Browsers blokkeren Omroepzeeland.nl door malwaredreiging

De website van Omroep Zeeland wordt door een aantal browsers geblokkeerd omdat deze malware zou bevatten. Ook Google blokkeert de website. Daarnaast zou het interne netwerk van de omroep last hebben van een trojan.

Wie omroepzeeland.nl via Firefox, Chrome of Safari wil bezoeken, krijgt door de browser een waarschuwing voorgeschoteld. Daarin is te lezen dat de website besmet zou zijn met malware. Ook links via Google tonen een waarschuwing, terwijl Opera en Internet Explorer de website wel openen.

De NOS meldt dat de site van Omroep Zeeland vermoedelijk malware heeft geserveerd via een advertentie. Om welke malware het precies gaat, is nog niet duidelijk. De site heeft uit voorzorg alle advertenties op zijn site uitgeschakeld en zou weer veilig zijn.

De redactie van de regionale omroep zou ook getroffen zijn door malware: een trojan zou actief zijn op het interne netwerk van de redactie. Of de trojanbesmetting in verband staat met de geserveerde malware op de site van de omroep, is nog niet bekend.

De nieuwssite Nu.nl serveerde twee weken geleden ook malware aan zijn bezoekers. Criminelen zouden inloggegevens van het cms-systeem in handen hebben gekregen waardoor zij kwaadaardige code op de site konden plaatsen.

IT-banen

Reacties (62)

erikloman 29 maart 2012 21:20

Een Russische website van HTC serveerde net nog steeds dezelfde malware als omroepzeeland.nl
http://safebrowsing.clien...dejhs5.dyndns-server.com/

Zojuist vanuit een testomgeving de HTC website in Rusland bezocht en kreeg malware geïnstalleerd via: delpz4.dyndns-server.com

Hier de huidige classificatie van Google:
http://safebrowsing.clien.../delpz4.dyndns-server.com

Via een Java exploit breekt de malware uit de browser en installeert Trojan.Winlock (ransomware) Banking Trojan Citadel.

De JAR file met de Java exploit:
https://www.virustotal.co...d605/analysis/1333046499/

De geïnstalleerde malware:
https://www.virustotal.co...2622/analysis/1333047138/

Omroep Zeeland adviseert AVG of Avira maar volgens virustotal weet ik niet of dat wel gaat helpen gegeven bovenstaande VirusTotal link:
www.omroepzeeland.nl/nieu...eest-gebruik-virusscanner

Hier de hooks die Citadel plaats om talrijke Windows APIs:
https://twitter.com/#!/er...85473596251058177/photo/1

UPDATE: Het is Banking Trojan Citadel.

Dit is zogenaamde Open Source malware:
http://blog.seculert.com/...rce-malware-project.html:

Security vendors websites blacklist – Machines infected with Citadel cannot access websites of information security vendors. This blocks the option to download new security products, or get updates from currently installed products (e.g. Anti-Virus updates).

Dit verklaard Henkie-Jan's probleem (hieronder) om updates op te halen.

Eigenschappen van Citadel: AES Encryption, Avoiding Trackers Detection, Security vendors websites blacklist, Trigger-based Video Recording.

Er wordt actief aan Citadel gewerkt, hier de release notes van de Spring Edition:
http://cyb3rsleuth.blogspot.com/2012/03/citadel-13.html

[Reactie gewijzigd door erikloman op 23 juli 2024 20:48]

Henkie-Jan @erikloman • 29 maart 2012 23:15

Heb het virus zelf ook opgelopen op een website vanmiddag. Kreeg de melding van de Windows firewall dat maunu.exe toegang wou tot internet. Aangezien ik dit erg vreemd vond heb ik dit geblokkeerd. Vervolgens wou ik naar een online scanner gaan maar werd steeds doorverwezen naar de startpagina van Google. Uiteindelijk via een kameraad MBAM toegestuurd gekregen en mee gescand. Deze heeft het virus kunnen verwijderen.

Heb het virus ook geupload naar virustotal.com. Zie: https://www.virustotal.co...c59c/analysis/1333028585/

Dezelfde malware als hierboven beschreven staat. MSE herkende hem nog niet!

Hoogevenertje @Henkie-Jan • 30 maart 2012 00:01

Malware Bytes anti malware was voor mij als pc kneus onbekend, toch maar even online opgezocht.
Via dat programma is er niets te vinden op mijn pc.
Tijdens het typen van dit bericht kreeg ik via de realtime scan wel een melding dat utorrent werd geblokkeerd.
In ieder geval bedankt voor je tip, dus zal ik voorlopig utorrent maar even links laten liggen.

Kalief 29 maart 2012 18:23

Hoe controleert tweakers.net eigenlijk de veiligheid van haar advertenties? Zijn daar met de adverteerders procedures voor afgesproken?

[Reactie gewijzigd door Kalief op 26 juli 2024 06:44]

SmokingCrop @Kalief • 29 maart 2012 18:51

welke advertenties? adblock for life

TimvH @SmokingCrop • 29 maart 2012 19:16

Ik schakel die Adblockers altijd uit op site's waar ik vaak kom.
De Tweakers.net crew is de hele dag bezig met het onderhouden van TW.net en zorgen dat het laatste nieuws er snel is.
Ze verdienen geld met onder andere de advertenties en bieden een banner vrij abbo aan voor de mensen die geen advertenties willen.
Als ik er werkte dan zou ik wel een Adblock blocker script zetten op de site

churchill9 @TimvH • 29 maart 2012 21:52

Volgens mij krijg je pas betaald als mensen ook echt op je banner klikken dus dan heeft het geen zin om adblock uit te schakelen als je toch niet erop gaat klikken.

Wilbert de Vries @churchill9 • 30 maart 2012 11:06

Lees anders ACM's blog: Advertenties op Tweakers.net: een paar mythes en misvattingen eens

[Remmes] @churchill9 • 29 maart 2012 23:29

een bedrijf/ wat dan ook betaald geld om zijn advertentie op een vaak-bezochte site te plaatsen, het doel is om de advertentie te laten zien, je hoeft er niet speciaal op te klikken

of denk jij dat Tweakers zo maar ads op de site zet zonder hiervoor betaald te worden, en uiteindelijk hopen dat er iemand op klikt?

Gamebuster @churchill9 • 29 maart 2012 23:30

vele ads werken ook met (per 1000) views AFAIK

kompjoeterfreak @TimvH • 29 maart 2012 19:22

VNU Media verdient genoeg geld aan de clicks op de pricewatchproducten, waardoor webshops flinke rekeningen mogen ontvangen... die ad's mogen ze best weglaten...
Weinig medelijden met VNU...

Wilbert de Vries @kompjoeterfreak • 29 maart 2012 20:07

Altijd fijn als mensen doen alsof ze inzicht hebben in onze inkomsten en uitgaven. Linksom of rechtsom kost het maken van Tweakers.net gewoon geld. Met alleen de Pricewatch zouden we het echt niet redden. Voor de mensen die het lastig vinden om in te schatten hoeveel mensen er dagelijks bij Tweakers.net zijn betrokken: de club mensen tikt de vijftig al aan (http://tweakers.net/contact).

AugmentoR @Wilbert de Vries • 30 maart 2012 00:24

Da's dan gemiddeld 0.5 newsposts per man per dag. Gaat er zóveel tijd zitten in het onderhouden van de site, bijhouden van de fora en het zoeken naar adverteerders?

Ik meen me te herinneren dat een paar jaar terug het gemiddeld aantal posts per medewerker toch wel iets hoger lag...(no offence)

Wilbert de Vries @AugmentoR • 30 maart 2012 11:03

Als je nou even de moeite neemt om te kijken naar welke functies mensen hebben, dan snap je dat niet iedereen bezig is met het schrijven van nieuws. Een paar jaar geleden publiceerden we half zoveel nieuws en nagenoeg geen reviews.

ray-ban @Wilbert de Vries • 30 maart 2012 12:45

ff offtopic: gaan we nog getrakteerd worden op een 680GTX review?

kompjoeterfreak @Wilbert de Vries • 4 april 2012 17:35

Wat je in je eerste zin plaatst, kun je veranderen.
Geef meer inzicht in de inkomsten en uitgaven (of laat VNU dit doen)!
Ben zo open en laat eens zien aan de Tweakers wat een click kost...
Het zal ogen openen...

Verwijderd @kompjoeterfreak • 29 maart 2012 19:38

Tweakers staat adblockers niet toe.
Ben je op zoek naar een ban hier op tweakers?

Verwijderd @Verwijderd • 30 maart 2012 00:03

Lol k. Toch durf ik er geld op te leggen dat minstens 25% hier wel een Script/Ad block op z'n browser heeft staan. Waar staat overigens dat dit niet mag? Bepaal toch zelf wel hoe ik m'n browser gebruik en instel? Klinkt als bullshit.

webcamjan @TimvH • 30 maart 2012 00:21

Ik schakel ze dus nooit uit, want klikken op ads doe ik al helemaal niet.

Feit is gewoon dat verspreiding via ads veel meer voorkomt dan men denkt, ook MSN had er de laatste tijd weer eens last van zwaar te worden door de ads van een bepaalde aanbieder en dat maakt mijn pc (msn) traag. Punt..

Wellicht is dat ook de reden dat ik hier nooit geen last of hinder ondervind van adaware en andere zooi, door heel bewust zelf te bepalen wat ik wel of niet wil zien en dat heeft ons al meer dan 8 jaar virus vrij gehouden en zijn we sinds 2005 gestopt met een virus scanner op de pc.
En testen (externe scans) bewijzen het, we blijven vrij van zooi.

En dan is er een bedrijf die gaat bepalen wat ik wel of niet mag zien als ik hun site bezoek. Welke wetsregel heb ik gemist.? en voorwaarden moeten voldoen aan de wet. Wat zal deze site veel geld verloren hebben vroeger toen ze nog niet zoveel reclame uiting deden, hoe hebben ze die periode dan kunnen overleven.?

Ad-block.? ja omdat het gewoon de veiligheid vergroot... Punt uit.

Om in te loggen op tweakers moet ik eerst alle veiligheden uitschakelen omdat ik er anders niet kan inloggen, je weets wel cookies en zo.

Ram-G-maN

@Kalief • 29 maart 2012 18:30

Als er ooit malware via tweaker.net door adverteerders wordt geserveerd kan tweakers.net ervoor kiezen om iedereen tijdelijk van een My.Tweakers.net Bannervrij-abonnement te voorzien.

Edit: typo

[Reactie gewijzigd door Ram-G-maN op 26 juli 2024 06:44]

Verwijderd @Ram-G-maN • 29 maart 2012 19:20

Men kan de advertentie controleren. Ik neem aan dat er ook wel andere opties zijn als kwaalwillende adverteerders in de tussentijd de advertentie veranderen of iets dergelijks door middel van meerdere controles.

Gomez12 @Verwijderd • 29 maart 2012 21:09

Nope, op het moment dat je content van een ander domein serveert ben je overgeleverd aan die partij.

Je kan die url 100x of 1000x of 10.000x controleren voordat je hem serveert, de externe partij kan de content op elk moment wijzigen zonder dat jij het doorkrijgt (of je moet voor elke ad-serving een check, maar dat is leuk met 100.000 bezoekers, dat is 100.000 checks in real-time die je bezoekers vertraagt)

In theorie kan een echt kwaadwillend persoon de malware enkel serveren aan 1 op de 5 bezoekers met chrome versie x en die niet in de ip-range y vallen. Veel plezier met dat controleren...

HakanX @Gomez12 • 30 maart 2012 03:30

Je moet ook niet direct ads vanuit andermans server op je website zetten. Je kan een adserver draaien en je klanten kunnen de ads altijd updaten op jouw server en bij elke update controleer je op kwaadaardigheid.

[Reactie gewijzigd door HakanX op 26 juli 2024 06:44]

Waterbeesje @HakanX • 30 maart 2012 12:39

Nee, bouw een server waar je alle data voor ads opslaat. Op zich een mooie utopie, maar de ruimte die nodig is, is enorm. Nog niet te spreken over bandbreedte...

jesper86 @Ram-G-maN • 29 maart 2012 18:40

Dat is dan dus te laat. Advertenties moeten vooraf gecontroleerd worden, zodat al dit gedoe achteraf ook niet nodig is. Voorkomen ! niet genezen.

Verwijderd @jesper86 • 29 maart 2012 19:00

Tevens was ook bartsmit.com te dupe! Dit is op Webwereld te lezen

bbstreams @Ram-G-maN • 30 maart 2012 16:49

of je gebruikt adblocker en do not track plus

Devin19 @Ram-G-maN • 29 maart 2012 18:40

Of een linkje naar AdBlock extensie...

neeroeter @Devin19 • 29 maart 2012 19:32

Tsja, ik snap heel goed dat adblockers niet leuk zijn voor sites. Dit soort nieuws echter stuurt je toch echt wel die kant op.
Adblock+, noscript, beide onder firefox zijn toch wel steeds harder nodig met al dit nieuws...

henry906 @Devin19 • 30 maart 2012 02:55

als ze adblock gaan stimuileren verdienen ze dus zelf niks meer, dus dat zullen ze nooit doen

Wilbert de Vries @Kalief • 29 maart 2012 20:04

Tweakers.net beheert zijn eigen advertentiesysteem en heeft een afdeling die de uitingen inboekt. We hopen uiteraard dat er op dat gebied niets mis gaat, maar proberen wel op te letten op verdachte zaken vanuit banners. Tot op heden is het gelukkig nog niet voorgekomen dat we daarom moesten ingrijpen.

Hoogevenertje 29 maart 2012 18:23

Daar had onderstaande site, net ook last van.
http://www.regiohoogeveen.nl/
Toen ik de site verliet en opnieuw bezocht was er geen waarschuwing meer te lezen.

Wolfos @Hoogevenertje • 29 maart 2012 18:29

Bij mij zegt ie nog wel dat er malware is, Chrome.

Hoogevenertje @Wolfos • 29 maart 2012 18:35

Ik kreeg alleen de eerste keer die melding, met Firefox, maar de melding kwam van Google.
Maar vanmiddag had ik die melding op dezelfde site ook al een keer gehad, daarna waren ze offline voor onderhoud.

kramer65 @Hoogevenertje • 29 maart 2012 19:02

Als je met Google Safe Browsing Google.com zelf eens onder de loep neemt dan blijken ze zelf ook niet helemaal schoon te zijn: http://safebrowsing.clien...l&site=http://google.com/

X_lawl_X @kramer65 • 29 maart 2012 19:57

Ik denk dat dat komt door de Cache die ze van websites bijhouden.

B-ware @kramer65 • 30 maart 2012 02:32

tweakers.net heeft het ook 3 keer gedaan in 90 dagen tijd hoor... zeer zuiver is dit dus ook niet? http://safebrowsing.clien...&site=http://tweakers.net

Wampa1 29 maart 2012 21:00

Ehm maar wat gebeurt er dan precies, zodra je de toch besluit de site te bezoeken heb je al problemen? Gaat toch om trojans, die doen pas wat als je et toestaat.

Een beetje antivirus houd dat al tegen.

erikloman @Wampa1 • 30 maart 2012 00:06

De infectie-website serveert tal van exploits voor o.a. Java, Adobe Reader, Flash, etc. en breekt op die manier uit je browser. Vervolgens wordt -ongevraagd- malware geïnstalleerd die door een enkele AV nog maar herkend wordt:
https://www.virustotal.co...c59c/analysis/1333028585/

Dus het gebeurd zonder dat je het in de gaten hebt.

Henkie-Jan @erikloman • 30 maart 2012 11:36

Inderdaad. Had dus zelf dat virus ook opgelopen maar door de Windows Firewall kwam ik er achter dat een verdacht programma verbinding met internet wou. MSE herkende hem niet!

Verwijderd 29 maart 2012 19:17

Je hosts file aanpassen werkt toch nog het beste om ongewenste third-party content uit te schakelen. Beschermt erg goed tegen malware.

http://winhelp2002.mvps.org/hosts.htm

Sorcerer8472 @Verwijderd • 29 maart 2012 20:32

Totdat die mvps-hostfile een keer geïnfecteerd is en je ipv naar abnamro.nl ineens naar een heel andere site stuurt.

Dit is imo niet de goede manier om het probleem aan te pakken!

Verwijderd @Sorcerer8472 • 30 maart 2012 00:21

Los van het feit dat bovengenoemde site betrouwbaar is, kun je uiteraard altijd even de inhoud controleren. Dit is snelle scan door de hosts file waarbij je alleen maar hoeft te checken dat alles met 127.0.0.1 begint. Gelukkig hoef je dit alleen maar bij het 'installeren' te doen. De hosts file zal nooit zich zelf aanpassen. (Los van externe malware).

dedicated1 @Sorcerer8472 • 30 maart 2012 12:54

Totdat je je realiseert dat de mvps hosts file door onder andere Adblock Plus word gebruikt.
Sterker nog, Adblock Plus laat tegenwoordig zogenoemde "acceptable ads" toe! Dit is niet het geval als men de mvps hosts gebruikt.

In mijn ogen is de hosts file juist de beste manier om het probleem aan te pakken, zeker gezien het feit dat je zelf controle hebt over wat wel en niet geblockt word op deze manier.

[Reactie gewijzigd door dedicated1 op 26 juli 2024 06:44]

Vinny1994 29 maart 2012 18:38

Gerapporteerde aanvalpagina!

Die melding krijg ik met Firefox

Zowel omroep zeeland als regio hoogeveen

AW_Bos

29 maart 2012 18:58

Is dit niet dat bekende SOL-injection lek die een tijdje geleden weer flink opbloeide?

Verwijderd 29 maart 2012 18:58

Beetje vreemd dat niet bekend is of de redactie trojan en de waarschijnlijk via advertentie geserveerde trojan (n)iets te maken heeft met elkaar? Je zou toch bijna gaan denken dat er een soort keylogger intern aan de gang is geweest en "ze" hun gang hebben kunnen gaan.
Ik hoop het niet voor ze.

maussie95 29 maart 2012 19:13

Omroepzeeland.nl doet het weer op firefox!

Durandal 29 maart 2012 19:21

Is wel raak.

Bart Smit was ook al aan de beurt van de week.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (62)

Sorteer op:

Weergave: