Website FD.nl serveert malware

De website van het Financiële Dagblad heeft malware aangeboden. Het zou gaan om een trojan die via een iframe Windows-pc's probeert te besmetten. Alleen gebruikers die de site met Internet Explorer bezoeken zouden kwetsbaar zijn.

Volgens Webwereld maakt de malware gebruik van een iframe die op FD.nl gebruikt wordt om advertenties van een adserver in te laden. Het zou gaan om de trojan Mal_Hifrm. De malware poogt na installatie nog meer kwaadaardige code op een besmet systeem te installeren. Alleen gebruikers die FD.nl met Internet Explorer bezoeken zouden kwetsbaar zijn voor de trojan. Ook slaan bijgewerkte virusscanners alarm als de malware wordt aangetroffen.

Het FD heeft nog niet gereageerd op de zaak. Het is echter niet de eerste website van een krant die te kampen heeft met malware. In oktober wisten hackers via een advertentienetwerk onder andere op de websites van uitgever Wegener malware te verspreiden. Een server van het bedrijf CoolConcepts zou daarbij zijn gebruikt.

Door Dimitri Reijerman

Redacteur

Feedback • 29-11-2011 21:15 68

29-11-2011 • 21:15

68

Lees meer

Telegraaf.nl serveert bezoekers malware - update
Telegraaf.nl serveert bezoekers malware - update Nieuws van 6 september 2012
Hoerenlopersforum Hookers.nl geïnjecteerd met malware
Hoerenlopersforum Hookers.nl geïnjecteerd met malware Nieuws van 19 november 2011
Wampserver-site bevatte redirect naar malware
Wampserver-site bevatte redirect naar malware Nieuws van 2 november 2011
Hackers besmetten Nederlandse internetters via advertentienetwerk
Hackers besmetten Nederlandse internetters via advertentienetwerk Nieuws van 3 oktober 2011
Website MySQL serveerde malware
Website MySQL serveerde malware Nieuws van 26 september 2011
Restaurantsite iens.nl verspreidde korte tijd malware
Restaurantsite iens.nl verspreidde korte tijd malware Nieuws van 14 juli 2011
Lenovo-site heeft malware verspreid
Lenovo-site heeft malware verspreid Nieuws van 22 juni 2010
Duizenden websites vallen ten prooi aan hackers in massale aanval
Duizenden websites vallen ten prooi aan hackers in massale aanval Nieuws van 15 maart 2008
Meer producten en artikelen
Websites en community's Privacy Beveiliging Hackers

Reacties (66)

-Moderatie-faq
66
58
24
1
0
21
Wijzig sortering
SYQ 29 november 2011 21:33
Nou nou, om nu gelijk FD als schuldige aan te wijzen..

Komt er ook een artikel wanneer er trojan meldingen komen op tweakers wanneer een willekeurig partij verkeerde banners aanlevert?


http://gathering.tweakers...&where=Dit+forum#hitstart
crisp Senior Developer @SYQ29 november 2011 23:07
Komt er ook een artikel wanneer er trojan meldingen komen op tweakers wanneer een willekeurig partij verkeerde banners aanlevert?
Ja, waarschijnlijk wel ;) Sterker nog: het is ook al een keer voorgekomen op Tweakers.net, een jaar of 5 geleden. We hebben toen heel rap alle banners tijdelijk uitgezet :P
http://gathering.tweakers...&where=Dit+forum#hitstart
Ja, en wat wou je hiermee zeggen? De meeste topics gaan over false positives, mensen die zelf een virus bleken te hebben of Googles paranoide malware detectie (in Chrome bijvoorbeeld)...
inooid 29 november 2011 21:19
Het is overduidelijk dat Internet Explorer weer de zwakke schakel is. Gelukkig dat de (bijgewerkte) virusscanners deze malware wél kunnen opsporen! Het wordt tijd dat Microsoft de ogen gaat openen en de IE integratie met Windows iets moet gaan verminderen. Via IE kunnen hackers namelijk gemakkelijk het besturingssysteem doordringen aangezien het nauw samenwerkt.
Jegorex @inooid29 november 2011 21:24
IE is nog steeds de meest gebruikte browser. Virus schrijvers zullen dus eerst gaten in IE proberen te gebruiken voordat ze "support" voor andere browsers leveren.
RielN @Jegorex29 november 2011 21:28
Helemaal niet de meest gebruikte. Al LANG niet meer.

http://www.w3schools.com/browsers/browsers_stats.asp
Switchie @RielN29 november 2011 21:35
Toch vind ik dit een tamelijk slim uitgekiende hack.
Dat deze zich richt op IE-gebruikers is mijns inziens niet eens zo heel vreemd.
FD zal voornamelijk zakenmensen trekken;
Zakenmensen > laptop van de zaak > verouderde IE > veel bekende bugs
piderman @RielN29 november 2011 21:36
W3Schools is a website for people with an interest for web technologies. These people are more interested in using alternative browsers than the average user. The average user tends to the browser that comes preinstalled with their computer, and do not seek out other browser alternatives.

These facts indicate that the browser figures above are not 100% realistic. Other web sites have statistics showing that Internet Explorer is a more popular browser.

Anyway, our data, collected from W3Schools' log-files, over many years, clearly shows the long and medium-term trends.
Je kunt dit soort trends nooit afleiden van één enkele site. Je zult een aantal grote moeten nemen zoals google, facebook en amazon en die dan middelen. En dan heb je het nog steeds voornamelijk over de westerse wereld. China zal vast weer een compleet ander plaatje laten zien.
RobertMe @RielN29 november 2011 21:39
W3Schools is a website for people with an interest for web technologies. These people are more interested in using alternative browsers than the average user. The average user tends to the browser that comes preinstalled with their computer, and do not seek out other browser alternatives.

These facts indicate that the browser figures above are not 100% realistic. Other web sites have statistics showing that Internet Explorer is a more popular browser.
Oftewel, de statistieken van w3schools zijn van de site w3schools.com zelf, en wat voor bezoekers zouden daar het meeste komen? Hmm, webdevelopers, en hmm, die zullen wel andere browsers gebruiken. Bron die normaliter wel als goed worden geaccepteerd zijn de statistieken van Statcounter: http://gs.statcounter.com/

Ontopic:
Ik denk niet dat dit probleem direct in IE hoeft te zitten. Ong. elke browser heeft wel last (gehad) van security issues waarmee remote code geïnjecteerd kon worden. Soms zelfs met omzeiling van Windows Vista's & 7s UAC en DEP beveiligingen. In IE is het daarentegen wel "makkelijker" omdat IE met ActiveX een plugin interface heeft die doordringt tot diep in Windows (de oude Windows Update bv. die alleen via ActiveX runde). Als IE dus een lek in het ActiveX deel heeft is het veel makkelijker om andere (verkeerde) dingen met het systeem te doen. Omdat ActiveX dus al een makkelijke interface tot alles wat Windows kan is.
DJMaze @RobertMe29 november 2011 21:53
En is het niet zo dat mensen met Firefox en Chrome, Statcounter blokkeren via AdBlock+ en andere exensies.
Dus hoe betrouwbaar is dat dan?
piratepraat @DJMaze29 november 2011 23:17
Inderdaad. Dat vroeg ik mezelf ook af. Adblockplus is juist een reden dat veel mensen firefox nemen.


Trouwens een mac nemen tegen virussen werkt ook goed tot op heden.
Verwijderd @RobertMe29 november 2011 22:52
http://w3fools.com/
Verwijderd @RielN29 november 2011 21:44
IE is wel de meeste gebruikte browser:

http://en.wikipedia.org/w..._(Source_StatCounter).svg
AmigaWolf @Verwijderd30 november 2011 00:40
Ja want wikipedia heeft het nooit fout 8)7
Verwijderd @inooid29 november 2011 21:40
Het is overduidelijk dat Internet Explorer weer de zwakke schakel is.
Helaas geeft webwereld geen verdere informatie dan het volgende:
De malware is al in de zomer van 2008 in het wild door Trend Micro ontdekt.
Maar het zou mij niet verbazen als het probleem dan ook al in Internet Explorer opgelost is - in welk geval de zwakke schakel toch echt de gebruiker zou moeten zijn die z'n IE niet update.

Verder heb je op zich wel gelijk, maar heeft het niet zozeer met de integratie in Windows te maken - exploits voor Adobe Reader of Flash gaan immers ook gewoon hun gang of de plugin nou onder IE of onder FireFox, Chrome, whatever draait. Is meer een beveiligingsprobleem binnen Windows an sich dat een stuk malware zich weet te installeren zonder bijv. de UAC prompt (en aangezien Chrome zichzelf ook doodleuk installeert zonder UAC prompt is dat ook niet zo bijzonder moeilijk - ook al heeft alleen de huidige gebruiker er dan last van, een botnet zombie/whatever wordt het toch wel).
SuperDre
@inooid29 november 2011 21:41
Sorry hoor, maar Chrome, FireFox, Opera en Safari zijn ook allemaal zo lek als een mandje.. alleen omdat IE de nog steeds meest gebruikte browser is zal die sneller getarget worden.
Enuh, zo simpel is het ook niet om tot het besturingssysteem door te dringen.
Verwijderd @SuperDre30 november 2011 10:17
Sorry hoor, maar Chrome, FireFox, Opera en Safari zijn ook allemaal zo lek als een mandje.. alleen omdat IE de nog steeds meest gebruikte browser is zal die sneller getarget worden.
Enuh, zo simpel is het ook niet om tot het besturingssysteem door te dringen.
Je software is zo veilig als de host waar het op draait.. ;)
Verwijderd @inooid30 november 2011 00:40
Het is overduidelijk dat Internet Explorer weer de zwakke schakel is. Gelukkig dat de (bijgewerkte) virusscanners deze malware wél kunnen opsporen! Het wordt tijd dat Microsoft de ogen gaat openen en de IE integratie met Windows iets moet gaan verminderen. Via IE kunnen hackers namelijk gemakkelijk het besturingssysteem doordringen aangezien het nauw samenwerkt.
internet explorer zal altijd de zwakste schakel zijn als de meeste mensen het blijven gebruiken. waarom mal/spyware maken voor een browser dat de meerderheid niet gebruikt?
internet explorer is niet het makkelijkst om hacken. het fijt dat er X aantal keer meer mensen een poging doen om internet explorer te kraken is te danken aan de aantal gebruikers (potentiële slachtoffers).

jouw virusscanner kan ook geen mal/spyware opsporen. dat kan alleen als de scanner weet waar die voor moet zoeken (als voorbeeld : je kan een virus maken en een server laten draaien. dat kan je zien als virus. maar wat maakt die virus een virus en niet een programma dat een server draait om welke reden dan ook).

"Via IE kunnen hackers namelijk gemakkelijk het besturingssysteem doordringen aangezien het nauw samenwerkt.", nee. de gebruiker kan even makkelijk op een site komen die hacks gebruiken. vanaf het moment dat buffer overloads of dergelijke mogelijk is kan je even makkelijk het besturingssysteem doordringen. puur omdat na de overload het niets meer met internet explorer te maken heeft (dit kan gebeuren met elke explorer. of elk stuk software). gemakkelijk zal het niet zijn, doordat het veel gebruikt word zal je ook meer pogingen zien,

je moest denk ik een balans vinden tussen : functionaliteit, optimalisaties en veiligheid. als je ene sterker wil maken dan gaat dat ten koste van het ander.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 15:32]

SkyStreaker 29 november 2011 21:25
Kun je iframes niet uitschakelen in IEx om juist dit gedonder tegen te gaan?
Verwijderd @SkyStreaker29 november 2011 21:44
Voor zover ik me herinner niet - je kan wel voorkomen dat bijv. file:// URLs gebruikt kunnen worden voor een iframe, maar een gewone pagina met content (inclusief plugins/script) wordt nog gewoon geladen.

