Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers kraken µTorrent-site en plaatsen malware in installer

Door , 65 reacties, submitter: Slurpgeit

Door een inbraak op de utorrent.com-website zijn onbekenden er in geslaagd om de installer van de bittorrent client te vervangen door een exemplaar met malware. Volgens µTorrent-eigenaar Bittorrent.com gaat het om scareware.

De µTorrent-installer die de malware bevatte, zou circa twee uur op de servers van utorrent.com hebben gestaan nadat hackers de webserver van de populaire bittorrent-client wisten te kraken, zo meldt Bittorrent.com op zijn blog. Gebruikers die de besmette µTorrent-client installeerden, kregen een programma met de naam Security Shield voor hun neus. Deze scareware toont valse meldingen dat er virussen gedetecteerd zijn en vraagt de gebruiker geld om de niet bestaande virussen te kunnen 'verwijderen'.

Volgens Bittorrent werd de hack van de website snel ontdekt en is de website korte tijd uit de lucht gehaald om de malware te verwijderen en gaten in de beveiliging te dichten. Eerdere meldingen dat ook bittorrent.com gekraakt is, kloppen volgens het bedrijf niet. Ook de zogeheten mainline-client zou niet zijn besmet. Inmiddels is de µTorrent-website weer in de lucht.

Door Dimitri Reijerman

Redacteur

14-09-2011 • 09:56

65 Linkedin Google+

Submitter: Slurpgeit

Reacties (65)

Wijzig sortering
Persoonlijk zou ik, als ik een bekend programma zoals uTorrent had gemaakt, deze iedere avond ofzo door middel van een Md5 / SHA1 hash controleren of het file niet aangepast is. Dit is echt hele negatieve publiciteit en ik vraag me af of uTorrent hier goed vanaf gaat komen. Persoonlijk zou ik voorzichtig worden met uTorrent, zeker omdat ik bij heel veel Torrent programma's al het gevoel heb een berg malware naar binnen te halen.
Persoonlijk zou ik voorzichtig worden met uTorrent, zeker omdat ik bij heel veel Torrent programma's al het gevoel heb een berg malware naar binnen te halen.
Veel van die clients zullen misschien extra software aanbieden (die irritante toolbars bv), je moet gewoon zien dat je tijdens de installatie die vinkjes uitvinkt. Het is meestal door die reclame dat ze inkomsten kunnen krijgen. Als ze een berg malware zouden binnen halen zonder gebruikerstoestemming zouden ze volgens mij niet zo populair zijn...

En goh, het is deze nacht gebeurd en we krijgen er nu al 'let op' meldingen. Is dat zo negatief? Als het nu al een paar dagen/weken geleden was had ik ondertussen uTorrent er af gesmeten. Maar met deze snelle melding blijft deze er gewoon op staan hoor. Wanneer wordt er tegenwoordig iets niet gehackt? :P
Het is niet alsof het heel veel werk is je bestanden automatisch te laten controleren, dat kun je snel en gemakkelijk opzetten.
Het is inderdaad niet zoveel werk om deze automatisch te laten scannen, maar ga jij dat om de minuut doen dan? Want als je dat iedere avond doet zoals je zegt in je eerste post, is de kans er nog altijd dat ze je pas na de controle hacken. Ik denk dat de reactie van uTorrent snel genoeg was. Iets zeggen is 1 ding, het hun nadoen wil ik wel eens zien. ;)

edit2: Behalve als je het bestand wil gaan scannen elke keer als iemand het download. Ik kan er helaas geen ervaring of know-how over delen. Het zou me dan logisch lijken dat dat wel heel wat meer serverkracht vereist. Hou er ook rekening mee dat dit nog altijd een gratis programma is.

edit: typo's

[Reactie gewijzigd door Rinzler op 14 september 2011 15:06]

Je bedoeld 'lees gewoon goed voor je iets installeerd'

Ik heb al verschillende installs meegemaakt waar je de vinkjes aan moest zetten om geen nutteloze software mee ge-installeerd te krijgen.

En worden downloads niet standaard bekeken tegenwoordig met recente virus scanners?
Sever side als er al een check in zit wordt er normaal gekeken naar het aantal bits of iets dergelijks en vergelijk die met het originele en het is snel te zien of er 'iets' mee aan de hand is.

Kan er ook naast zitten natuurlijk =p
Je kan natuurlijk ook overdrijven.

Hackers zijn er nu eenmaal.. Daar doe je niets aan. En als het 2 uur online heeft gestaan, dan zijn ze er nog snel achtergekomen.
Morgen ben ik dit al vergeten.
Ja, jij bent het vergeten, maar veel mensen ook niet. En ja, wellicht is het overdrijven, maar om een beetje reputatie te houden zou ik persoonlijk toch wel iets meer moeite willen doen. Het is niet alsof het heel veel werk is je bestanden automatisch te laten controleren, dat kun je snel en gemakkelijk opzetten.
Erhm.. heb jij het artikel wel goed gelezen? Jij beweert dat je elke avond zou controleren dus om het 24 uur. bij uTorrent hebben ze het binnen 2 uur gevonden, waarschijnlijk sneller dan als je elke avond zou controleert. Dus ik vind dat ze dit netjes hebben gedaan!

Natuurlijk is het altijd smerig als een service gekraakt/gehackt word, maar goed ik geloof dat er overal wel een manier is om in te breken. Je kunt jezelf net zo goed beveiligen maar er is altijd een kans dat ze ooit een keer binnen komen.
Wel smerig ja, maar wanneer jouw programma belangrijk genoeg wordt om te hacken, mag je anderzijds jezelf ook wel weer op de schouder kloppen - dan doe je toch iets goed :)
Ze hebben het binnen twee uur opgelost. Iets zegt mij dat er al een automatische controle plaats vond.
Misschien doen ze dat ook wel, de bestanden hebben er maar 2 uur op gestaan.
Wellicht doen ze dit ook, de besmette file heeft immers maar 2 uur online gestaan.

spuit 11, wel grappig dat Gert en ik hier ook bijna exact dezelfde zin voor gebruiken :+

[Reactie gewijzigd door Stevie-P op 14 september 2011 10:07]

great minds think alike.....

srry dat moest even... mod maar weg ;)
Dit is echt hele negatieve publiciteit en ik vraag me af of uTorrent hier goed vanaf gaat komen.
Dit is wel erg overdreven.
Ik las het stukje, bedacht me dat ik nog een oude versie gebruik en klaar.
Ik zal ook zeker gewoon een nieuwe versie in de toekomst gebruiken.

Wees blij dat ze het vinden en melden, dit is misschien bij andere clients niet het geval en werk je al enige tijd met een virus/malware/etc. ;)
dan nog wat wil een Md5/SHA1 hash doen, als een hacker al in het systeem is past hij ook ff de hash aan naar zijn versie.

Vind het een goede zaak dat ze het al met 2 uur hebben opgemerkt en er een fix op hebben gezet.
Het is niet moeilijk het voor een hacker praktisch onmogelijk te maken de hashes van je belangrijke systeembestanden te wijzigen zonder dat dit opvalt. De oplossing (voor redelijk statische (web)sites) is: maak offline je systeem klaar. Natuurlijk is het belangrijk dat je een 'schone' basis hebt en betrouwbare installatie files. Maak hashes van je belangrijke bestanden. Brand deze op een CD/DVD. Verhuis deze CD/DVD naar een read-only CD/DVD lezer in het doelsysteem en laat een programma om de x minuten de hash van de systeemfiles vergelijken met de CD/DVD. Je kunt om snelheidswinst te behalen ook kiezen voor een USB stick waarvan je hardwarematig een schakelaar kunt omzetten naar read/write. Persoonlijk heb ik op mijn Linux server dan Tiger draaien die de hashes van mijn server vergelijkt met de hashes op de CD/DVD.

*Edit: linkje naar Tiger software: http://www.nongnu.org/tiger/

[Reactie gewijzigd door Elmo_nl op 14 september 2011 18:17]

Je hebt maar 1 torrent programma nodig als het goed is, uTorrent bevalt mij tot dusver prima. De bergen malware die je binnenhaalt zullen eerder van doen hebben met wat jij met behulp van zo'n programma in huis haalt, dan aan het programma zelf...

Dat dit gebeurt is natuurlijk jammer, dat hackers dusdanig kunnen inbreken dat ze je installer package kunnen vervangen geeft aan dat er iets flink was met hun beveiliging, en voor een programma dat door duizenden mensen dagelijks gebruikt word is dit onacceptabel. Aan de andere kant had dit net zo goed Limewire of Bittorrent kunnen zijn dus ja, shit happens. Scareware is best hinderlijk en uit ervaring weet ik dat je er soms ook lastig vanaf komt, maar het is minder erg dan een of ander nuke system32 virus.
Als de website te hacken is, dan is die controle ook zo aan te passen..
jouw schijnveiligheid zou dus ook niet werken.
Wanneer was dit voorgevallen? Ik heb namelijk recent uTorrent gedownload maar geen rare meldingen gezien.

Ook handig voor informatie naar anderen :)

This morning at approximately 4:20 a.m. Pacific Daylight Time (UTC -7), the uTorrent.com and BitTorrent.com Web servers were compromised. Our standard Windows software download was replaced with a type of fake antivirus “scareware” program.
Just after 6:00 a.m. Pacific time, we took the affected servers offline to neutralize the threat. Our servers are now back online and functioning normally.


13 September dus

Gevonden :)

[Reactie gewijzigd door Beerkeeper op 14 september 2011 10:02]

Scareware zorgt er wel voor dat het gezien wordt. Dus heb je het niet gezien? Dan heb je het ook niet.
Inderdaad, scareware zorgt er wel voor dat het gezien word, maar juist daarom snap ik niet dat het schaapvolk gewoon doorgaat met naar scareware te luisteren.

Hebben ze na 10 jaar NOG niet door dat zomaar-plotsklapseling-geïnstalleerde programma's altijd troep is? Het ligt niet aan de mentaliteit.

Echt niet, het ligt niet aan de persoon, maar aan hoe de èchte programma's worden aangeprezen. Namelijk met nadrukkelijk uitvoerig vermelden op elke site dat ze GEEN spyware bevatten GEEN trojans en GEEN crap/spy/junkware.
Dat zo'n melding dan plotseling NIET te zien is bij de eindgebruiker, drukt de eindgebruiker in een schijnwereld van veiligheid.
Ze *weten* zeker dat het programmaatje wel deugt, omdat ze tòch virussen opruimen (denken ze).

*edit*
Paar F-words verwijderd ^.^

[Reactie gewijzigd door Yezpahr op 14 september 2011 19:45]

Telt dit ook voor updates en de beta software?
Zover ik begrijp uit de eerste reactie op deze pagina (van Beerkeeper) gaat het om de 'standard' download (dat is dus de full installer) en zijn andere versies niet besmet. Je kan er ook van uit gaan dat je de scareware niet hebt als je het 'Security Shield'-scherm niet gehad hebt.
Die scareware zegt zeker steeds:

"Piraterij is diefstal" ed. ? :+
Of zo iets als "U steelt, wij weten u te vinden, klik hier om per download 100 euro aan ons af te dragen"

OT: Ik vind twee uur best snel, ook fijn dat ze het erg snel melden geeft me het gevoel dat ik veiliger zit dan bij de overheid die stug volhoud dat Griekenland toch niet failliet gaat. O toch wel sorry... misschien een vreemde analogie maar ik weet tenminste waar ik aan toe ben.
Binnen twee uur is gewoon snel hoor. Sterker nog, de gemiddelde inbreken kan twee uur in jouw huis vertoeven voordat jij er wakker van wordt.
Ik mis nog wat belangrijke informatie... hoeveel downloads zijn er in die korte tijdsduur geweest? 10.. 100... 1000? Hoeveel mensen hebben er dus potentieel schade van opgelopen.
Snelle reactie van uTorrent, binnen twee uur de website offline gehaald. Maar er zijn vast aardig wat mensen die de besmette versie hebben binnengehaald.
scareware ik wist wat het was maar de naam scareware is de eerste keer dat ik dit hoor :-)

Nou ik kan uit ervaring zeggen dat veel mensen door een stukje scareware de meest zotte dingen gaan doen, om nog maar te zwijgen om dan effectief te gaan betalen om de zogezegde virus/trojan meldingen te verwijderen..

in de meeste gevallen werkt malwarebytes wel bij deze toestanden, en anders de hulp van google welke locaties de bestanden zich bevinden met diep register remove erbij.
Er zijn voor Security Shield genoeg bronnen beschikbaar met informatie over hoe deze software verwijderd moet worden. Bijvoorbeeld een filmpje op Youtube (klik) en de volgende pagina: klik.
Windows heeft ook een tool die alle windows bestanden nagaat en of hierin actieve malicious software aanwezig is veranderd die weer naar het origineel. Heb dit laatste nog gebruikt.

Malicious Software Removal Tool
http://support.microsoft.com/kb/890830
Ter geruststelling voor Mac OS X gebruikers: het betreft uitsluitend de Windows client!
This morning at approximately 4:20 a.m. Pacific Daylight Time (UTC -7), the uTorrent.com and BitTorrent.com Web servers were compromised. Our standard Windows software download was replaced with a type of fake antivirus “scareware” program.
emphasis mine
Hier had ik gisteren dus ook al last van. De eerste keer dat ik de geïnfecteerde versie binnen hield was om half 2 Nederlandse tijd. De website was zelfs om 3 uur nog bereikbaar. Snel ontdekt is volgens mij iets heel anders.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*