Forum iBood linkt naar verdachte code - update 2

Bezoekers van het iBood-forum krijgen al ruim een week lang malware geserveerd, zo wordt gemeld op Gathering of Tweakers. De aanvaller lijkt met behulp van exploits in een Java-plugin systemen van bezoekers te willen besmetten.

Op het GoT-forum maken bezoekers er melding van dat antivirus-software verdachte activiteiten signaleert op het forum van webwinkel iBood. In diverse openingspostings van een iBood-artikel is verdachte code opgenomen die met behulp van een iframe op het domein nl.effes.net php- of javascriptcode aanroept. Vervolgens zou de malware proberen om een systeem te besmetten door middel van een jar-bestand dat de Java-plugin nodig heeft. Vermoedelijk misbruikt de malware een exploit in de Java-plugin, een gangbare prooi voor kwaadaardige code.

Hoewel het domein effes.net de melding geeft dat de toegang geblokkeerd is 'in verband met verdachte activiteiten', is de javascript-code nog oproepbaar. Het bestand i.php is echter leeg. Mogelijk zijn de verwijzingen naar effes.net in de templatecode geplaatst, omdat deze steeds in elke openingspost op het iBood-forum is te vinden. Volgens sommige bezoekers is de kwaadaardige code al een week op het forum aanwezig ondanks meldingen aan iBood. De webwinkel kon nog geen reactie aan Tweakers.net geven. Woensdagmiddag werd wel een posting met de kwaadaardige code verwijderd, maar dat leek slechts een incidenteel geval.

Niet alleen het forum van iBood lijkt besmet, maar ook de domeinen Ibann.org en Bevrijdingspop.nl hebben in de html-broncode verwijzingen naar het verdachte domein. Hoe de aanvallers de code op de websites hebben kunnen plaatsen, is niet duidelijk.

Update 15:20: iBood laat aan Tweakers.net weten dat het momenteel bezig is om de kwaadaardige code te verwijderen. Hoe deze in het forum terecht is gekomen, is nog onduidelijk.

Update 16:00: iBood zegt alle links naar de kwaadaardige code uit het forum te hebben verwijderd. De code zou door de aanvaller met behulp van een bug in de forumsoftware in de postings geplaatst zijn. Het beveiligingsgat zou inmiddels ook zijn gedicht.

AVG-waarschuwing op forum van iBood

Door Dimitri Reijerman

Redacteur

Feedback • 26-09-2012 14:58
94 • submitter: Patriot

26-09-2012 • 14:58

94

Submitter: Patriot

Lees meer

Aanbiedingensite 1DayFly.com lijkt failliet te gaan
Aanbiedingensite 1DayFly.com lijkt failliet te gaan Nieuws van 23 januari 2019
Oracle activeert auto-updatetool voor migratie naar Java 7
Oracle activeert auto-updatetool voor migratie naar Java 7 Nieuws van 17 december 2012
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen Nieuws van 23 september 2012
'Flame-virus trof ook Nederlandse computers'
'Flame-virus trof ook Nederlandse computers' Nieuws van 17 september 2012
Website Nujij belandt op zwarte lijst Google door malware
Website Nujij belandt op zwarte lijst Google door malware Nieuws van 5 juli 2012
Browsers blokkeren Omroepzeeland.nl door malwaredreiging
Browsers blokkeren Omroepzeeland.nl door malwaredreiging Nieuws van 29 maart 2012
Nu.nl serveerde kortstondig malware - update
Nu.nl serveerde kortstondig malware - update Nieuws van 14 maart 2012
Hackers besmetten Nederlandse internetters via advertentienetwerk
Hackers besmetten Nederlandse internetters via advertentienetwerk Nieuws van 3 oktober 2011
Website MySQL serveerde malware
Website MySQL serveerde malware Nieuws van 26 september 2011
Meer producten en artikelen
Privacy Beveiliging Malware

Reacties (94)

-Moderatie-faq
94
80
41
3
0
7
Wijzig sortering
tboynl 26 september 2012 16:11
Het lijkt erop dat mijn eerdere vermoedens toch klopt, maar dat zou betekenden dat het virus al sinds afgelopen vrijdag aanwezig is!
Op ‎21 ‎september bezocht ik rond 14:30 het forum van Ibood, en vrijwel meteen vraagt het programma ysez.exe om toegang tot mijn Windows firewall. Dit programma wordt dan ook automatisch opgestart met Windows en is opgeslagen in een AppData\Roaming map. Het programma maakte verbinding naar een ipadres in Tokio: 121.113.241.188

Op virustotaal waren enkele virusscanners die het bestand verdacht vonden (kan dus om een nieuw virus gaan). Sindsdien heb ik een volledige dump van het .exe bestand gemaakt, hierna het virus verwijderd en systeemherstel gedraaid. Hierna heb ik voorlopig alleen de homepage van Ibood bezocht.

Ik ben geen html/javascript programmeur of bekend met dit soort dingen, dus ik heb toen niet de code doorgespit, ook vanwege de kans om het per ongeluk weer op te lopen ;)

Overigens was tijdens het oplopen van het virus Windows, Java, en Adobe gewoon up-to-date.

[Reactie gewijzigd door tboynl op 25 juli 2024 20:32]

arniejj @tboynl26 september 2012 22:58
had het al met de ibood hunt op dinsdag.. dacht toen al huh hoe dan? Op de slowchat zag ik er niemand over praten dus dacht dat t ergens anders vandaan moest komen..
donny007 26 september 2012 15:09
De website waar de verdachte code naartoe linkt geeft aan:
Toegang via effes.net geblokkeerd in verband met verdachte activiteiten.
De verdachte code (uh09325.htm) is nog steeds benaderbaar.....

Dat domein staat op naam van ene "Oleg V." uit Oekraïne. Ook al is die informatie waarschijnlijk fake, het is wel verdacht.

Zoek maar is op het gebruikte telefoonnummer (7.4951111111), dat levert allerlei schimmige domeinnamen op. Bij minimaal één van deze domeinnamen (http://art-07.org/) wordt ik teruggefloten door Google Chrome (art-07.org bevat malware. Als u deze site bezoekt, raakt uw computer wellicht geïnfecteerd.).

[Reactie gewijzigd door donny007 op 25 juli 2024 20:32]

Anoniem: 126717 @donny00726 september 2012 16:14
Dat domein staat op naam van ene "Oleg V." uit Oekraïne. Ook al is die informatie waarschijnlijk fake, het is wel verdacht.
Volledige naam en titel:
Oleg V. Shevchenko
Advisor of the Chief Executive Officer On High Technology Assets Development
Rotek ZAO

Technology Assets inderdaad.....
wootah @donny00726 september 2012 16:09
Hoezo, die art-07.org gaat over kinderfeestjes enzo :+
sowieso is alleen google niet blij met dat domein: https://www.virustotal.co...f0d7/analysis/1348668400/ wellicht dat daar ook weer een payload in is verstopt :)
Yzord 26 september 2012 16:46
iBood, grootste censuursite die er bestaat. Afhandeling garantie is gedoken naar het 0 punt. Maar als ze in het nieuws komen dat er vreemde code wordt geserveerd, dan zijn ze wel thuis en behulpzaam. Maar hun klanten kan ze niks schelen.
Anoniem: 16328 @Yzord26 september 2012 16:49
Pas nu het in het nieuws is blijkbaar want in het artikel valt te lezen dat iBood er na meldingen van gebruikers niks aan heeft gedaan voor een tijdje.
PrivacyGuru @Anoniem: 1632826 september 2012 16:52
Nou, als dat Yzord zijn mening niet onderbouwd haha. Eigenlijk best triest. Profileren zich als beste site, maar luisteren naar hun klanten zit er schijnbaar niet in.
Anoniem: 16328 @PrivacyGuru26 september 2012 17:05
Even bij aftersales kijken en dan zie je dat het geen mening is van hem maar gewoon algemeen bekend op basis van de vele ervaringen alleen al hier op Tweakers: http://tweakers.net/shopreview/7861/ibood.html
HoaHong 26 september 2012 15:06
Tegenwoordig gebruik je bijna geen Java meer. Dus gewoon van je windoosje verwijderen.
windwarrior @HoaHong26 september 2012 15:12
Opzich wordt java nog heel veel gebruikt, beter zet je in je about:plugins of je chrome://settings de javaplugin standaard uit, en aan als je een site tegenkomt die wel weer java gebruikt :)

Verder hoop ik dat ze het lek weten te vinden, en dat ze open zijn over wat de gevolgen zijn voor de vele gebruikers van iBood.

[Reactie gewijzigd door windwarrior op 25 juli 2024 20:32]

crzyhiphopazn @windwarrior26 september 2012 15:17
Noscript installeren voor FireFox -> blokt standaard alle javascripts.
biglia @crzyhiphopazn26 september 2012 15:21
Javascript of Java? Javascript lijkt me irritant. Zelfs deze reply zou ik niet kunnen typen zonder javascript.
Anoniem: 16328 @biglia26 september 2012 16:27
Is ook heel irritant de meeste sites werken niet correct meer en je bent de hele dag bezig met whitelisten. Ik gebruik NoScript dus ook niet meer actief.
Anoniem: 351392 @crzyhiphopazn26 september 2012 15:24
het gaat hier echter om java niet javascript.

bij mij vraagt java netjes of die een applet mag draaien
watercoolertje
@Anoniem: 35139226 september 2012 20:31
Het gaat eigenlijk om beide, aangezien die java met javascript ingeladen werd :)

Zonder javascript had die applet dus ook niet ingeladen geworden en had jij die vraag dus ook niet gehad. maar uiteindelijk kan JS daar niks aan doen maar de forumsoftware had dat al niet moeten accepteren, daar zit/zat het echte gat naar mijn inziens...
jip_86 @crzyhiphopazn26 september 2012 15:26
java is iets anders dan javascript voor de zoveelste keer!
paul999 @HoaHong26 september 2012 15:47
java wordt nog zeer veel gebruikt, alleen niet in webbrowser/op websites via een java applet zoals jij bedoeld. Ontzettend veel software die je dagelijks gebruikt is nog steeds geschreven in java, alleen is dat vaak niet direct te zien aan de software.
dwilmer 26 september 2012 15:28
Er was een tijdje geleden ook een virus dat ftp-inloggegevens van je computer opving en doorgaf naar de makers. Als iemand met dat virus naar ibood ge-ftp'd heeft, zou er op die manier foute code in het forum kunnen komen.
Het virus werd toen niet door alle virusscanners opgepikt, dus het zou nog steeds actief kunnen zijn.
Lucaz @dwilmer26 september 2012 15:37
Zal wss zoiets zijn ja want het is duidelijk dat iemand de template die ze gebruiken voor die forum posts heeft aangepast.. Dat kan van binnenuit gebeurd zijn maar ook inderdaad van buitenaf wat zou betekenen dat ze ergens een lek hebben zitten.
Anoniem: 329694 @dwilmer26 september 2012 15:40
Maar ik neem aan dat iBood de juiste procedures door loopt. Mochten ze dit hebben.. Daarbij begin je met het veranderen van al je wachtwoorden en de laatste server updates te installeren ( nadat ze getest zijn uiterraard ).
biglia 26 september 2012 15:08
Heeft die screenshot in het artikel betrekking tot het artikel, of enkel een voorbeeld van een melding door een virusscanner? In die screenshot staat namelijk dat de reden van blokkering is omwille van Javascript obfuscation. Dat is toch een veelgebruikte techniek ook voor geen kwaadaardige websites. Ik wist niet dat er virusscanners waren die dat tegenhielden.
Dylan93 @biglia26 september 2012 17:06
Heeft die screenshot in het artikel betrekking tot het artikel, of enkel een voorbeeld van een melding door een virusscanner? In die screenshot staat namelijk dat de reden van blokkering is omwille van Javascript obfuscation. Dat is toch een veelgebruikte techniek ook voor geen kwaadaardige websites. Ik wist niet dat er virusscanners waren die dat tegenhielden.
De 'goede' scanners houden dit volgens mij al redelijk lang tegen, ik ben ook niet kwetsbaar voor Java drive-by's e.d. met dank aan ESET Smart Security, maar volgens mij houd zelfs AVG dit tegen. Ik kan me herrineren dat er laatst een onderzoek gepubliceerd was waar inderdaad uit kwam dat redelijk weinig anti virussen je hiervoor beschermen.
Kiswum 26 september 2012 15:06
Goede actie, waren er voor het weekend geen 2 dagen lang de IBOOD hunt, oftewel honderduizenden (unieke) bezoekers per dag? Als 1% de exploit op zijn/haar pc heeft dan is het een "goede actie" geweest van de makers.