Je kan wel een programma gebruiken om al je HTTP verkeer door te laten lopen die dan de iframes eruit filtert, natuurlijk.

Helaas gebruiken veel sites iframes - denk bijvoorbeeld al eens aan het embedden van een YouTube video - dus het is een afweging die je zal moeten maken.
Dreamvoid @Verwijderd29 november 2011 21:50
Je kan JavaScript uitschakelen.
OddesE @Dreamvoid29 november 2011 22:44
Een iframe is zover ik weet niet afhankelijk van Javascript. Dus afhankelijk van het type exploit helpt dat niet.

Er is bijvoorbeeld eens een JPG exploit geweest waarbij men code kon uitvoeren door een op een specifieke manier beschadigd JPG plaatje aan te bieden. De in Windows ingebakken codec struikelde daar dan over op een manier die de aanvaller in staat stelde om eigen code uit te voeren. Van daaruit kon men dan malware installeren e.d. Tegen zo'n soort exploit helpt Javascript uitschakelen niet.

De relevantie van het iframe is dat deze (HTML/CSS/Javascript) code in de pagina inlaadt vanaf een andere bron dan de pagia zelf. Als deze code zelfs van een andere site afkomt dan legt de oorspronkelijke site zijn veiligheid in handen van die andere website.
Verwijderd @OddesE30 november 2011 03:06
ingebroken worden door corrupte code snap ik dan nog wel (buffer overloads). maar wat maakt het mogelijk om via een iframe een server te beinvloeden? want dit lees ik vaak dat het via xss gehackt word. alleen snap ik het niet op een iets lager niveau (meer daar de essentie). met name dat ik vaak lees dat de server dan gecompromitteerd is. als je via een client een server zodanig data kan sturen dat buiten de regels valt van de normale opgestelde regels. dan is er iets mis met de pagina (of eindeloze hoeveelheid plugins dat het aanboort heeft).

dit is het eeuwen oude verhaal van de strijd tussen functionaliteit, optimalisatie en veiligheid. data=goed, interpreteren van data=grijs... je weet niet welke bedoelingen een applicatie heeft. direct uitvoeren van data=gevaarlijk (wel snel maar een teken dat er geen beveiliging aanwezig is of het systeem zodanig misbruikt kan word dat het buiten die regels valt).

simpler is complexer is simpler.
Saus 29 november 2011 21:28
Het is eigenlijk opmerkelijk dat een webmaster zijn site volledig in handen geeft van een 3rd party ad server. Ik snap dat ads serveren een andere business is als content, maar als webmaster geef je iemand zoveel toegang tot je gebruikers dat het gevaarlijk is. Als serieuze webmaster heb je toch een bepaalde verantwoordelijkheid naar je gebruikers toe mbt veiligheid. De Times heeft in 2009 ook malware geserveerd via rogue-advertenties puur door het vertrouwen van de verkeerde aanbieders bijzonder slordig eigenlijk.
-=bas=- @Saus30 november 2011 03:35
Heel het web steekt op deze manier in elkaar.
Er zijn bijna geen grote sites die zelf alle advertenties beheren en serveren.
De opmerking 'bijzonder slordig' geeft denk ik al aan dat je niet werkzaam bent in deze sector en waarschijnlijk geen benul hebt hoe complex het advertentiewereldje in elkaar zit.
Je hebt als grote site helemaal geen grip op wat er uiteindelijk in je advertentieruimte komt indien je niet in zee wenst te gaan met een premium advertentienetwerk.
Je kan meestal net wat meer centjes krijgen door in zee te gaan met minder betrouwbare netwerken waardoor je dan soms met dit soort ellende te maken krijgt.
Soms gaat een advertentie door wel 5~6 handen heen voordat iemand er iets in zet.
Via slimme truuks (cloaking & targetting) weten partijen met slechte bedoelingen dan ook dit soort malware verspreiding voor elkaar te krijgen.
Ook kan het zijn dat ze daadwerkelijk de site van FD hebben gehacked en een iframe voor advertenties misbruiken.
Saus @-=bas=-30 november 2011 09:05
De opmerking 'bijzonder slordig' geeft denk ik al aan dat je niet werkzaam bent in deze sector en waarschijnlijk geen benul hebt hoe complex het advertentiewereldje in elkaar zit.
Mijn opmerking bijzonder slordig ging over het serveren van malware van de NY Times omdat ze een verkeerde partij full control gaven na 1 succesvolle deal. Ik neem aan dat jij als advertentiegoeroe het er ook mee eens bent dat dat slordig is?

De Times werd benaderd door een 'reclamebureau' dat namens een grote naam wat ad-ruimte wilde inkopen. Zo gezegd zo gedaan, ad heeft een periode gedraaid, rekeningen betaald en klaar. 3 maanden laten rusten en toen heeft de malwareverspreider opnieuw contact opgenomen om nog eens een advertentie te runnen op de FP van de Times. Alleen wilde het reclamebureau de ad zelf hosten vanwege verschillende redenen (stats, etc.) en de Times heeft daar geen seconde aan getwijfeld. 4 uur nadat de ad is geplaatst is de ad vervangen door een javascript et voila..... Mijn inziens bijzonder slordig om zo te werk te gaan als je zo'n grote site runned op basis van een enkele deal.
Ramon 29 november 2011 23:32
Alleen gebruikers die Fd.nl met Internet Explorer bezoeken zouden kwetsbaar zijn voor de trojan.
Er zit nogal een verschil tussen IE 5.5 of IE 9. Jammer dat dat niet gespecificeerd wordt.
alt-92 @Ramon30 november 2011 08:37
Maar dat scoort niet zoveel hits.
Bullet NL 29 november 2011 21:21
Volgens mij gaat dit alleen op voor oudere versies dan IE9
Afijn, met een goed antivirus programma had je sowiezo nergens last van.

Wat ik niet begrijp is dat bedrijven nog steeds met adservers werken waarvan ze weten dat de software versie mogelijk toegang geven tot deze maleware
RRRobert @Bullet NL29 november 2011 21:28
Volgens mij gaat dit alleen op voor oudere versies dan IE9
Afijn, met een goed antivirus programma had je sowiezo nergens last van.

Wat ik niet begrijp is dat bedrijven nog steeds met adservers werken waarvan ze weten dat de software versie mogelijk toegang geven tot deze maleware
Tja, dergelijke naïviteit is net zo veel voorkomend als de internettende lezers aan de andere kant die zichzelf veilig wanen omdat zij "nooit iets illegaal downloaden".
madcow22 @locke96030 november 2011 02:21
Gebruik zelf de add/script blocker die in IE9 zit en heb standaard active-x block aan staan.
cmndr_adama 29 november 2011 23:19
Gelukkig heb ik hier met Opera dus geen last van gehad.. aangezien elke dag op fd.nl zit :)
Wijnands 30 november 2011 10:07
fd.nl.... waren die ook niet vrij fanatieke spammers totdat het eindelijk bij wet verboden werd?
Verwijderd 30 november 2011 10:21
Het FD heeft nog niet gereageerd op de zaak.
Ja ze gaan toegeven dat ze hun software waren vergeten te updaten :X
blouweKip 29 november 2011 21:38
Ter info, ze serveren deze al een tijdje (minstens een paar maanden).
-=bas=- @Verwijderd30 november 2011 03:37
Je kan met wat slimme technieken het redelijk goed verbergen.
Als je weet dat het hoofdkantoor van FD in Amsterdam zit dan exclude je gewoon alle Amsterdam IP adres ranges.
Dan is het een stuk lastiger om te produceren en wordt er vaak verder niet meer naar omgekeken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq