Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

De website van het FinanciŽle Dagblad heeft malware aangeboden. Het zou gaan om een trojan die via een iframe Windows-pc's probeert te besmetten. Alleen gebruikers die de site met Internet Explorer bezoeken zouden kwetsbaar zijn.

Volgens Webwereld maakt de malware gebruik van een iframe die op FD.nl gebruikt wordt om advertenties van een adserver in te laden. Het zou gaan om de trojan Mal_Hifrm. De malware poogt na installatie nog meer kwaadaardige code op een besmet systeem te installeren. Alleen gebruikers die FD.nl met Internet Explorer bezoeken zouden kwetsbaar zijn voor de trojan. Ook slaan bijgewerkte virusscanners alarm als de malware wordt aangetroffen.

Het FD heeft nog niet gereageerd op de zaak. Het is echter niet de eerste website van een krant die te kampen heeft met malware. In oktober wisten hackers via een advertentienetwerk onder andere op de websites van uitgever Wegener malware te verspreiden. Een server van het bedrijf CoolConcepts zou daarbij zijn gebruikt.

Moderatie-faq Wijzig weergave

Reacties (68)

Nou nou, om nu gelijk FD als schuldige aan te wijzen..

Komt er ook een artikel wanneer er trojan meldingen komen op tweakers wanneer een willekeurig partij verkeerde banners aanlevert?


http://gathering.tweakers...&where=Dit+forum#hitstart
Komt er ook een artikel wanneer er trojan meldingen komen op tweakers wanneer een willekeurig partij verkeerde banners aanlevert?
Ja, waarschijnlijk wel ;) Sterker nog: het is ook al een keer voorgekomen op Tweakers.net, een jaar of 5 geleden. We hebben toen heel rap alle banners tijdelijk uitgezet :P
Ja, en wat wou je hiermee zeggen? De meeste topics gaan over false positives, mensen die zelf een virus bleken te hebben of Googles paranoide malware detectie (in Chrome bijvoorbeeld)...
Het is overduidelijk dat Internet Explorer weer de zwakke schakel is. Gelukkig dat de (bijgewerkte) virusscanners deze malware wťl kunnen opsporen! Het wordt tijd dat Microsoft de ogen gaat openen en de IE integratie met Windows iets moet gaan verminderen. Via IE kunnen hackers namelijk gemakkelijk het besturingssysteem doordringen aangezien het nauw samenwerkt.
IE is nog steeds de meest gebruikte browser. Virus schrijvers zullen dus eerst gaten in IE proberen te gebruiken voordat ze "support" voor andere browsers leveren.
Helemaal niet de meest gebruikte. Al LANG niet meer.

http://www.w3schools.com/browsers/browsers_stats.asp
Toch vind ik dit een tamelijk slim uitgekiende hack.
Dat deze zich richt op IE-gebruikers is mijns inziens niet eens zo heel vreemd.
FD zal voornamelijk zakenmensen trekken;
Zakenmensen > laptop van de zaak > verouderde IE > veel bekende bugs
W3Schools is a website for people with an interest for web technologies. These people are more interested in using alternative browsers than the average user. The average user tends to the browser that comes preinstalled with their computer, and do not seek out other browser alternatives.

These facts indicate that the browser figures above are not 100% realistic. Other web sites have statistics showing that Internet Explorer is a more popular browser.

Anyway, our data, collected from W3Schools' log-files, over many years, clearly shows the long and medium-term trends.
Je kunt dit soort trends nooit afleiden van ťťn enkele site. Je zult een aantal grote moeten nemen zoals google, facebook en amazon en die dan middelen. En dan heb je het nog steeds voornamelijk over de westerse wereld. China zal vast weer een compleet ander plaatje laten zien.
W3Schools is a website for people with an interest for web technologies. These people are more interested in using alternative browsers than the average user. The average user tends to the browser that comes preinstalled with their computer, and do not seek out other browser alternatives.

These facts indicate that the browser figures above are not 100% realistic. Other web sites have statistics showing that Internet Explorer is a more popular browser.
Oftewel, de statistieken van w3schools zijn van de site w3schools.com zelf, en wat voor bezoekers zouden daar het meeste komen? Hmm, webdevelopers, en hmm, die zullen wel andere browsers gebruiken. Bron die normaliter wel als goed worden geaccepteerd zijn de statistieken van Statcounter: http://gs.statcounter.com/

Ontopic:
Ik denk niet dat dit probleem direct in IE hoeft te zitten. Ong. elke browser heeft wel last (gehad) van security issues waarmee remote code geÔnjecteerd kon worden. Soms zelfs met omzeiling van Windows Vista's & 7s UAC en DEP beveiligingen. In IE is het daarentegen wel "makkelijker" omdat IE met ActiveX een plugin interface heeft die doordringt tot diep in Windows (de oude Windows Update bv. die alleen via ActiveX runde). Als IE dus een lek in het ActiveX deel heeft is het veel makkelijker om andere (verkeerde) dingen met het systeem te doen. Omdat ActiveX dus al een makkelijke interface tot alles wat Windows kan is.
En is het niet zo dat mensen met Firefox en Chrome, Statcounter blokkeren via AdBlock+ en andere exensies.
Dus hoe betrouwbaar is dat dan?
Inderdaad. Dat vroeg ik mezelf ook af. Adblockplus is juist een reden dat veel mensen firefox nemen.


Trouwens een mac nemen tegen virussen werkt ook goed tot op heden.
Ja want wikipedia heeft het nooit fout 8)7
Het is overduidelijk dat Internet Explorer weer de zwakke schakel is.
Helaas geeft webwereld geen verdere informatie dan het volgende:
De malware is al in de zomer van 2008 in het wild door Trend Micro ontdekt.
Maar het zou mij niet verbazen als het probleem dan ook al in Internet Explorer opgelost is - in welk geval de zwakke schakel toch echt de gebruiker zou moeten zijn die z'n IE niet update.

Verder heb je op zich wel gelijk, maar heeft het niet zozeer met de integratie in Windows te maken - exploits voor Adobe Reader of Flash gaan immers ook gewoon hun gang of de plugin nou onder IE of onder FireFox, Chrome, whatever draait. Is meer een beveiligingsprobleem binnen Windows an sich dat een stuk malware zich weet te installeren zonder bijv. de UAC prompt (en aangezien Chrome zichzelf ook doodleuk installeert zonder UAC prompt is dat ook niet zo bijzonder moeilijk - ook al heeft alleen de huidige gebruiker er dan last van, een botnet zombie/whatever wordt het toch wel).
Sorry hoor, maar Chrome, FireFox, Opera en Safari zijn ook allemaal zo lek als een mandje.. alleen omdat IE de nog steeds meest gebruikte browser is zal die sneller getarget worden.
Enuh, zo simpel is het ook niet om tot het besturingssysteem door te dringen.
Sorry hoor, maar Chrome, FireFox, Opera en Safari zijn ook allemaal zo lek als een mandje.. alleen omdat IE de nog steeds meest gebruikte browser is zal die sneller getarget worden.
Enuh, zo simpel is het ook niet om tot het besturingssysteem door te dringen.
Je software is zo veilig als de host waar het op draait.. ;)
Het is overduidelijk dat Internet Explorer weer de zwakke schakel is. Gelukkig dat de (bijgewerkte) virusscanners deze malware wťl kunnen opsporen! Het wordt tijd dat Microsoft de ogen gaat openen en de IE integratie met Windows iets moet gaan verminderen. Via IE kunnen hackers namelijk gemakkelijk het besturingssysteem doordringen aangezien het nauw samenwerkt.
internet explorer zal altijd de zwakste schakel zijn als de meeste mensen het blijven gebruiken. waarom mal/spyware maken voor een browser dat de meerderheid niet gebruikt?
internet explorer is niet het makkelijkst om hacken. het fijt dat er X aantal keer meer mensen een poging doen om internet explorer te kraken is te danken aan de aantal gebruikers (potentiŽle slachtoffers).

jouw virusscanner kan ook geen mal/spyware opsporen. dat kan alleen als de scanner weet waar die voor moet zoeken (als voorbeeld : je kan een virus maken en een server laten draaien. dat kan je zien als virus. maar wat maakt die virus een virus en niet een programma dat een server draait om welke reden dan ook).

"Via IE kunnen hackers namelijk gemakkelijk het besturingssysteem doordringen aangezien het nauw samenwerkt.", nee. de gebruiker kan even makkelijk op een site komen die hacks gebruiken. vanaf het moment dat buffer overloads of dergelijke mogelijk is kan je even makkelijk het besturingssysteem doordringen. puur omdat na de overload het niets meer met internet explorer te maken heeft (dit kan gebeuren met elke explorer. of elk stuk software). gemakkelijk zal het niet zijn, doordat het veel gebruikt word zal je ook meer pogingen zien,

je moest denk ik een balans vinden tussen : functionaliteit, optimalisaties en veiligheid. als je ene sterker wil maken dan gaat dat ten koste van het ander.

[Reactie gewijzigd door Madnar op 30 november 2011 00:44]

Kun je iframes niet uitschakelen in IEx om juist dit gedonder tegen te gaan?
Voor zover ik me herinner niet - je kan wel voorkomen dat bijv. file:// URLs gebruikt kunnen worden voor een iframe, maar een gewone pagina met content (inclusief plugins/script) wordt nog gewoon geladen.

Je kan wel een programma gebruiken om al je HTTP verkeer door te laten lopen die dan de iframes eruit filtert, natuurlijk.

Helaas gebruiken veel sites iframes - denk bijvoorbeeld al eens aan het embedden van een YouTube video - dus het is een afweging die je zal moeten maken.
Je kan JavaScript uitschakelen.
Een iframe is zover ik weet niet afhankelijk van Javascript. Dus afhankelijk van het type exploit helpt dat niet.

Er is bijvoorbeeld eens een JPG exploit geweest waarbij men code kon uitvoeren door een op een specifieke manier beschadigd JPG plaatje aan te bieden. De in Windows ingebakken codec struikelde daar dan over op een manier die de aanvaller in staat stelde om eigen code uit te voeren. Van daaruit kon men dan malware installeren e.d. Tegen zo'n soort exploit helpt Javascript uitschakelen niet.

De relevantie van het iframe is dat deze (HTML/CSS/Javascript) code in de pagina inlaadt vanaf een andere bron dan de pagia zelf. Als deze code zelfs van een andere site afkomt dan legt de oorspronkelijke site zijn veiligheid in handen van die andere website.
ingebroken worden door corrupte code snap ik dan nog wel (buffer overloads). maar wat maakt het mogelijk om via een iframe een server te beinvloeden? want dit lees ik vaak dat het via xss gehackt word. alleen snap ik het niet op een iets lager niveau (meer daar de essentie). met name dat ik vaak lees dat de server dan gecompromitteerd is. als je via een client een server zodanig data kan sturen dat buiten de regels valt van de normale opgestelde regels. dan is er iets mis met de pagina (of eindeloze hoeveelheid plugins dat het aanboort heeft).

dit is het eeuwen oude verhaal van de strijd tussen functionaliteit, optimalisatie en veiligheid. data=goed, interpreteren van data=grijs... je weet niet welke bedoelingen een applicatie heeft. direct uitvoeren van data=gevaarlijk (wel snel maar een teken dat er geen beveiliging aanwezig is of het systeem zodanig misbruikt kan word dat het buiten die regels valt).

simpler is complexer is simpler.
Het is eigenlijk opmerkelijk dat een webmaster zijn site volledig in handen geeft van een 3rd party ad server. Ik snap dat ads serveren een andere business is als content, maar als webmaster geef je iemand zoveel toegang tot je gebruikers dat het gevaarlijk is. Als serieuze webmaster heb je toch een bepaalde verantwoordelijkheid naar je gebruikers toe mbt veiligheid. De Times heeft in 2009 ook malware geserveerd via rogue-advertenties puur door het vertrouwen van de verkeerde aanbieders bijzonder slordig eigenlijk.
Heel het web steekt op deze manier in elkaar.
Er zijn bijna geen grote sites die zelf alle advertenties beheren en serveren.
De opmerking 'bijzonder slordig' geeft denk ik al aan dat je niet werkzaam bent in deze sector en waarschijnlijk geen benul hebt hoe complex het advertentiewereldje in elkaar zit.
Je hebt als grote site helemaal geen grip op wat er uiteindelijk in je advertentieruimte komt indien je niet in zee wenst te gaan met een premium advertentienetwerk.
Je kan meestal net wat meer centjes krijgen door in zee te gaan met minder betrouwbare netwerken waardoor je dan soms met dit soort ellende te maken krijgt.
Soms gaat een advertentie door wel 5~6 handen heen voordat iemand er iets in zet.
Via slimme truuks (cloaking & targetting) weten partijen met slechte bedoelingen dan ook dit soort malware verspreiding voor elkaar te krijgen.
Ook kan het zijn dat ze daadwerkelijk de site van FD hebben gehacked en een iframe voor advertenties misbruiken.
De opmerking 'bijzonder slordig' geeft denk ik al aan dat je niet werkzaam bent in deze sector en waarschijnlijk geen benul hebt hoe complex het advertentiewereldje in elkaar zit.
Mijn opmerking bijzonder slordig ging over het serveren van malware van de NY Times omdat ze een verkeerde partij full control gaven na 1 succesvolle deal. Ik neem aan dat jij als advertentiegoeroe het er ook mee eens bent dat dat slordig is?

De Times werd benaderd door een 'reclamebureau' dat namens een grote naam wat ad-ruimte wilde inkopen. Zo gezegd zo gedaan, ad heeft een periode gedraaid, rekeningen betaald en klaar. 3 maanden laten rusten en toen heeft de malwareverspreider opnieuw contact opgenomen om nog eens een advertentie te runnen op de FP van de Times. Alleen wilde het reclamebureau de ad zelf hosten vanwege verschillende redenen (stats, etc.) en de Times heeft daar geen seconde aan getwijfeld. 4 uur nadat de ad is geplaatst is de ad vervangen door een javascript et voila..... Mijn inziens bijzonder slordig om zo te werk te gaan als je zo'n grote site runned op basis van een enkele deal.
Alleen gebruikers die Fd.nl met Internet Explorer bezoeken zouden kwetsbaar zijn voor de trojan.
Er zit nogal een verschil tussen IE 5.5 of IE 9. Jammer dat dat niet gespecificeerd wordt.
Maar dat scoort niet zoveel hits.
Volgens mij gaat dit alleen op voor oudere versies dan IE9
Afijn, met een goed antivirus programma had je sowiezo nergens last van.

Wat ik niet begrijp is dat bedrijven nog steeds met adservers werken waarvan ze weten dat de software versie mogelijk toegang geven tot deze maleware
Volgens mij gaat dit alleen op voor oudere versies dan IE9
Afijn, met een goed antivirus programma had je sowiezo nergens last van.

Wat ik niet begrijp is dat bedrijven nog steeds met adservers werken waarvan ze weten dat de software versie mogelijk toegang geven tot deze maleware
Tja, dergelijke naÔviteit is net zo veel voorkomend als de internettende lezers aan de andere kant die zichzelf veilig wanen omdat zij "nooit iets illegaal downloaden".
Gebruik zelf de add/script blocker die in IE9 zit en heb standaard active-x block aan staan.
Gelukkig heb ik hier met Opera dus geen last van gehad.. aangezien elke dag op fd.nl zit :)
Ik dacht eerst: wat een opgefokte reactie. Maar het einde maakt alles goed. Zwarte humor.

OT. Waren iframes niet bij wet afgeschaft?
fd.nl.... waren die ook niet vrij fanatieke spammers totdat het eindelijk bij wet verboden werd?
Het FD heeft nog niet gereageerd op de zaak.
Ja ze gaan toegeven dat ze hun software waren vergeten te updaten :X

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True