Prijsvergelijker Beslist.nl verspreidt malware

De prijsvergelijker Beslist.nl heeft dinsdagmiddag urenlang malware verspreid. Via het bannersysteem van de vergelijkingssite werden bezoekers besmet met de Zeus-malware. Beslist.nl waarschuwt bezoekers zonder virusscanner.

Wie zonder virusscanner afgelopen dinsdag tussen twee uur 's middags en zes uur 's avonds op Beslist.nl is geweest, is mogelijk besmet met malware. Dat heeft de vergelijkingssite bekendgemaakt. "De malware is verspreid via het bannersysteem", zegt woordvoerder Carla Vaandrager van Beslist.nl.

Het gaat om de Zeus-malware, een trojan die in staat is om logingegevens van banken te stelen. Bij hoeveel gebruikers de malware is geïnstalleerd, is onbekend. Volgens Vaandrager zijn er geen meldingen binnengekomen van besmette klanten.

Welk advertentiesysteem precies werd gebruikt, kan Vaandrager niet zeggen. Er zijn echter aanwijzingen dat Beslist.nl de opensource-advertentieserver OpenX gebruikt. Die software staat bekend als niet erg veilig. Vorig jaar nog wisten aanvallers via OpenX-servers bezoekers van websites van Wegener, Sanoma en Reed Business te besmetten, evenals Nieuws.nl.

IT-banen

Reacties (64)

Verwijderd 16 augustus 2012 14:00

Voor degene die logs hebben om door te spitten.
De URL waar de exploit vanaf werd geladen was h__p://onlineswapss . info/forum/index.php?showtopic=903878
Sophos Anti-Virus detecteerde deze pagina als Troj/ExpJS-EG
Kort nadat ik een onderzoek instelde (2012-08-14 15:14:16 UTC ) was de URL al down gehaald (URL had geen DNS record meer.)

Verwijderd @Verwijderd • 16 augustus 2012 14:28

Thanks, hier was ik al naar op zoek. Vijf Gb aan logging zoekt al niet zo handig maar nu kan ik wat gerichter aan de slag.

Cubic X 16 augustus 2012 13:29

Daarom moet je dus ad blockers en NoScript draaien als plug-in in je browser, dan heb je al dit soort gezeik niet.

freaky @Cubic X • 16 augustus 2012 13:42

Eens, maar kom steeds vaker sites tegen met een ad blocker blocker. Ook wel begrijpelijk, het zijn hun inkomsten.

Feit is wel dat veel van die virussen vaak via die reclames komen.

Remz @freaky • 16 augustus 2012 13:54

Ik heb liever een berichtje op de plek waar ads staan met iets zoals: Wij hebben ads, whitelist ons. Dan dat ik toch de reclame te zien krijg.

Ik heb zo'n stuk code ook op mijn site staan om mensen duidelijk te maken dat zonder de inkomsten van de ads ik me site niet draaiend zou kunnen houden.

Je kan ook te ver gaan met reclames(dumpert.nl), daar gebruikt iedereen een ad blocker omdat de ads zeer irritant zijn.

Een simpele google adsense zal ik dan ook niet zo snel blokkeren, maar van die schreeuwerige reclame zoals telegraaf heeft of reclames in videoplayers blokkeer ik meteen.

freaky @Remz • 16 augustus 2012 14:01

Het probleem is dat ik jou wellicht wel vertrouw - maar die club waar jij je ads van betrekt waarschijnlijk niet

Verwijderd @freaky • 16 augustus 2012 20:55

En zelfs degene die je vertrouwt en die voor zijn site een OpenX adserver runt, kan jou besmetten. Net zo rampzalig dus. Aantal maanden geleden was nu.nl al gehackt op z'n CMS systeem, daar doe je ook weinig tegen als je nu.nl zou vertrouwen. Ofwel, je bent nooit veilig als je op internet bent.

Verwijderd @freaky • 16 augustus 2012 13:57

Daar zeg ik dan weer tegen: Element hiding helper plugin voor adblockplus in firefox.
Die plugin icm webontwikkelaar >inspecteren mode (ctrl+shift+i) binnen firefox gaat echt geen adblocker stopper tegen op kunnen.

Devaqto @Cubic X • 16 augustus 2012 13:56

Plugins voor je browser beschermen niet tegen dit soort fratsen. Ze verbergen de elementen alleen, dus je haalt 'het' wel binnen.

Pep7777 @Devaqto • 16 augustus 2012 14:43

De oplossing is dus ook, de elementen tegenhouden voordat ze in je browser terecht komen. Ik gebruik daar privoxy voor (privoxy.org), dat is een proxy en draait dus tussen je browser en internet

Je kan met filter instellingen (reguliere expressies) code uit de html filteren voordat het doorgestuurd wordt naar je browser. Wat mij betreft ideaal.
En dan kan je ook nog url's configureren waar hij niet eens een dns lookup van mag doen.
Met een beetje handige configuratie houd je dus al een hele hoop zaken uit je browser scripts, reclame, bepaalde javascript calls (zoals document.referrer)

intraxi @Pep7777 • 16 augustus 2012 18:11

Handig als die wordt geinfecteerd heb je meteen een mitm situatie en die privoxy malware code zag ik laatst ook voorbij komen..

ATS @Devaqto • 16 augustus 2012 14:10

Plugins voor je browser beschermen niet tegen dit soort fratsen. Ze verbergen de elementen alleen, dus je haalt 'het' wel binnen.

De ene plugin in de andere niet, en de ene browser is de andere niet.

BastiaanCM @Devaqto • 16 augustus 2012 14:20

Adblock blokkeert het downloaden van de Ads al sinds versie 2.0.

Ik vind dit best wel een kwalijke zaak van beslist.nl ook al is het advertentiesysteem niet van hun. Het is wel hun website die je bezoekt en dus met hen heb ik te maken.

Donool @Cubic X • 16 augustus 2012 13:46

Mee eens, ik moest laatst iets downloaden via zo'n premium generator site( Ja ik weet het, niet handig maar het kon niet anders) en daarbij MOET je adblocker uit, ik Adblock uitzetten, refresh meteen een java crash in beeld, toen nog 1, toen begonnen de popups en sloeg Scotty van Winpatrol ophol. Gelukkig kon ik daarmee het meeste tegenhouden maar kaspersky vond uiteindelijk toch 65 trojans/malware/infecties..

Het is ook niet de eerste keer dat het via een Ad systeem gebeurd, misschien moeten ze toch eerst de advertenties lokaal hosten nadat ze gecheckt zijn zodat je geen advertenties krijgt die een dag later opeens een hele andere inhoud hebben omdat je ze dan zelf host en dus malware buitensluit.

SKiLLa @Donool • 16 augustus 2012 15:35

Tja, daar heb je dan VMs en Sandboxes voor; als je weet dat je op een onbetrouwbare site zit, dan moet je wel maatregelen nemen. Of zou je ook gewoon sex zonder condoom hebben met iemand waarvan je weet dat die HIV-positief is ?

Cronax @Donool • 16 augustus 2012 15:45

Ik snap niet hoe je ooit uit kan komen op de conclusie "het kon niet anders" als het om een generator site gaat, al dan niet premium...het kan namelijk WEL anders, je kan voor de software betalen of je kan een gratis alternatief zoeken. Een gratis alternatief is NIET het downloaden van het originele programma met een crack erbij...

Of misschien begrijp ik je verkeerd en gaat het om een ander soort generator, in dat geval ben ik zeer benieuwd naar de uitleg waarom er echt geen andere optie was...

Verwijderd @Cubic X • 16 augustus 2012 14:13

Nog verstandiger is, het programma TimeFreeze van ToolWiz te downloaden en te installeren, geheel virtueel en na afloop van het surfen (of wat dan ook) even de machine rebooten en eventuele bende op je systeem is als sneeuw voor de zon verdwenen, gebruik het al een jaar en heb al vele tientallen reddingen gehad van mijn systeem. IK zag opeens java opengaan en toen begon de ellende, het stikte van de malware en zag de vreemdste dingen gebeuren op het systeem, toen de boel uitgeraasd was, alleen mijn machine een harde reset gegeven en voila, het systeem was weer zo schoon als uw kunstgebit

intraxi @Verwijderd • 16 augustus 2012 18:14

Hoezo koude start ? Gewoon SandBoxie,dan hoef je alleen de browser te herstarten !

Verwijderd @intraxi • 16 augustus 2012 18:58

Ik heb sanboxie gebruikt, maar deze bleek niet volledig 64bit compatibke te zijn, zelfs nu zijn er nog wat problemen mee op 64bit.

Verwijderd @Cubic X • 16 augustus 2012 15:42

Het probleem lost zich dan vanzelf op: dit soort site stoppen er dan gewoon mee vanwege gebrek aan inkomsten.

thomasv @SuperDre • 16 augustus 2012 13:34

Hoezo naïef? Ergens heeft hij wel een punt. Als je dit soort diensten standaard al blokkeert ben je in mijn ogen juist het tegenovergestelde van naïef.

batjes @thomasv • 16 augustus 2012 13:42

zover ik weet in bv Chrome worden de ads nog wel geladen maar alleen niet meer displayed als je iets als Adblockplus draait.

Verwijderd @batjes • 16 augustus 2012 13:53

Hij heeft het ook over noscript, dus firefox.
Ik kan het iedereen die dit soor gezeik niet wil aanraden om deze plugins te installeren.

Het is jammer voor de websites die zo inkomsten mislopen maar het gebeurt gewoon te vaak dat we besmet worden zonder dat we er erg in hebben.

Cronax @Verwijderd • 16 augustus 2012 15:39

Chrome word slechts als voorbeeld aangehaald...alle noscript of adblock plugins werken client-side, dus moet je nog altijd de originele pagina ophalen van de server. Dat de code voor advertenties vervolgens niet uitgevoerd word is deel twee, maar dan is het nog altijd mogelijk om geinfecteerd te worden, hoewel onwaarschijnlijker.

Verwijderd @Cronax • 16 augustus 2012 20:53

Dan werkt het het beste om (onder Windows iig) de hosts file aan te passen en alle ongewenste hosts te verwijzen naar localhost, c.q. reclame wordt dan geladen van je pc waar het dus niet echt staat. Dan wordt er echt niets opgehaald, en browse je ook sneller. Jammer voor de aandeelhouders, maar voorkomen is beter dan genezen.

IngamerX @Verwijderd • 16 augustus 2012 23:55

Interessant

Hoe doe je dat dan?

World Citizen 16 augustus 2012 13:30

En is dit OS afhankelijk ?

*edit: thanks Tjoekie... wellicht iets om erbij te zetten in het nieuwsbericht?

[Reactie gewijzigd door World Citizen op 30 juli 2024 22:36]

asing @World Citizen • 16 augustus 2012 13:36

Ja en nee. Ja, die botnets zijn OS afhankelijk. Ze targetten Windows systemen.

Nee, AdBlock en bijvoorbeeld Ghostery zijn niet OS afhankelijk. Het zijn echter plugins voor Firefox. Of ze ook andere browsers ondersteunen is mij niet bekend. Ik heb zelf sinds kort Ghostery draaien en ben zeer tevreden. Je krijgt inzicht in de advertentieservers die gebruikt worden, hun privacy statement en of ze je data doorverkopen.

Sommige sites (ik noems Tomshardware.com) hebben meer dan 15 van die plugins actief, en dat per pagina. 10 ervan advertenties, de rest Facebook, google analytics etc.

Mandrake466 @asing • 16 augustus 2012 13:39

Ik gebruikte Ghostery ook op mijn Windows 7 maar op de een of andere manier werden sommihe pagina niet goed geladen. nadat ik Ghostery had verwijderd ging het wel goed.

Miglow @Mandrake466 • 16 augustus 2012 18:14

Ik heb dat bij ABNAmro, daar kan je niet inloggen zonder Omniture.

sypie @asing • 16 augustus 2012 13:52

Het zijn ook plugins voor Safari, dus niet enkel Firefox.

stresstak @asing • 16 augustus 2012 16:06

AdBlock en bijvoorbeeld Ghostery zijn niet OS afhankelijk. Het zijn echter plugins voor Firefox.

Ghostery draait bij mij voor Opera en Chrome onder Windows.

Tjoekie @World Citizen • 16 augustus 2012 13:33

De Zeus trojan richt zich alleen op Windows. Mac OS X en Linux hebben er dus geen last van gehad.

kaas-schaaf @World Citizen • 16 augustus 2012 13:34

Zeus is een Windows-malware/botnet client dus dit is een windows besmetting.

CMG 16 augustus 2012 13:34

Malvertising; het komt heel vaak voor; krijg je als je een minder reputabel advertentie netwerk gebruikt die dit soort dingen niet screent.

-=bas=- @CMG • 16 augustus 2012 14:13

De advertentiewereld is een stuk complexer dan je misschien in eerste instantie zou denken.
Veel kleinere netwerken beheren niet de banners maar linken weer door naar een andere partij.

stresstak @CMG • 16 augustus 2012 16:09

Ha, je bedoelt dat de advertentiewereld nog minder te vertrouwen is dan je misschien zou kunnen denken. Doorlinken is niet per se complexer, wel gevaarlijker, blijkt

thomasv 16 augustus 2012 13:32

Toch is de titel verkeerd. Het bannersysteem verspreidde de malware. En zoals in de tekst staat is het waarschijnlijk OpenX. Nou snap ik dat je zelf wel een dergelijke keuze maakt als site voor welk systeem je gebruikt, maar de titel legt de schuld op beslist.nl

[Reactie gewijzigd door thomasv op 30 juli 2024 22:36]

Ariejan @thomasv • 16 augustus 2012 13:44

Titel is prima in orde. Beslist.nl gebruikt een blijkbaar gehackt advertentiesysteem, waardoor Beslist.nl malware verspreidt.

jkommeren @Ariejan • 16 augustus 2012 13:53

De vraag is of het nu relevant is of beslist de verspreider is, of dat er malware verspreid wordt via de website. Mij lijkt het laatste het geval, gezien de doelgroep op deze website.

Nog een voorbeeld, er staat niet "website beslist punt nl etc"., maar Prijsvergelijker. Hiermee wordt de vinger duidelijk naar het bedrijf beslist gewezen. Ook een beetje overdreven als het bewust is gedaan, en anders een beetje slordig.

Overigens gaat het wel vaker mis bij titels heb ik het idee, ook met gevoelige onderwerpen en speculatie daarover in de titel zelf. Die worden vervolgens vaak ook niet meer gecorrigeerd, jammer.

Ik neem tegenwoordig dan ook de berichten met een flinke korrel zout. Jammer, want tweakers kwam in het begin wel degelijk gegrond en intelligent over.

[Reactie gewijzigd door jkommeren op 30 juli 2024 22:36]

T-8one 16 augustus 2012 13:34

Hmmm, ik kreeg dinsdag al een waarschuwing van Chrome dat die website mogelijk niet veilig was. Ik heb de waarschuwing genegeerd

Het bezoek was trouwens wel dinsdag avond rond 9 uur, en als het goed is, is m'n virusscanner up to date.

freaky @T-8one • 16 augustus 2012 14:03

Meestal moet het virus eerst in het wild komen, als het gerichte aanvallen doet duurt het vaak veel langer voor de A/V clubs een sample hebben, dan moet het de AV leverancier opvallen, sample vergaren, analyseren, definities schrijven, uitrollen.

Tegen die tijd zijn de nodige mensen al besmet.

GlowMouse 16 augustus 2012 13:34

OpenX is inderdaad berucht. Ik heb zelfs eens met een volledig geüpdate versie problemen gehad. Sindsdien draai ik het niet meer.

Bij de infectie van nu.nl moest je als bezoeker een oude versie van Adobe Reader draaien om geïnfecteerd te raken. Helaas maakt beslist.nl niet bekend hoe de infectie precies verliep. Een goede test om regelmatig te draaien is secunia. Die linkt ook direct naar de downloads wanneer je een oude versie van iets draait.

ekimpadd @GlowMouse • 16 augustus 2012 13:41

Een veelgebruikte tool is Hitman Pro. Deze is gemaakt door de nederlander Mark Loman en combineert verschillende virus en spyware programma's.

Website van Mark Loman
http://www.surfright.nl/nl/

[Reactie gewijzigd door ekimpadd op 30 juli 2024 22:36]

Verwijderd 16 augustus 2012 14:42

Maar als je dus een up-to-date virusscanner hebt van bijvoorbeeld Microsoft is er niets aan de hand?

Helpt het overigens als je je webbrowser in een sandbox draait tegen dit soort virussen?

[Reactie gewijzigd door Verwijderd op 30 juli 2024 22:36]

SED @Verwijderd • 16 augustus 2012 15:42

omdat de laatste week massaal het begrip virus in de pers misbruikt is: dit is geen virus!
Malware is een verzamelnaam. virussen is daarvan een onderdeel met eigenschappen die eigenlijk niet meer bestaan.
Dorifel is geen virus
Citadel is geen virus
zeus is geen virus

Laten we tenminste proberen op it sites de juiste begrippen te gebruiken, zoals de schrijven van het artikel ook netjes deed.

De MS Security essentials heeft inmiddels herkenning hiervoor. Als er weer nieuwe varianten van citadel rondwaren blijft de eis da tje nooit op onbekende links klikt die zomaar wat gaan installeren. Bewust internet gebruiken blijft altijd de beste beveiliging.

[Reactie gewijzigd door SED op 30 juli 2024 22:36]

ShellGhost 16 augustus 2012 14:40

Bizar trouwens dat een site als beslist.nl gebruik maakt van een discutabel bedrijf voor hun banners.
Zou verwachten dat ze beter zouden weten.

Bender @ShellGhost • 16 augustus 2012 14:48

Wat is dan het discutabele bedrijf?

Cronax @Bender • 16 augustus 2012 15:50

Het 'discutabele bedrijf' is in deze OpenX, waar de advertenties door geserveerd werden.
Of beslist.nl 'beter had moeten weten' valt nog te bediscussiëren, "you don't know what you don't know"...een mens kan nu eenmaal niet alles weten...

phubert 16 augustus 2012 13:35

Alweer??? Vorige keer was het ook bij een veel bezochte site...

Daarom gebruik ik Safari met Ad-blocker en Facebook Cleaner, heerlijk geen reclame en de websites laden ook stukken sneller.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: