4:20 a.m. Pacific Daylight Time (UTC -7), the uTorrent.com and BitTorrent.com Web servers were compromised. Our standard Windows software download was replaced with a type of fake antivirus “scareware” program.
Just after 6:00 a.m. Pacific time, we took the affected servers offline to neutralize the threat. Our servers are now back online and functioning normally.

13 September dus

Gevonden

[Reactie gewijzigd door Beerkeeper op 23 juli 2024 14:48]

Limaad @Beerkeeper • 14 september 2011 10:01

Scareware zorgt er wel voor dat het gezien wordt. Dus heb je het niet gezien? Dan heb je het ook niet.

Yezpahr @Limaad • 14 september 2011 19:44

Inderdaad, scareware zorgt er wel voor dat het gezien word, maar juist daarom snap ik niet dat het schaapvolk gewoon doorgaat met naar scareware te luisteren.

Hebben ze na 10 jaar NOG niet door dat zomaar-plotsklapseling-geïnstalleerde programma's altijd troep is? Het ligt niet aan de mentaliteit.

Echt niet, het ligt niet aan de persoon, maar aan hoe de èchte programma's worden aangeprezen. Namelijk met nadrukkelijk uitvoerig vermelden op elke site dat ze GEEN spyware bevatten GEEN trojans en GEEN crap/spy/junkware.
Dat zo'n melding dan plotseling NIET te zien is bij de eindgebruiker, drukt de eindgebruiker in een schijnwereld van veiligheid.
Ze *weten* zeker dat het programmaatje wel deugt, omdat ze tòch virussen opruimen (denken ze).

*edit*
Paar F-words verwijderd ^.^

[Reactie gewijzigd door Yezpahr op 23 juli 2024 14:48]

Schway 14 september 2011 10:00

Telt dit ook voor updates en de beta software?

Xirt @Schway • 14 september 2011 11:13

Zover ik begrijp uit de eerste reactie op deze pagina (van Beerkeeper) gaat het om de 'standard' download (dat is dus de full installer) en zijn andere versies niet besmet. Je kan er ook van uit gaan dat je de scareware niet hebt als je het 'Security Shield'-scherm niet gehad hebt.

Verwijderd 14 september 2011 10:13

Die scareware zegt zeker steeds:

"Piraterij is diefstal" ed. ?

Turdburgler @Verwijderd • 14 september 2011 10:31

Of zo iets als "U steelt, wij weten u te vinden, klik hier om per download 100 euro aan ons af te dragen"

OT: Ik vind twee uur best snel, ook fijn dat ze het erg snel melden geeft me het gevoel dat ik veiliger zit dan bij de overheid die stug volhoud dat Griekenland toch niet failliet gaat. O toch wel sorry... misschien een vreemde analogie maar ik weet tenminste waar ik aan toe ben.

Ero-Sensei 14 september 2011 11:06

Binnen twee uur is gewoon snel hoor. Sterker nog, de gemiddelde inbreken kan twee uur in jouw huis vertoeven voordat jij er wakker van wordt.

MicGlou 14 september 2011 11:16

Ik mis nog wat belangrijke informatie... hoeveel downloads zijn er in die korte tijdsduur geweest? 10.. 100... 1000? Hoeveel mensen hebben er dus potentieel schade van opgelopen.

Martindo 14 september 2011 12:23

Snelle reactie van uTorrent, binnen twee uur de website offline gehaald. Maar er zijn vast aardig wat mensen die de besmette versie hebben binnengehaald.

Rigs 14 september 2011 10:12

scareware ik wist wat het was maar de naam scareware is de eerste keer dat ik dit hoor :-)

Nou ik kan uit ervaring zeggen dat veel mensen door een stukje scareware de meest zotte dingen gaan doen, om nog maar te zwijgen om dan effectief te gaan betalen om de zogezegde virus/trojan meldingen te verwijderen..

in de meeste gevallen werkt malwarebytes wel bij deze toestanden, en anders de hulp van google welke locaties de bestanden zich bevinden met diep register remove erbij.

Xirt @Rigs • 14 september 2011 11:18

Er zijn voor Security Shield genoeg bronnen beschikbaar met informatie over hoe deze software verwijderd moet worden. Bijvoorbeeld een filmpje op Youtube (klik) en de volgende pagina: klik.

T-Forever @Rigs • 14 september 2011 18:51

Windows heeft ook een tool die alle windows bestanden nagaat en of hierin actieve malicious software aanwezig is veranderd die weer naar het origineel. Heb dit laatste nog gebruikt.

Malicious Software Removal Tool
http://support.microsoft.com/kb/890830

Verwijderd 14 september 2011 10:38

Ter geruststelling voor Mac OS X gebruikers: het betreft uitsluitend de Windows client!

This morning at approximately 4:20 a.m. Pacific Daylight Time (UTC -7), the uTorrent.com and BitTorrent.com Web servers were compromised. Our standard Windows software download was replaced with a type of fake antivirus “scareware” program.

emphasis mine

Shadowron 14 september 2011 10:41

Hier had ik gisteren dus ook al last van. De eerste keer dat ik de geïnfecteerde versie binnen hield was om half 2 Nederlandse tijd. De website was zelfs om 3 uur nog bereikbaar. Snel ontdekt is volgens mij iets heel anders.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: