Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

De website van Omroep Zeeland wordt door een aantal browsers geblokkeerd omdat deze malware zou bevatten. Ook Google blokkeert de website. Daarnaast zou het interne netwerk van de omroep last hebben van een trojan.

Wie omroepzeeland.nl via Firefox, Chrome of Safari wil bezoeken, krijgt door de browser een waarschuwing voorgeschoteld. Daarin is te lezen dat de website besmet zou zijn met malware. Ook links via Google tonen een waarschuwing, terwijl Opera en Internet Explorer de website wel openen.

De NOS meldt dat de site van Omroep Zeeland vermoedelijk malware heeft geserveerd via een advertentie. Om welke malware het precies gaat, is nog niet duidelijk. De site heeft uit voorzorg alle advertenties op zijn site uitgeschakeld en zou weer veilig zijn.

De redactie van de regionale omroep zou ook getroffen zijn door malware: een trojan zou actief zijn op het interne netwerk van de redactie. Of de trojanbesmetting in verband staat met de geserveerde malware op de site van de omroep, is nog niet bekend.

De nieuwssite Nu.nl serveerde twee weken geleden ook malware aan zijn bezoekers. Criminelen zouden inloggegevens van het cms-systeem in handen hebben gekregen waardoor zij kwaadaardige code op de site konden plaatsen.

Moderatie-faq Wijzig weergave

Reacties (63)

Een Russische website van HTC serveerde net nog steeds dezelfde malware als omroepzeeland.nl
http://safebrowsing.clien...dejhs5.dyndns-server.com/

Zojuist vanuit een testomgeving de HTC website in Rusland bezocht en kreeg malware ge´nstalleerd via: delpz4.dyndns-server.com

Hier de huidige classificatie van Google:
http://safebrowsing.clien.../delpz4.dyndns-server.com

Via een Java exploit breekt de malware uit de browser en installeert Trojan.Winlock (ransomware) Banking Trojan Citadel.

De JAR file met de Java exploit:
https://www.virustotal.co...d605/analysis/1333046499/

De ge´nstalleerde malware:
https://www.virustotal.co...2622/analysis/1333047138/

Omroep Zeeland adviseert AVG of Avira maar volgens virustotal weet ik niet of dat wel gaat helpen gegeven bovenstaande VirusTotal link:
www.omroepzeeland.nl/nieu...eest-gebruik-virusscanner

Hier de hooks die Citadel plaats om talrijke Windows APIs:
https://twitter.com/#!/er...85473596251058177/photo/1

UPDATE: Het is Banking Trojan Citadel.

Dit is zogenaamde Open Source malware:
http://blog.seculert.com/...urce-malware-project.html:
Security vendors websites blacklist – Machines infected with Citadel cannot access websites of information security vendors. This blocks the option to download new security products, or get updates from currently installed products (e.g. Anti-Virus updates).
Dit verklaard Henkie-Jan's probleem (hieronder) om updates op te halen.

Eigenschappen van Citadel: AES Encryption, Avoiding Trackers Detection, Security vendors websites blacklist, Trigger-based Video Recording.

Er wordt actief aan Citadel gewerkt, hier de release notes van de Spring Edition:
http://cyb3rsleuth.blogspot.com/2012/03/citadel-13.html

[Reactie gewijzigd door erikloman op 30 maart 2012 01:32]

Heb het virus zelf ook opgelopen op een website vanmiddag. Kreeg de melding van de Windows firewall dat maunu.exe toegang wou tot internet. Aangezien ik dit erg vreemd vond heb ik dit geblokkeerd. Vervolgens wou ik naar een online scanner gaan maar werd steeds doorverwezen naar de startpagina van Google. Uiteindelijk via een kameraad MBAM toegestuurd gekregen en mee gescand. Deze heeft het virus kunnen verwijderen.

Heb het virus ook geupload naar virustotal.com. Zie: https://www.virustotal.co...c59c/analysis/1333028585/

Dezelfde malware als hierboven beschreven staat. MSE herkende hem nog niet!
Malware Bytes anti malware was voor mij als pc kneus onbekend, toch maar even online opgezocht.
Via dat programma is er niets te vinden op mijn pc.
Tijdens het typen van dit bericht kreeg ik via de realtime scan wel een melding dat utorrent werd geblokkeerd.
In ieder geval bedankt voor je tip, dus zal ik voorlopig utorrent maar even links laten liggen.
Hoe controleert tweakers.net eigenlijk de veiligheid van haar advertenties? Zijn daar met de adverteerders procedures voor afgesproken?

[Reactie gewijzigd door Kalief op 29 maart 2012 18:23]

welke advertenties? adblock for life <3
Ik schakel die Adblockers altijd uit op site's waar ik vaak kom.
De Tweakers.net crew is de hele dag bezig met het onderhouden van TW.net en zorgen dat het laatste nieuws er snel is.
Ze verdienen geld met onder andere de advertenties en bieden een banner vrij abbo aan voor de mensen die geen advertenties willen.
Als ik er werkte dan zou ik wel een Adblock blocker script zetten op de site ;)
Volgens mij krijg je pas betaald als mensen ook echt op je banner klikken dus dan heeft het geen zin om adblock uit te schakelen als je toch niet erop gaat klikken.
een bedrijf/ wat dan ook betaald geld om zijn advertentie op een vaak-bezochte site te plaatsen, het doel is om de advertentie te laten zien, je hoeft er niet speciaal op te klikken :)

of denk jij dat Tweakers zo maar ads op de site zet zonder hiervoor betaald te worden, en uiteindelijk hopen dat er iemand op klikt?
vele ads werken ook met (per 1000) views AFAIK
VNU Media verdient genoeg geld aan de clicks op de pricewatchproducten, waardoor webshops flinke rekeningen mogen ontvangen... die ad's mogen ze best weglaten...
Weinig medelijden met VNU...
Altijd fijn als mensen doen alsof ze inzicht hebben in onze inkomsten en uitgaven. Linksom of rechtsom kost het maken van Tweakers.net gewoon geld. Met alleen de Pricewatch zouden we het echt niet redden. Voor de mensen die het lastig vinden om in te schatten hoeveel mensen er dagelijks bij Tweakers.net zijn betrokken: de club mensen tikt de vijftig al aan (http://tweakers.net/contact).
Da's dan gemiddeld 0.5 newsposts per man per dag. Gaat er zˇveel tijd zitten in het onderhouden van de site, bijhouden van de fora en het zoeken naar adverteerders?

Ik meen me te herinneren dat een paar jaar terug het gemiddeld aantal posts per medewerker toch wel iets hoger lag...(no offence)
Als je nou even de moeite neemt om te kijken naar welke functies mensen hebben, dan snap je dat niet iedereen bezig is met het schrijven van nieuws. Een paar jaar geleden publiceerden we half zoveel nieuws en nagenoeg geen reviews.
ff offtopic: gaan we nog getrakteerd worden op een 680GTX review?
Wat je in je eerste zin plaatst, kun je veranderen.
Geef meer inzicht in de inkomsten en uitgaven (of laat VNU dit doen)!
Ben zo open en laat eens zien aan de Tweakers wat een click kost...
Het zal ogen openen...
Tweakers staat adblockers niet toe.
Ben je op zoek naar een ban hier op tweakers?
Lol k. Toch durf ik er geld op te leggen dat minstens 25% hier wel een Script/Ad block op z'n browser heeft staan. Waar staat overigens dat dit niet mag? Bepaal toch zelf wel hoe ik m'n browser gebruik en instel? Klinkt als bullshit.
Ik schakel ze dus nooit uit, want klikken op ads doe ik al helemaal niet.

Feit is gewoon dat verspreiding via ads veel meer voorkomt dan men denkt, ook MSN had er de laatste tijd weer eens last van zwaar te worden door de ads van een bepaalde aanbieder en dat maakt mijn pc (msn) traag. Punt..

Wellicht is dat ook de reden dat ik hier nooit geen last of hinder ondervind van adaware en andere zooi, door heel bewust zelf te bepalen wat ik wel of niet wil zien en dat heeft ons al meer dan 8 jaar virus vrij gehouden en zijn we sinds 2005 gestopt met een virus scanner op de pc.
En testen (externe scans) bewijzen het, we blijven vrij van zooi.

En dan is er een bedrijf die gaat bepalen wat ik wel of niet mag zien als ik hun site bezoek. Welke wetsregel heb ik gemist.? en voorwaarden moeten voldoen aan de wet. Wat zal deze site veel geld verloren hebben vroeger toen ze nog niet zoveel reclame uiting deden, hoe hebben ze die periode dan kunnen overleven.?

Ad-block.? ja omdat het gewoon de veiligheid vergroot... Punt uit.

Om in te loggen op tweakers moet ik eerst alle veiligheden uitschakelen omdat ik er anders niet kan inloggen, je weets wel cookies en zo.
Als er ooit malware via tweaker.net door adverteerders wordt geserveerd kan tweakers.net ervoor kiezen om iedereen tijdelijk van een My.Tweakers.net Bannervrij-abonnement te voorzien. ;)

Edit: typo

[Reactie gewijzigd door Ram-G-maN op 29 maart 2012 18:31]

Men kan de advertentie controleren. Ik neem aan dat er ook wel andere opties zijn als kwaalwillende adverteerders in de tussentijd de advertentie veranderen of iets dergelijks door middel van meerdere controles.
Nope, op het moment dat je content van een ander domein serveert ben je overgeleverd aan die partij.

Je kan die url 100x of 1000x of 10.000x controleren voordat je hem serveert, de externe partij kan de content op elk moment wijzigen zonder dat jij het doorkrijgt (of je moet voor elke ad-serving een check, maar dat is leuk met 100.000 bezoekers, dat is 100.000 checks in real-time die je bezoekers vertraagt)

In theorie kan een echt kwaadwillend persoon de malware enkel serveren aan 1 op de 5 bezoekers met chrome versie x en die niet in de ip-range y vallen. Veel plezier met dat controleren...
Je moet ook niet direct ads vanuit andermans server op je website zetten. Je kan een adserver draaien en je klanten kunnen de ads altijd updaten op jouw server en bij elke update controleer je op kwaadaardigheid.

[Reactie gewijzigd door HakanX op 30 maart 2012 03:33]

Nee, bouw een server waar je alle data voor ads opslaat. Op zich een mooie utopie, maar de ruimte die nodig is, is enorm. Nog niet te spreken over bandbreedte...
Dat is dan dus te laat. Advertenties moeten vooraf gecontroleerd worden, zodat al dit gedoe achteraf ook niet nodig is. Voorkomen ! niet genezen.
Tevens was ook bartsmit.com te dupe! Dit is op Webwereld te lezen }:O
of je gebruikt adblocker en do not track plus ;)
Of een linkje naar AdBlock extensie...
Tsja, ik snap heel goed dat adblockers niet leuk zijn voor sites. Dit soort nieuws echter stuurt je toch echt wel die kant op.
Adblock+, noscript, beide onder firefox zijn toch wel steeds harder nodig met al dit nieuws...
als ze adblock gaan stimuileren verdienen ze dus zelf niks meer, dus dat zullen ze nooit doen
Tweakers.net beheert zijn eigen advertentiesysteem en heeft een afdeling die de uitingen inboekt. We hopen uiteraard dat er op dat gebied niets mis gaat, maar proberen wel op te letten op verdachte zaken vanuit banners. Tot op heden is het gelukkig nog niet voorgekomen dat we daarom moesten ingrijpen.
Daar had onderstaande site, net ook last van.
http://www.regiohoogeveen.nl/
Toen ik de site verliet en opnieuw bezocht was er geen waarschuwing meer te lezen.
Bij mij zegt ie nog wel dat er malware is, Chrome.
Ik kreeg alleen de eerste keer die melding, met Firefox, maar de melding kwam van Google.
Maar vanmiddag had ik die melding op dezelfde site ook al een keer gehad, daarna waren ze offline voor onderhoud.
Als je met Google Safe Browsing Google.com zelf eens onder de loep neemt dan blijken ze zelf ook niet helemaal schoon te zijn: http://safebrowsing.clien...l&site=http://google.com/
:?
Ik denk dat dat komt door de Cache die ze van websites bijhouden.
tweakers.net heeft het ook 3 keer gedaan in 90 dagen tijd hoor... zeer zuiver is dit dus ook niet? http://safebrowsing.clien...&site=http://tweakers.net
Ehm maar wat gebeurt er dan precies, zodra je de toch besluit de site te bezoeken heb je al problemen? Gaat toch om trojans, die doen pas wat als je et toestaat.

Een beetje antivirus houd dat al tegen.
De infectie-website serveert tal van exploits voor o.a. Java, Adobe Reader, Flash, etc. en breekt op die manier uit je browser. Vervolgens wordt -ongevraagd- malware ge´nstalleerd die door een enkele AV nog maar herkend wordt:
https://www.virustotal.co...c59c/analysis/1333028585/

Dus het gebeurd zonder dat je het in de gaten hebt.
Inderdaad. Had dus zelf dat virus ook opgelopen maar door de Windows Firewall kwam ik er achter dat een verdacht programma verbinding met internet wou. MSE herkende hem niet!
Je hosts file aanpassen werkt toch nog het beste om ongewenste third-party content uit te schakelen. Beschermt erg goed tegen malware.

http://winhelp2002.mvps.org/hosts.htm
Totdat die mvps-hostfile een keer ge´nfecteerd is en je ipv naar abnamro.nl ineens naar een heel andere site stuurt.

Dit is imo niet de goede manier om het probleem aan te pakken!
Los van het feit dat bovengenoemde site betrouwbaar is, kun je uiteraard altijd even de inhoud controleren. Dit is snelle scan door de hosts file waarbij je alleen maar hoeft te checken dat alles met 127.0.0.1 begint. Gelukkig hoef je dit alleen maar bij het 'installeren' te doen. De hosts file zal nooit zich zelf aanpassen. (Los van externe malware).
Totdat je je realiseert dat de mvps hosts file door onder andere Adblock Plus word gebruikt.
Sterker nog, Adblock Plus laat tegenwoordig zogenoemde "acceptable ads" toe! Dit is niet het geval als men de mvps hosts gebruikt.

In mijn ogen is de hosts file juist de beste manier om het probleem aan te pakken, zeker gezien het feit dat je zelf controle hebt over wat wel en niet geblockt word op deze manier.

[Reactie gewijzigd door dedicated1 op 30 maart 2012 12:55]

Gerapporteerde aanvalpagina!

Die melding krijg ik met Firefox ;)

Zowel omroep zeeland als regio hoogeveen
Is dit niet dat bekende SOL-injection lek die een tijdje geleden weer flink opbloeide?
Beetje vreemd dat niet bekend is of de redactie trojan en de waarschijnlijk via advertentie geserveerde trojan (n)iets te maken heeft met elkaar? Je zou toch bijna gaan denken dat er een soort keylogger intern aan de gang is geweest en "ze" hun gang hebben kunnen gaan.
Ik hoop het niet voor ze.
Omroepzeeland.nl doet het weer op firefox! :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True