De malware waarmee Omroep Zeeland zijn gebruikers onbedoeld besmette, was een kloon van de beruchte Zeus-malware. Dat stelt een beveiligingsexpert. De malware kan worden gebruikt om fraude met internetbankieren te plegen.
Donderdag bleek dat meerdere browsers de website van de Omroep Zeeland blokkeerden, omdat er mogelijk sprake was van malware. Beveiligingsexpert Erik Loman van Surfright, ontwikkelaar van Hitman Pro, stelt in een reactie op Tweakers.net dat het gaat om de trojan Citadel, die kan worden gebruikt om fraude met internetbankieren te plegen. Citadel is een opensource-kloon van de beruchte Zeus-trojan.
Omroep Zeeland was vrijdag niet in staat om een reactie te geven op de bevindingen van Loman. Wel heeft de omroep donderdagavond bevestigd dat er sprake was van malwareproblemen. Waarschijnlijk waren banners op de site verantwoordelijk voor het verspreiden van het virus; dat is een techniek die criminele groeperingen vaker gebruiken om malware te installeren.
Loman stelt dat de trojan via een Java-exploit is geïnstalleerd. Het advies van Omroep Zeeland om AVG of Avira te gebruiken om de trojan op te sporen, heeft waarschijnlijk weinig zin, omdat deze de malware nog niet herkennen. Ook veel andere virusscanners, zoals die van Avast, Microsoft, Sophos en Symantec herkennen het virus nog niet. Onder meer Kaspersky, NOD32 en een McAfee-editie doen dat wel.
De Omroep Zeeland adviseert om de virusscanner te updaten voordat deze wordt gebruikt, maar een van de 'features' van Citadel is juist dat updates van virusscanners via dns-wijzigingen worden verhinderd. Hoeveel gebruikers door de trojan zijn getroffen, is onbekend.
Het gaat om andere malware dan bij NU.nl; die site werd getroffen door de Sinowal-trojan, die al jarenlang logingegevens van gebruikers steelt. Die vestigt zich in het master boot record van de harde schijf, waardoor veel beveiligingssoftware moeite heeft om het virus te verwijderen. Naar schatting 100.000 NU.nl-bezoekers zijn besmet met die trojan.
Eerder deze week werd ook Bart Smit getroffen door malware-waarschuwingen in browsers. Of er daadwerkelijk malware aanwezig was op de site van de speelgoedwinkelketen is onduidelijk. Het bedrijf wil niet ingaan op de zaak: "Wij geven nooit interviews", laat het hoofdkantoor weten.
Update, zaterdag 16:13: Bij de reactie van Loman moet worden aangemerkt dat Loman weliswaar de malware onderzocht die waarschijnlijk op Omroep Zeeland te vinden was, maar dat dat niet met zekerheid te zeggen is. Hij haalde de malware namelijk van een andere website, die waarschijnlijk met dezelfde malware besmet zou zijn geweest. Ook is de analyse van VirusTotal soms niet altijd correct, waardoor niet duidelijk is of AVG, Avira en overige virusscanners de dreiging daadwerkelijk niet herkennen. Dat laat Roel Schouwenberg van Kaspersky weten.