Ibood moet dit echt heel goed gaan onderzoeken anders zal dit bij de volgende hunt weer kunnen gebeuren.

edit: In de tussentijd de aanbieding blijven bekijken via bijvoorbeeld: www.jouwaanbieding.nl, http://www.dailyoffers.nl of http://www.dagaanbieding.net

[Reactie gewijzigd door Kiswum op 25 juli 2024 20:32]

GB2 @Kiswum26 september 2012 15:22
Denk je nou echt dat ze dit doen?
Hun interne organisatie is al bagger, forum moderators welke een grote bek geven en ondertussen jou een ban geven en niemand die daar je wil -of misschien wel kan- helpen.

Ook toen NU.nl een virus had enkele maanden geleden werd dit uiteindelijk met een heel klein berichtje op de site gezet waarin eigenlijk gemeld werd; "zoek het zelf maar uit."
Mirved @GB226 september 2012 16:08
Inderdaad iBood is echt een slechte organisatie. Heb meer dan dan 4 maanden op de reparatie van mijn product zitten wachten (NAS van 600 euro). Steeds werd ik afgescheept toen opeens was hij "verloren" bij het reparatie centrum en heb ik daarna nog 3 maanden moeten wachten dat ik mijn geld terug kreeg. Mijn fout was dat ik dacht door de grote naamsbekendheid van ibood dat het ook een fatsoenlijke organisatie was. Toen ik echter na mijn problemen ging googlen kwam ik erachter dat er 100de mensen zijn met dezelfde problemen bij ibood.
RBNPLM 26 september 2012 15:08
Ik heb vanochtend dus zitten surfen op iBood en ik gebruik geen scanner, hoe kan ik weten of ik besmet ben of niet. Ondanks mijn gezonde verstand vraag ik mij dit af?!
InflatableMouse @RBNPLM26 september 2012 15:17
Hoe kan je van gezond verstand spreken als je geen antivirus oid hebt? |:(
RBNPLM @InflatableMouse26 september 2012 17:10
Dat is geen bord voor me kop imho, het kan dus best voldoende verantwoord zijn als je (redelijke) goede kennis hebt van bestands formaten en bij wantrouwen laat scannen ergens met een web-tool. En voor websites ook gebruik maken van zo nu en dan een web-tool. Voor de rest (scripts) leg ik maar me vertrouwen op chrome.

Gelukkig begrijpt Dipje2 zoals in zijn reactie staat hieronder.
InflatableMouse @RBNPLM26 september 2012 17:33
Helaas begrijpen jullie het allebei dus niet. Lees de overige reacties ook eens.

Jij kan wel verantwoord zijn, maar websites zijn dat over het algemeen een stuk minder. Advertenties zijn steeds vaker besmet en worden op vrijwel alle gerenommeerde sites weergegeven. En dat is echt niet het enige wat er mis kan gaan. Het is zo'n misopvatting dat het om downloaden van bestanden gaat of om emailtjes met links er in.

Ook merk je tegenwoordig vaak niet meer of je besmet bent. Ze doen namelijk de grootst mogelijke moeite om niet ontdekt te worden, om maar zo lang mogelijk op je systeem te draaien, verborgen. Je ziet niets in processen of tasks, je merkt niets maar ondertussen wordt er mondjesmaat continue gegevens verzonden. Dat kan van simpele keyloggers zijn tot aan screenshots van internet bankieren toe. En je weet nergens van!

Jullie moeten je kop uit het zand trekken, je bent gewoon stom bezig en enorm naief!
RBNPLM @InflatableMouse26 september 2012 17:49
Ik begrijp het juist heel goed, anders kies ik er niet voor. Nog een detail wat ik vergeet te vertellen, ik download stuk of 3 virusscanners elke half jaar/jaar en scan dan mijn computer en wordt er niks gevonden dan deinstaleer ik het weer. Ik begrijp ook dat je dan zou zeggen dan is het kwaad al geschied.

Mijn kop steek ik in het zand dat is true, maar vindt mijzelf niet stom en naïef bezig.
Tot nu toe geen problemen.. daar hou ik het dan maar bij:)
Bedankt voor je bezorgdheid.
innerchild @RBNPLM27 september 2012 00:40
Ooit wel is rekening gehouden dat als er virussen op je pc zitten dat deze ook een virus programma kunnen omzeilen ?

Ik heb meer begrip voor iemand die niets of weinig van computers weet en dan een virus krijgt dan voor iemand die WEET hoe het reilt en zeilt op het internet en BEWUST kiest om je kop in het zand te steken. Een virus scanner is gewoon een must. Net als een autoverzekering of het dragen van een gordel.

Iemand als jij zou toch echt beter moeten weten. Dit is gewoon niet slim.
dipje2 @InflatableMouse26 september 2012 15:29
... gebruik m'n mail via gmail, heb alleen legale software en OS, zit niet op newsgroups of torrents sites, en zorg dat mijn browser altijd geupdate is.

Dan ben je al een heel eind, en kan je met een beetje opletten best zonder virusscanner hoor.
Anoniem: 126717 @dipje226 september 2012 15:47
En dan kom je op een site die (onwetend) malware aanbied via reclame. Nu.nl had dat laatst. Mooie vertrouwde site, maar.... Net als iBood, vast ook een vertrouwde site bij jou?

Niet veilig, niet verstandig. Installeer een scanner, er zijn er genoeg die gratis zijn en toch behoorlijk goed hun werk doen.

Internetbankier jij?
Flight77 @dipje226 september 2012 15:57
"Ik rijd altijd zonder gordel want ik kijk goed uit, en rijd nooit te hard."

Op het moment dat tweakers.net of nu.nl of een of andere andere gerenomeerde site malware serveert via een "ad" boer ben je dus mooi de sjaak.

Installeer des noods een gratis scanner, die je om de zoveel tijd draait. Ik zou echt niet weten waarom je het niet zou doen. Sterker nog, mocht er ooit iets op je systeem gebeuren, dan neigt je huidige instelling naar nalatigheid.

Een tijdje terug had ik ook plotseling een virusmelding op een betrouwbare site. Ik was toen wel mooi blij dat ik een virusscanner had draaien...
wootah @RBNPLM26 september 2012 17:00
Mja, om daar nou heel je beveiliging rond te bouwen....
Neem nou MSE: http://windows.microsoft....ducts/security-essentials die vertraagt het systeem onmerkbaar, bovendien krijg je niet al die opgeblazen schermen te zien zoals bij AVG.

Maar als je echt op zo'n manier je PC wilt gebruiken raad ik je eerder aan Linux te installeren, dan zul je met vrij grote zekerheid kunnen zeggen dat je niet zomaar een virus te pakken krijgt.
RBNPLM @wootah26 september 2012 17:36
Kon geen eenduidend antwoordt vinden over MSE ''vertraagt systeem onmerkbaar'' op google, heb jij toevallig een site die een test heeft?! ( denk dat ik verkeerd zoek)

@morten Ik zeg ook niet dat ik volledig vertrouw op systemen/software maar dat ik het gewoon voor lief heb genomen.
wootah @RBNPLM26 september 2012 18:04
Zie AV-Test: http://www.av-test.org/no...pi1%5Breport_no%5D=121851
Waar gemiddeld 10 seconde een systeem word vertraagd (dat is een totaal getal van verschillende tests) doet MSE er maar 6 seconde.

En in av-comparatives http://www.av-comparative...ocs/avc_per_201111_en.pdf doet MSE maar 0,5% van de systeemsnelheid afhalen bij pc-mark benchmark.

Zelf gebruik ik ESET, die doet volgens die test er maar 0,2% minder performance door. En als fervent gamer kan ik je vertellen: daar merk je HELEMAAL niks van.
Na het downloaden van een bestand word dat bestand wel eerst even gescant, wat je wel kan merken (afhankelijk van de grootte) maar dat is dan ook alles. Gelukkig weet je dan wel dat het bestand zeer waarschijnlijk geen virus bevat :P
Anoniem: 16328 @wootah26 september 2012 19:10
Beter neem je Avast of Avira of AVG als gratis virusscanner dat zijn een betere virusscanners dan MSE. Avast verbruikt ook nog eens minder resources en Avira verbruikt ook weinig resources.

Edit: Avira, AVG erbij.

[Reactie gewijzigd door Anoniem: 16328 op 25 juli 2024 20:32]

CMG @RBNPLM26 september 2012 15:15
Je kan altijd eens housecall.trendmicro.com doen (of vergelijkbaar); werkt vanuit je browser.
morten @RBNPLM26 september 2012 16:29
Het draaien zonder scanner is in de regel onverantwoord. Mocht je je systeem niet willen vertragen dan kan je altijd nog actieve beveiliging uitschakelen en incidenteel scannen.
( hoewel dit ook foutgevoelig is uiteraard )

Ook het niet gebruiken van Internet explorer , maar een andere browser als chrome of FF biedt geen enkele garantie.
Mogelijk als je FreeBSD , Linux of IOS gebruikt dat je dan nog een excuus hebt om geen scanner te gebruiken, maar anders ben je gewoon fout bezig.

Ga snel eens AVG of AVAST downloaden ofzo.
haarbal @RBNPLM26 september 2012 15:09
een scanner installeren en scannen?
RBNPLM @haarbal26 september 2012 16:28
Gezien dus een computer waar ik op werk ontiegelijk traag is geen virus scanner bewust erop doe, vroeg ik me af waar ik op kan letten zonder scannen/anti-virus?!

Daarbij vroeg ik me ook af wat de malware wilt aanvallen en of bepaalde web browser eerder vatbaar voor is.
Kenju @RBNPLM26 september 2012 17:40
Je hebt verschillende online scanners. Gewoon effe Googlen en er één uitzoeken. Al kun je je afvragen of die zo up to date zijn dat ze alles meteen zien, zeker als het niet om een concrete virus gaat, maar een exploit.

Er zijn overigens verschillende scanners die zeer weinig resources gebruiken. Ik weet alleen niet over wat voor systeem je het precies hebt. IK denk dat de lichtste virusscanners Avira en Avast zijn. Microsoft Security Essentials is ook redelijk licht, maar heb ik alleen op courante machines (traagste was een Athlon3500+/2GB RAM, die niet trager werkt dan een courante machine in Windows) zien draaien. Die andere twee heb ik op een Pentium III / 192MB gedraaid.
Anoniem: 329694 26 september 2012 15:06
Zoals ik al in het topic heb vermeldt, wordt je op dit moment van spreken niet aangevallen door malware. Dit heeft zich in het verleden wel voor gedaan.
wootah 26 september 2012 16:03
Ja ik heb een tijdje geleden ook een waarschuwing gezien van ESET, dat een deel van het forum geblokkeerd was. Maar toen ik de pagina compleet herlaadde kreeg ik geen melding. Wellicht krijg je niet iedere keer een payload? Als ik het goed terug heb gevonden in de log kwam de aanval bij mij van weof9g2864.getmyip.com:1342/(nog wat), een JS/Kryptik.MQ torjan. Echte java exploits heb ik nog niet gehad, omdat ik java gewoon kei hard heb uit gezet.
Het mooie van ESET is dan weer dat hij dit soort ongein er al bij de firewall lekker uit filtert.

In de statestieken van ESET val trouwens ook te zien dat HTML en iframe injecties vrij hoog staan in Nederland: http://www.virusradar.com/en/statistics/10 dit is al een aantal weken zo, in de zomer stonden ze zelfs helemaal boven aan.
De poging van het virus zelf is in Nederland trouwens veel gedetecteerd: http://www.virusradar.com/en/JS_Kryptik.MQ/map/week (hoogste van alle landen) :+

Het is duidelijk dat goede site beveiliging nodig is, en misschien nog vaak afwezig is. Ik laat mijn site ieder uur alle bestanden doorlopen om te kijken of de hashes nog wel kloppen tov het origineel. Dan heb je dit soort hacks snel uit je site verholpen.

[Reactie gewijzigd door wootah op 25 juli 2024 20:32]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq