Naar schatting honderdduizend bezoekers van nieuwssite NU.nl zouden woensdagmiddag besmet zijn geraakt met de Sinowal-trojan. Ook zouden de meeste antimalware-tools niet in staat zijn om de desbetreffende trojan te verwijderen.
Dat meldt Security.nl. Beveiligingsfirma Fox-IT zou via detectiesoftware die het bij bedrijven heeft draaien, verdachte activiteiten hebben waargenomen bij bezoeken aan de NU.nl-website. Als de cijfers worden geëxtrapoleerd, zou het getal van naar schatting honderdduizend met de Sinowal-malware geïnfecteerde systemen resulteren. Volgens onbevestigde berichten zijn bij één bedrijf zelfs 500 systemen besmet geraakt.
Hackers wisten woensdag via het contentmanagementsysteem van NU.nl een javascript-bestand op de server van de nieuwssite te plaatsen. Dit script haalde een exploit-kit van een server in India. Via kwetsbaarheden in verouderde versies van onder andere Adobe Reader en Java konden vervolgens Windows-systemen met de roemruchte Sinowal-trojan worden besmet.
De Sinowal-trojan nestelt zich onder andere op de master boot record van de harde schijf. Dit zou voor het merendeel van de antimalware-tools problemen opleveren. De firma Surfright, die woensdag als eerste melding maakte van de malware op NU.nl, heeft een versie van zijn HitmanPro-pakket uitgebracht die Sinowal wel zou weten te verwijderen.
Een andere mogelijkheid is om te starten met een bootable cd-rom of usb-stick en het 'fix mbr'-commando te draaien. Daarbij wordt de bootsector opnieuw aangemaakt. Een complicerende factor is echter dat de nieuwe Sinowal-variant, die uit is op het stelen van bankgegevens, controleert of de module in de master boot record aanwezig is. Als deze hook door antimalware-software is verwijderd, wordt hij weer teruggeplaatst.
Inmiddels heeft Waarschuwingsdienst.nl, een informatiesite van de Rijksoverheid, een melding over het malware-incident bij Nu.nl geplaatst. Een concreet stappenplan om de Sinowal-malware van een besmet systeem te verwijderen, biedt de website echter nog niet aan.
:strip_icc():strip_exif()/u/403566/crop585e5685734ee_cropped.jpeg?f=community)
/u/332944/googol2.png?f=community)
:strip_exif()/u/257445/gif.gif?f=community)
:strip_icc():strip_exif()/u/300056/crop5aea1387d60f9_cropped.jpeg?f=community)
:strip_exif()/u/220180/Animation11.gif?f=community)
:strip_icc():strip_exif()/u/374942/crop5f11ece0ad87f_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/450091/Warrior_crest6060.jpg?f=community)
:strip_icc():strip_exif()/u/25867/no_bugs_small.jpg?f=community)
:strip_icc():strip_exif()/u/86599/crop681cb5088171b_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/362186/crop5a992bae52d23_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/342739/deltadelta1.jpg?f=community)
:strip_icc():strip_exif()/u/98843/tmpgeel601.jpg?f=community)
:strip_icc():strip_exif()/u/1100/crop5a1c5df8066e1_cropped.jpeg?f=community)
:strip_exif()/u/83867/ALF3.gif?f=community)
:strip_icc():strip_exif()/u/332059/Pineka.jpg?f=community)
:strip_icc():strip_exif()/u/25132/kaypro-mini.jpg?f=community)
:strip_icc():strip_exif()/u/191313/south_park_stan_marsh.jpg?f=community)
:strip_exif()/u/298619/iglo_logo_60bij60.gif?f=community)
:strip_icc():strip_exif()/u/49652/HomerInBlack2.jpg?f=community)
:strip_icc():strip_exif()/u/149883/crop57a462252fb63_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/114280/web.jpg?f=community)
:strip_exif()/u/9676/12.gif?f=community)
:strip_icc():strip_exif()/u/268608/kikker%252060x60.jpg?f=community)
:strip_exif()/u/82595/smallhead_mindbrainII-small.gif?f=community)
/u/35505/flx_70x70.png?f=community)
:strip_icc():strip_exif()/u/8563/Yinyang60.jpg?f=community)
:strip_icc():strip_exif()/u/242363/ava21.jpg?f=community)
/u/39500/BoGy_4_Tweakers_60.png?f=community)