Honderdduizend bezoekers NU.nl wellicht besmet met trojan

Naar schatting honderdduizend bezoekers van nieuwssite NU.nl zouden woensdagmiddag besmet zijn geraakt met de Sinowal-trojan. Ook zouden de meeste antimalware-tools niet in staat zijn om de desbetreffende trojan te verwijderen.

Dat meldt Security.nl. Beveiligingsfirma Fox-IT zou via detectiesoftware die het bij bedrijven heeft draaien, verdachte activiteiten hebben waargenomen bij bezoeken aan de NU.nl-website. Als de cijfers worden geëxtrapoleerd, zou het getal van naar schatting honderdduizend met de Sinowal-malware geïnfecteerde systemen resulteren. Volgens onbevestigde berichten zijn bij één bedrijf zelfs 500 systemen besmet geraakt.

Hackers wisten woensdag via het contentmanagementsysteem van NU.nl een javascript-bestand op de server van de nieuwssite te plaatsen. Dit script haalde een exploit-kit van een server in India. Via kwetsbaarheden in verouderde versies van onder andere Adobe Reader en Java konden vervolgens Windows-systemen met de roemruchte Sinowal-trojan worden besmet.

De Sinowal-trojan nestelt zich onder andere op de master boot record van de harde schijf. Dit zou voor het merendeel van de antimalware-tools problemen opleveren. De firma Surfright, die woensdag als eerste melding maakte van de malware op NU.nl, heeft een versie van zijn HitmanPro-pakket uitgebracht die Sinowal wel zou weten te verwijderen.

Een andere mogelijkheid is om te starten met een bootable cd-rom of usb-stick en het 'fix mbr'-commando te draaien. Daarbij wordt de bootsector opnieuw aangemaakt. Een complicerende factor is echter dat de nieuwe Sinowal-variant, die uit is op het stelen van bankgegevens, controleert of de module in de master boot record aanwezig is. Als deze hook door antimalware-software is verwijderd, wordt hij weer teruggeplaatst.

Inmiddels heeft Waarschuwingsdienst.nl, een informatiesite van de Rijksoverheid, een melding over het malware-incident bij Nu.nl geplaatst. Een concreet stappenplan om de Sinowal-malware van een besmet systeem te verwijderen, biedt de website echter nog niet aan.

IT-banen

Reacties (219)

Inproba

15 maart 2012 13:11

http://sijmen.ruwhof.net/...l-gehackt-malware-analyse

Een infectietest:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/

Emgeebee @Inproba • 15 maart 2012 13:21

Hmm, dit heldert in ieder geval een hoop op!

Je loopt het risico een infectie opgelopen te hebben als je:
- Adobe Reader tussen versie 8 en 9.3 hebt geïnstalleerd;
- of Java tussen versie 5 en 5.0.23 en tussen versie 6 en 6.0.27 hebt geïnstalleerd.

Daarbij detecteren slechts AVG en Microsoft SE het, alle betaalde diensten laten het afweten. Ik las hierboven dat MSE het niet gevonden heeft, dus dan zit je (als de analyse van die blogger klopt) volgens mij goed.

Ik heb Java 6.30 en Adobe Reader 10.0 i.c.m AVG, dus gelukkig. Zat gisteren regelmatig op nu.nl.

Verwijderd @Emgeebee • 15 maart 2012 17:22

Dan kan jij morgen bij een nieuwe aanval toch de sjaak zijn, want de meest recente versie van Java RE is 6.31 en van Adobe Reader 10.1.2. Beide versies die jij gebruikt bevatten ook ernstige veiligheidslekken, zij het andere dan die bij de besmetting van nu.nl zijn gebruikt.

Vhond @Inproba • 15 maart 2012 14:52

En waarom zou ik deze site vertrouwen??

Hogader @Inproba • 15 maart 2012 13:19

Heb zelf gister zeker nu.nl bezocht, maar doordat op de pc geen Java staat is het aan mij voorbij gegaan.

? ? @Hogader • 15 maart 2012 15:19

Mijn Chrome browser blokkeert alle plugins en externe cookies bij het normale browsen.
Slechts per website of éénmalig bij het aanklikken activeer ik de java of flash plugin.

Als je dan een versie gebruikt met een lek in, dan kan je toch niet besmet worden omdat de plugins niet automatisch geladen worden? Correct?

Zo zou iedereen moeten browsen. Op mijn bankier website zet ik java aan, maar al de rest van het internet heeft helemaal niks te zoeken met java code die automatisch loopt. Zelfde voor flash. Tenzij ik er om vraag natuurlijk.

Pep7777 @Inproba • 15 maart 2012 13:19

@Inproba, danku!

NU.nl infectietest

Via dit script kan je jezelf controleren of je ook mogelijk geïnfecteerd geraakt bent op woensdag 14 maart. Op 14 maart is www.nu.nl gehackt en is via de website kwaardaardige code verspreid. Een gedetailleerde analyse van deze kwaadaardige code is gemaakt. Op basis van deze analyse is deze test ontwikkeld.

Gedetecteerde softwareversies
Java: 6.0.31
Adobe Reader: Niet gedetecteerd

De test is voltooid. Je kan niet geïnfecteerd geraakt zijn, omdat de software op je computer niet kwetsbaar was voor de aanval die via nu.nl is uitgevoerd.

Edit:
Het vorige was de output met Chrome, nog even gedraaid met IE9 en dan is de output anders.

Gedetecteerde softwareversies
Java: 6.0.26
Adobe Reader: Niet gedetecteerd

Jouw versie van Java is verouderd en bevat beveiligingslekken. Als je op woensdag 14 maart de website www.nu.nl bezocht hebt, dan ben je mogelijk geïnfecteerd met kwaardaardige software.

En ik maar denken dat ik maar 1 up-to-date versie van java op mijn systeem heb staan... wel vreemd

[Reactie gewijzigd door Pep7777 op 22 juli 2024 19:46]

__fred__ @Pep7777 • 15 maart 2012 15:09

Google Chrome levert zijn eigen (gesandboxte) versie van java mee. Deze is bij jouw systeem minder up to date dan de gewoon geinstalleerde VM. Nu maar hopen dat de sandbox van Chrome een eventuele aanval buiten de deur heeft gehouden.

[Reactie gewijzigd door __fred__ op 22 juli 2024 19:46]

Pep7777 @__fred__ • 15 maart 2012 18:33

@Fred

Net omgekeerd, de chrome versie was meer up to date dan dan de IE9

Maar maakt niet uit, wat testjes gedraait mbt rootkits enzo en niks gevonden.

Heb ik in ieder geval geleerd dat ik 2 java updates per keer moet draaien

http://www.java.com/nl/download/chrome.jsp EN
http://www.java.com/nl/download/windows-64bit.jsp

Ik gebruik namelijk beide browsers!

En daar komt bij dat de automatische java updates niet lopen als je normaal onder
een "user" account in plaats van een "administrator" account werkt (windows 7)

Met dit soort aanvallen hoop ik wel dat ze daar bij Oracle nog wat aan gaan doen.
(Nu toch wel makkelijk om een updatje te vergeten/nog even uit te stellen)

schipperz @Inproba • 15 maart 2012 13:35

Beetje ongerust nu, dus heb ik een vraagje.

Er staat:

Opmerkelijk is dat AVG en Microsoft Security Essentials allebei gratis virusscanners zijn. De commerciële scanners laten het bij VirusTotal qua resultaten afweten.

Betekent dit dat Security Essentials de trojan kan verwijderen?

Emgeebee @schipperz • 15 maart 2012 13:53

Niet direct verwijderen, wel detecteren.

schipperz @Emgeebee • 15 maart 2012 14:03

Hoe kom je van de trojan af dan als ik vragen mag?

Emgeebee @schipperz • 15 maart 2012 14:05

Dat staat in het artikel?

schipperz @Emgeebee • 15 maart 2012 14:22

Sorry mijn fout. Laat hitmanpro nu de scan uitvoeren. Wel fijn dat er een optie is om het eenamlig te doen.

Armin @schipperz • 16 maart 2012 00:34

Waarschijnlijk wel, maar de quote slaat op wat anders.

AVG en MSE waren als enige in staat de javascript te blokkeren die de trojan wilde installeren. Ofwel dat was nog twee een stappen voordat de trojan zelfs nog op je PC komt.

Als de trojan dan toch op je PC kwam waren er diverse scanners die het konden. Of MSE daarbij zat is niet bekend, maar zou me niet verbazen.

Verwijderd @Inproba • 15 maart 2012 13:46

Bovenstaande is dus een kwetsbaarheid-test en geen infectie-test.

De MBR is maar beperkt in grootte. Het zou dus relatief eenvoudig moeten zijn om in elk geval een infectie te herkennen?

Weet iemand welke footprint dit misbaksel in de MBR achter laat?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:46]

Barryvdh

@Inproba • 15 maart 2012 13:18

Tnx, schijnbaar kan ik niet geïnfecteerd zijn geraakt.
Is er ook al enige bevestiging van deze manier; mensen die toch geïnfecteerd zijn zonder dat dat mogelijk zou moeten zijn?

ChevyVan79 @Barryvdh • 15 maart 2012 16:30

Ik denk dat hij gewoon de javascript code van g.js en gs.js heeft gekopieerd maar dan de link naar de kwaadaardige code heeft vervangen voor de waarschuwingstekst.

kaasaanfiets @Inproba • 15 maart 2012 13:56

Is deze manier van testen 100% betrouwbaar? zoja dan forward in hem via mijn social media.

Durandal @kaasaanfiets • 15 maart 2012 15:00

Nu suggereer je dat social media betrouwbaar is..

Ik zou dus hitman pro of housecall even draaien. Wat meer moeite, maar dan weet je het zeker(der).

kaasaanfiets @Durandal • 15 maart 2012 16:00

Huh, ik vraag of deze manier (dus die van Inproba, de infectietest) 100% betrouwbaar is.
Dus als hij zegt dat je niet geïnfecteerd kan worden omdat beide software niet geïnstalleerd is).
Als dat zo is dan forward ik die link even naar mijn social media.

Rare uitverbandtrekkende ideeën van jou, even 2 seconden nadenken en je snapt jezelf ook weer...

dyrc

15 maart 2012 13:10

Ik behoorde gisteren ook tot de slachtoffers.
Reeds een -zeer korte!- mail wisseling gehad met de redactie van nu.nl, die mij op schandalige manier verwijzen naar hun weblog als "oplossing".

Beste xxxx,

Onze excuses voor het ongemak. Voor meer informatie verwijs ik u graag naar onze blog: http://nuweblog.wordpress.com/
Vriendelijke groet,

Redactie NU.nl

Op de weblog staat als oplossing "scans van virusscans", wat dus zowel mosterd na de maaltijd is alsook zo abstract als het maar zijn kan (welke antivir, waar, hoe?).

Voor mij loste het gratis Trend micro housecall het probleem op, hij detecteerde de sinowal besmetting en fixte dit.
http://housecall.trendmicro.com/

In afwachting van een reply op mijn weerwoord dat nu.nl nalatig is geweest door zelf niet actief een link naar een tool beschikbaar te stellen, of op z'n minst op de frontpage van nu.nl melding te maken van verdachte praktijken.

Verwijderd @dyrc • 15 maart 2012 14:39

Nog een kleine toevoeging op je bericht: als je housecall download let van op dat je op de knop "Get housecall now" klikt i.p.v. je email adres etc in te vullen.
Of op het kleine linkje 'get 64bit version' als je 64 bit Windows draait.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:46]

kimborntobewild @dyrc • 16 maart 2012 00:26

Nog steeds voldoet nu.nl absoluut niet aan zijn verantwoordelijkheden.
Er zou vanaf het begin een grote melding (+link naar clean tool) bovenaan moeten staan op nu.nl, en die zou er een flinke tijd (toch zeker een week) moeten blijven staan.
En niet ergens helemaal rechtsonderaan een artikel met deze tekst: 'NU.nl werd woensdag slachtoffer van een hack. De laatste updates staan op NUblog.'
Schande.

Een boete van bijv. 1 miljoen euro per dag dat ze dit niet doen, met terugwerkende kracht, lijkt me op z'n plaats.
En als je via google op subpagina's van nu.nl zou komen, hoor je die melding ook te zien.

X_lawl_X 15 maart 2012 13:14

Wat ik me wel afvraag: Het lijkt me dat zo'n rootkit administrator-rechten heeft om te installeren, zelfs als de kwetsbare Java versie op je PC geïnstalleerd was. Zouden er dan veel XP-slachtoffers zijn, of zou iedereen bij een eventuele UAC-melding gewoon op "Ja" geklikt hebben?

shenr @X_lawl_X • 15 maart 2012 14:00

Vraag me ook af, zit op een werk pc zonder admin rechten, kan dat ding zich dan uberhaupt wel installeren? Al die detectietools kan ik namelijk ook niet installeren

blouweKip @shenr • 15 maart 2012 15:09

Er wordt gebruik gemaakt van een exploit, dat omzeild meuk zoals UAC (en aslr/dep), dus ook als je op een windows pc zonder zelf adminrechten te hebben werkt die niet bijgewerkt is en in een netwerk staat waar de trojan kan worden gedownload dan kun je gewoon het bokje zijn.

juanita @blouweKip • 15 maart 2012 17:29

Dus ook als je met beperkte rechten Nu.nl hebt bezocht dan kan je nog steeds besmet zijn? Heb je daar een (betrouwbare) bron voor?

Barryvdh

15 maart 2012 13:02

" In tegenstelling tot wat gisteren werd beweerd, vond de infectie niet tussen 11:30 en 12:30 plaats, maar tussen 11:30 en 13:40."
Dikke kans dat ik ook geïnfecteerd ben, of iig een poging tot. Maar dus nog geen makkelijke manier om te scannen of je geïnfecteerd bent, en met welke software je besmet raakt (IE/Chrome/Firefox, en welke versie van adobe/flash)

http://nuweblog.wordpress...-nl-weer-veilig-na-virus/
"Wat we aanraden: Laat, als u NU.nl vanmorgen heeft bezocht, voor alle zekerheid uw virusscanner een extra scan uitvoeren."

Microsoft Security Essentials heeft niks gevonden, maar schijnbaar wordt het dus ook niet goed gedetecteerd..

[Reactie gewijzigd door Barryvdh op 22 juli 2024 19:46]

Verwijderd @Barryvdh • 15 maart 2012 14:59

Microsoft Security Essentials heeft niks gevonden, maar schijnbaar wordt het dus ook niet goed gedetecteerd

Toch wel

Ruwhof heeft de javascript code geupload naar VirusTotal waar 43 scanengines van aanbieders van virusscanners klaar staan om code te controleren. Slechts twee engines sloegen aan, die van Microsoft en die van AVG. De gratis virusscanners noemen de gevonden malware respectievelijk Exploit:JS/Blacole.CV en Script/Exploit.B. "Opmerkelijk is dat AVG en Microsoft Security Essentials allebei gratis virusscanners zijn. De commerciële scanners laten het bij VirusTotal qua resultaten afweten", schrijft Ruwhof.

Bron: http://webwereld.nl/nieuw...rs-besmet-via-nu-nl-.html

manvanstaal 15 maart 2012 13:50

Gelukkig na een scan geen besmetting gevonden. Was op NU.nl geweest om 12:35. Dit was tevens ook de laatste keer dat ik op die bagger site was. Ze hebben veel te laat melding gemaakt en zijn met geen enkele oplossing gekomen.(link of zo). Mensen die niets van computers weten zijn daardoor volkomen aan hun lot overgelaten. Nu.nl heeft altijd de mond vol over andere bedrijven en sites, maar zelf zijn ze werkelijk onbehoorlijk in het afhandelen van een via hun site veroorzaakt probleem, NU.nl schaam je diep!!!!!

Dus geen NU.nl meer voor mij..

Pineka @manvanstaal • 15 maart 2012 15:22

Tja en volgende keer is het een andere nieuwssite en dan heeft die weer afgedaan. Moeten we dan maar weer allemaal terug naar de papieren krant ?

Nu.nl is nu net een van de weinige echt overzichtelijke nieuwssites met aparte RSS feeds. Telegraaf heeft die ook maar dat vind ik een sensatiekrant.

3dfx 15 maart 2012 14:02

Het is ook niet de eerste keer dat Nu.nl virussen zit uit te delen aan de bezoekers he?
nieuws: Grote Nederlandse sites verspreiden urenlang trojan
[Alert] Trojan op frontpage nu.nl - en andere Sites *

Destijds werd er een speciale versie van Kaspersky Antivirus beschikbaar gesteld om de infectie te verhelpen.

Bv202 15 maart 2012 16:46

TDSSKiller (http://support.kaspersky.com/faq/?qid=208283363) zou inderdaad Sinowal kunnen detecteren en verwijderen

Ik gebruik blijkbaar zelf een outdated versie van Java en heb gisteren ook nu.nl bezocht. Zowel Hitman Pro als TDSSKiller geven aan dat er geen infecties zijn gevonden, dus ik vermoed dat ik geluk heb gehad

[Reactie gewijzigd door Bv202 op 22 juli 2024 19:46]

indy911 15 maart 2012 12:59

En wat teleurstellend is, is dat nu.nl niet binnen een dag een simpel tooltje op hun website plaatst waarmee de veel meer dan 100.000 verontruste bezoekers eenvoudig kunnen controleren of ze nu wel of niet besmet zijn geraakt.

Ik ga maar weer verder met het controleren van PCs van familieleden...

robertpNL @indy911 • 15 maart 2012 13:06

Een tool beschikbaar stellen is bewust niet voor gekozen verwacht ik. Nu.nl is tenslotte geen software ontwikkelingsbedrijf en dan zouden ze ook nog support moeten gaan aanbieden.

Een derde-partij inschakelen is natuurlijk een optie maar dat kost tijd om zoiets te initialiseren (plus het bouwen van zo'n tool).

IceBlackz @robertpNL • 15 maart 2012 13:11

Een complicerende factor is echter dat de nieuwe Sinowal-variant, die uit is op het stelen van bankgegevens, controleert of de module in de master boot record aanwezig is. Als deze hook door antimalware-software is verwijderd, wordt hij weer teruggeplaatst.

Blijkbaar is dus al uit het virus op te maken hoe er te controleren is of het virus zich in de MBR bevind. Grootste werk is dus al door de makers zelf gedaan

[Reactie gewijzigd door IceBlackz op 22 juli 2024 19:46]

Kapiteiniglo 15 maart 2012 12:59

Is er bekend welke anti-malware pakketten het nog meer kunnen detecteren naast hitmanpro?

Armin @Kapiteiniglo • 15 maart 2012 22:29

Er zijn hier 4 aspecten:

1) Er werd een Javascript geladen dat zocht naar 3 lekken in Java en Adobe Reader. Als dit script geblokeerd werd ging het 'feest' voor de malware makers niet door. (*)

2) Je Java en/of Adobe plugins moesten dus dit lek hebben. Had je deze plugins niet geinstalleerd of niet actief of juist de laaste up-to-date versies waarin deze lekken gefixt waren kon je ook niet besmet raken.

3) De worm wordt geinstalleerd.

4) Deze installeerd een rootkit in de MBR.

Betreft (1) begreep ik dat enkel de Microsoft scanner en AVG het javascript tegenhielden. Ook Hitman Pro niet!

Betreft (3) en (4) is bekend dat in ieder geval Hitman Pro het aan kon. Anderen waarschijnlijk ook, maar een volledige lijst is vooralsnog onbekend.

*) Update: na verder zoeken blijkt deze stap 1 in twee fasen uitgevoerd zijn. Een eerste script downloade een tweede. Dit tweede script zocht naar de java en Adobe bugs. Het eerste script werd blijkbaar alleen door Kaspersky herkent. Het tweede dus enkel door Microsoft en AVG.. In zeker zin waren dus slechts 3 scanners in staat de bron tegen te houden.

[Reactie gewijzigd door Armin op 22 juli 2024 19:46]

SKiLLa @Kapiteiniglo • 15 maart 2012 13:27

Hitman Pro is geen 'anti-malware pakket/tool', het is een verzameling van verschillende anti-malware pakketten in 1 installer

Daarnaast geeft dit maar weer aan hoeveel bedrijven hun desktop-zaakjes slecht op orde hebben; ik zie vrijwel altijd, overal verouderde Acrobat Reader en Java versies geinstalleerd staan, terwijl het al jaren bekend is dat de meeste browser exploit-kits (ala 'Nucleair') Java- en Acrobat-exploits misbruiken.

TheNephilim

@SKiLLa • 15 maart 2012 13:35

Inderdaad, van die systeembeheerders die angstvallig alle oude software aan boord houden. Als er nog IE6 geïnstalleerd staat, is het voor mij al duidelijk wat de situatie binnen een bedrijf is...

Pineka @TheNephilim • 15 maart 2012 13:59

Fout. Je hebt het over de Hitman Pro van vroeger. Nu is Hitman Pro wel degelijk een antimalware tool. En nog een van de beste ook......

Kaasje123 @SKiLLa • 15 maart 2012 13:50

Uhm het is al jaren geen verzameling meer hoor. Het heeft zijn eigen scanner gebasseerd op clouddetectie.

PaulC @SKiLLa • 15 maart 2012 14:32

Met de nieuwe Java werken sommige applicaties niet ,
dus verplichten ze soms om bewust de oude Java te houden.

darkmagic 15 maart 2012 12:57

en ik ben er één van.

-edit-
inmiddels verwijderd en alles up-to-date.

[Reactie gewijzigd door darkmagic op 22 juli 2024 19:46]

Eagle Creek

@darkmagic • 15 maart 2012 13:03

Is het al duidelijk of zonder tooling de aanwezigheid van de trojan duidelijk is? M.a.w: kan een gebruiker gedrag opmerken dat duidt op een infectie?

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 19:46]

Djaro @Eagle Creek • 15 maart 2012 13:33

@eagle Creek.

ga naar www.gmer.net download de applicatie en scan (rootkit/mbr scanner)..
en je weet meteen het antwoord..

hiermee kan je ook de hidden services verwijderen (met rechtermuis) maar kijk uit wat je doet. iig geval kan je zien of je geinfecteerd bent.

ook kan je checken of je systeem uberhaupt veilig was ten tijde van bezoek van nu.nl kan hier:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/

edit:
inmiddels is er een removal tool beschikbaar:
Hitman Pro heeft mogelijkheden voor het verwijderen en detecteren van de malware aan hun software toegevoegd. Een gratis versie voor eenmalig gebruik is te downloaden via: http://www.surfright.nl/en/hitmanpro
Medusoft heeft een extra DAT file beschikbaar gesteld voor McAfee waarmee de malware is te detecteren. Het verwijderen van de malware is met deze update nog niet geheel mogelijk. Meer informatie hierover is te vinden op de website van Medusoft: http://www.medusoft.eu/sinowal/

[Reactie gewijzigd door Djaro op 22 juli 2024 19:46]

Verwijderd @Djaro • 15 maart 2012 15:09

Dankjewel Djaro voor de link, ben de software nu aan het draaien.

Ik wilde wel nog even melden dat ik het een grote schande vindt dat nu.nl geen banner of waarschuwing draait dat dit gebeurt is. Ze leveren een digitale service en hun hoofdproduct heeft schade berokkend bij bezoekers. Als dit met een fysiek product was zou er een terugroepactie zijn. Nu doen ze of hun neus bloedt......triest.

Ik snap dat het de verantwoording is van gebruikers dat hun eigen pc up to date is maar een linkje of waarschuwing dat dit gebeurt is zou wel beleefd geweest zijn.

Edit: 6 minuten na dit bericht verschijnt er een nieuwsbericht op nu.nl hierover. Blijkbaar lezen ze ook Tweakers.net

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:46]

Webjunkie @Djaro • 15 maart 2012 15:55

Gedetecteerde softwareversies
Java: 6.0.31
Adobe Reader: Niet gedetecteerd

De test is voltooid. Je kan niet geïnfecteerd geraakt zijn, omdat de software op je computer niet kwetsbaar was voor de aanval die via nu.nl is uitgevoerd.

w00t! i rule =)

en jij ook djaro.
thx voor de link.

Sjah @Webjunkie • 15 maart 2012 16:34

Les IMO: Adobe Reader is best vaak doel van aanvallen. Hou het op iets anders, zoals Nitro pdf.

GreenFrog @Djaro • 15 maart 2012 17:45

Prima link!!! http://sijmen.ruwhof.net/js/nu.nl-infectietest/

wizzkizz @Eagle Creek • 15 maart 2012 13:34

Er is wel een tool om te kijken of je vatbaar bent voor de gebruikte exploits, http://sijmen.ruwhof.net/js/nu.nl-infectietest/. Dit zegt natuurlijk niet of je daadwerkelijk bent geïnfecteerd, maar als je in de periode dat nu.nl besmet was die site hebt bezocht én je virusscanner sloeg geen alarm, zou ik toch even extra uitkijken

darkmagic @Eagle Creek • 15 maart 2012 13:09

het leek of de banksite langzamer lade, maar dat is mee op gevoel gebaseerd. verder is er naar mijn inzicht niks opgevallen. maar ik ben niet de enigste die op de pc zit dus kan eigenlijk niks zeggen symptomen ervan

siepeltjuh @darkmagic • 15 maart 2012 16:00

Zie ook: http://www.nu.nl/internet...controle-cyberaanval.html

Goed van nu.nl (weliswaar een dag te laat) dat ze aandacht besteden aan de hack gepleegd op hun eigen site. Er zijn genoeg sites die dat niet doen.

Als je bankieren niet meer vertrouwd, kun je de links in dat artikel van nu.nl gebruiken of direct naar:
http://www.veiligbankieren.nl/nl/test.html gaan.

Jol65 @siepeltjuh • 15 maart 2012 22:21

Nee hoor, ze besteden er geen aandacht aan, maar brengen het gewoon als nieuws.

Verwijderd @darkmagic • 15 maart 2012 17:21

Eerder vandaag was Chrome hier ook ineens zo traag. Een reboot lostte niks op. Ik draai de dev versie dus ik dacht dat dat met een update wel opgelost zou worden. Maar ik surf dagelijks naar nu.nl en een trojan is ineens bijzonder waarschijnlijk. Meteen maar 's een scan uitvoeren met Hitman Pro op advies van nu.nl zelf. Thanks siepeltjuh voor de link!

*edit*
Volgens Hitman Pro staat er geen malware op m'n laptop. De traagheid van Chrome zal dan wel inderdaad een bug zijn.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:46]

archive23 @Verwijderd • 15 maart 2012 20:14

Volgens mij ben je wel veilig omdat Chrom((e)ium) in een sandbox draait en de malware dus geen kans heeft om naar buiten te komen.

airell @Eagle Creek • 15 maart 2012 13:21

Ik ga thuis deze gebruiken, de root-kit revealer van Microsoft/SysInternals... misschien kan ik daar wat mee vinden... http://technet.microsoft.com/nl-nl/sysinternals/bb897445

Edit: ik zie nu dat deze alleen voor Windows XP (32-bit) and Windows Server 2003 (32-bit) is... jammer.

[Reactie gewijzigd door airell op 22 juli 2024 19:46]

Eagle Creek

@airell • 15 maart 2012 13:27

Rootkit releaver wordt al geruime tijd niet meer ontwikkeld, dus je kunt twijfelen aan de effectiviteit voor moderne infecties.

Daarbij moet een gebruiker dus de scan starten voor detectie, en blijft de kans voor non-detection bestaan.

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 19:46]

blobber @airell • 15 maart 2012 14:44

Let wel, de root kit revealer werkt niet met 64 bit systemen!
Edit: spuit 11

[Reactie gewijzigd door blobber op 22 juli 2024 19:46]

smierlo @Eagle Creek • 15 maart 2012 15:41

Bij mij viel op dat Google.nl en Gmail het niet meer deed. Ook het laden van de mappen op de interne schijf waren traag.

Er stond een herkenbare .exe in het gebruikersprofiel als zijnde, hier klopt iets niet

jeffreytigch @darkmagic • 15 maart 2012 14:57

Heb je snel gedaan; ik kan me namelijk nog herinneren dat de enige oplossing voor dit virus om em zeker weten helemaal weg te krijgen, het formatteren en opnieuw bouwen van je MBR is. Of zijn er dusdanig geavanceerde pakketten die dit probleem ook kunnen oplossen?

bogy @Verwijderd • 15 maart 2012 15:20

ik werk in de saturn... en bij de macafdeling staat er een groot scherm... en daar komt heel de tijd op:

'A mac cannot be infected with pcVirusses'
Men zegt er wel niet bij dat er ook virussen bestaan voor de mac, en dat de mac dus wel gewoon besmet kan worden met rootkits, virussen, trojans, enzomeer...

er liggen in de winkel bij ons dan ook gewoon antiviruspakketten voor de mac van verschillende softwarehuizen (symantec/norton, mcafee, etc)

jouw 'beste' rootkit defender is dus helemaal geen rootkit defender... trouwens, op een mac kan je gewoon windows draaien; waar sta je dan ???

darkmagic @bogy • 15 maart 2012 15:26

ik zal je beter vertellen. het eerste virus dat er bestond was een mac vrius!

Verwijderd @darkmagic • 15 maart 2012 20:07

@ darkmagic:

Vertel het dan ook zoals het is:

In 1972 Veith Risak, directly building on von Neumann's work on self-replication, published his article "Selbstreproduzierende Automaten mit minimaler Informationsübertragung" (Self-reproducing automata with minimal information exchange).[6] The article describes a fully functional virus written in assembler language for a SIEMENS 4004/35 computer system.

Bron: http://en.wikipedia.org/wiki/Computer_virus

Het eerst virus dat een computer infecteerde :

19 januari 1986 – Het door de Pakistaanse broers Basit en Amjad Farooq Alvi ontwikkelde computervirus was het eerste computervirus dat actief was in de wereld. Het werd verspreid via floppydisks.

http://www.nieuwsdossier....irus-eerste-computervirus

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:46]

HitDyl @bogy • 15 maart 2012 15:42

Die anti virus paketten zijnjuist echt bs, er zijn virussen voor mac maar heel weinig en worden snel via apple update gepatcht want een virus gaat alleen werken met een exploit ie root toegang geeft. En zodra er weer een exploit is patcht apple deze. Eigenlijk netzo als ze doen bij jailbreaks op ios dat zijn ook root exploits. Unix werkt gewoon kompleet anderd en een virus scanner is hier bij echt onzin hij herkent misschien wel virussen maar je systeem mits uptodate is toch niet kwetsbaar

Op dit item kan niet meer gereageerd worden.

Honderdduizend bezoekers NU.nl wellicht besmet met trojan

Lees meer

IT-banen

Reacties (219)

Sorteer op:

Weergave: