image

Stappenplan voor NU.nl bezoekers

vrijdag 16 maart 2012, 08:28 door Redactie, 32 reacties

Is je computer na het bezoeken van NU.nl met malware besmet geraakt of wil je dit weten, Security.nl maakte het volgende stappenplan. Op woensdag 14 maart hebben aanvallers code op NU.nl verstopt die Windows-gebruikers met malware probeerde te infecteren. De code maakte misbruik van lekken in programma's die niet van de laatste updates waren voorzien. Voor zover bekend zou het in ieder geval om Oracle Java en Adobe Reader gaan.

Daardoor kon de code automatisch de Sinowal banking Trojan op Windows computers installeren, als bezoekers niet over de meest recente versie van de geinstalleerde software beschikten. Sinowal kan geld van bankrekeningen overmaken en inloggegevens onderscheppen. De malware werd in eerste instantie door geen enkele virusscanner gedetecteerd. Mogelijk zijn 100.000 bezoekers met malware besmet geraakt.

Voor wie wil controleren of hij besmet is geraakt maakte Security.nl het volgende stappenplan:

Stap 1: Installeer een virusscanner die de malware zowel kan detecteren als verwijderen en scan de computer hiermee. Voor zover bekend is HitmanPro de enige beveiligingssoftware op dit moment die dit kan.
(zodra meer scanners en/of tools de malware volledig kunnen verwijderen zullen we dit melden)

Stap 2: Als de malware verwijderd is, blijft de computer kwetsbaar. De beveiligingslekken waardoor de malware de computer wist te infecteren staan namelijk nog open. Wie eenvoudig wil controleren of hij over de laatste updates beschikt, kan de gratis Secunia Personal Software Inspector (PSI) installeren.

Er is onlangs een bètaversie verschenen die van verschillende programma's de updates automatisch installeert en een eenvoudigere gebruikersinterface heeft.

Stap 3: Het risico bestaat dat de malware ten tijde van de infectie wachtwoorden heeft gestolen. Wijzig daarom de wachtwoorden van de accounts waar sinds de besmetting op is ingelogd.

Aanvullend
Zodra er malware op een computer heeft gestaan is de integriteit van het systeem niet meer 100% te waarborgen. Het beste advies is daarom het 'wipen' van de computer om die vervolgens opnieuw te installeren.

Stap 1: Maak een back-up op een externe mediadrager van de bestanden die je wilt bewaren.

Stap 2: Wis de harde schijf met het programma DBAN. Dit programma overschrijft alle sectoren van de harde schijf, waaronder het gedeelte waar rootkits zich kunnen verstoppen. In dit geval is het 'snel wissen' van de harde schijf voldoende. DBAN heeft hiervoor de optie 'Quick Erase'. Zie ook deze Security.nl instructievideo voor het gebruik van DBAN.

Stap 3: Installeer en update het besturingssysteem.

Stap 4: Installeer en update een virusscanner en aanvullende applicaties.

Stap 5: Scan de eerder gemaakte back-up met de virusscanner en zet de bestanden terug.

Reacties (32)
16-03-2012, 08:58 door Anoniem
Makkelijker is van Kasperski TDSSKiller te downloaden en te draaien
16-03-2012, 08:58 door Bitwiper
Prima artikel, complimenten!

Wel een vraag: op veel PC's zal, om veiligheidsredenen, de boot-device-volgorde in de BIOS instellingen iets als C:, A:, CDROM of C:, CDROM, A: etc. zijn. Bestaat er MBR malware die simuleert dat er eerst op removable devices naar een bootable medium gezocht wordt?

Gebruikers die met DBAN aan de gang gaan: zorg, voordat je van de DBAN schijf opstart, dat de boot-device-volgorde met CDROM begint!
16-03-2012, 09:25 door Redactie
Door Bitwiper: Prima artikel, complimenten!

Wel een vraag: op veel PC's zal, om veiligheidsredenen, de boot-device-volgorde in de BIOS instellingen iets als C:, A:, CDROM of C:, CDROM, A: etc. zijn. Bestaat er MBR malware die simuleert dat er eerst op removable devices naar een bootable medium gezocht wordt?

Gebruikers die met DBAN aan de gang gaan: zorg, voordat je van de DBAN schijf opstart, dat de boot-device-volgorde met CDROM begint!

Goed punt, we hebben de link naar onze DBAN instructievideo erbij gezet.
16-03-2012, 09:30 door Anoniem
En als ik nu linux(Ubuntu) heb gebruikt? Moet ik dan nogsteeds DBAN derover gooien?
16-03-2012, 09:48 door Anoniem
Goed artikel, baal zo van nu.nl op het moment..............

Hopelijk is mijn pc niet besmet. Slecht trouwens dat nu.nl nu hun kop in het zand steekt en hun bezoekers nu vertelt hoe het probleem op te lossen, zelf ben ik ICT-er, dus kom er wel uit maar vele mensen niet en dat is een slechte zaak.
16-03-2012, 09:54 door Turkdale
Door Anoniem: En als ik nu linux(Ubuntu) heb gebruikt? Moet ik dan nogsteeds DBAN derover gooien?
Volgensmij heb je niet gelezen dat de virus alleen van toepassing was bij Windows draaiende computers(http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Virussen+en+wormen/WD-2012-025+Nieuwssite+NU.nl+verspreidde+malware.html)
16-03-2012, 10:13 door Above
Jemig. Dat gaat een geld en stilstand kosten en teweegbrengen bij bedrijven.
Irritante is dat wanneer je Java en activeX blokkeert in de bedrijfsfirewall heel veel websites niet meer goed de pagina's tonen. Vooral met de blokkade van .js. Youtube toont de voorbeelden niet meer dan. Even getest maar geeft problemen. Zoals ook .exe blokkeren waardoor Microsoft Security Essentials zich niet meer kan updaten.
16-03-2012, 10:24 door Anoniem
De sinowal trojan is al 7 jaar oud. En geen enkele virusscanner herkent hem? Doet me een beetje denken aan die hoax mailtjes van vroeger. Storm in een glas water.
16-03-2012, 10:35 door Anoniem
Door Anoniem: Goed artikel, baal zo van nu.nl op het moment..............

Hopelijk is mijn pc niet besmet. Slecht trouwens dat nu.nl nu hun kop in het zand steekt en hun bezoekers nu vertelt hoe het probleem op te lossen, zelf ben ik ICT-er, dus kom er wel uit maar vele mensen niet en dat is een slechte zaak.

Doen ze wel (op hun Blog), en daar adviseren ze AVG Antivirus! Je kan nog beter een virus hebben dan die troep.
16-03-2012, 11:02 door Anoniem
Dit is een nieuwe versie. Wat interessant is dat de vorige versie continue werd aangepast en dat het ruim 2,5 jaat heeft geduurd voordat men er volledig vanaf was. Los van het feit dat er ongetwijfeld andere web sites zullen zijn die ook de besmetting zullen hebben. Misschien iets om even met google op te gaan zoeken. Wel vanaf een gepatche pc doen natuurlijk ;)


Door Anoniem: De sinowal trojan is al 7 jaar oud. En geen enkele virusscanner herkent hem? Doet me een beetje denken aan die hoax mailtjes van vroeger. Storm in een glas water.
16-03-2012, 11:10 door Erik Loman
Door Anoniem: Makkelijker is van Kasperski TDSSKiller te downloaden en te draaien
TDSSkiller schoont inderdaad de MBR goed op. Maar hij laat de zogenaamde smoke loader (die via Run start) staan.
https://twitter.com/#!/erikloman/status/180596347844575232/photo/1/large

Hetzelfde geldt voor fixmbr (computer booten via CD/DVD). Je MBR is dan schoon maar de smoke loader staat er nog.
16-03-2012, 11:10 door Anoniem
Door Anoniem: De sinowal trojan is al 7 jaar oud. En geen enkele virusscanner herkent hem? Doet me een beetje denken aan die hoax mailtjes van vroeger. Storm in een glas water.

Gevalletje ken uw vijand, de eerste versie is 7 jaar oud ja, die troep krijgt elke zoveel seconden een nieuw 'schilletje' en dan kent geen enkele virusscanner het meer als we het hebben over handtekening/zwarte lijst detectie.
16-03-2012, 11:42 door Fwiffo
Door Bitwiper: Wel een vraag: op veel PC's zal, om veiligheidsredenen, de boot-device-volgorde in de BIOS instellingen iets als C:, A:, CDROM of C:, CDROM, A: etc. zijn. Bestaat er MBR malware die simuleert dat er eerst op removable devices naar een bootable medium gezocht wordt?
Volgens mij is het altijd al zo geweest met MBR virussen dat deze geladen worden zodra van de harddisk wordt gestart door het BIOS. Dus:
1) BIOS start van besmette harddisk
2) virus zit in geheugen
3) virus laadt originele MBR van elders op schijf
4) virus of originele MBR start eventueel van CD-ROM

Verder is het niet strict noodzakelijk om de harddisk te wipen (hoewel het wel goede ict-hygiëne is). Bij het wipen is het zéér belangrijk voor goede koeling te zorgen omdat de harddisk zeer heet kan worden. Stofvrij maken en de kast goed ventileren helpt tegen hardware falen.

Wat belangrijk is is dat de MBR schoon is en de partities opnieuw gemaakt worden. Het virus zal dan nog wel op de schijf staan, maar niet meer geïndexeerd worden door bijvoorbeeld het filesysteem.

Van de backups moet uitgekeken worden voor de .pdf en .jar exploits die gebruikt zijn om Sinowal te installeren op de computer. Niet openen!!
16-03-2012, 11:43 door Anoniem
Hey secunia adviseert spotnet te updaten.
16-03-2012, 12:57 door Bitwiper
Door Fwiffo:
Door Bitwiper: Wel een vraag: op veel PC's zal, om veiligheidsredenen, de boot-device-volgorde in de BIOS instellingen iets als C:, A:, CDROM of C:, CDROM, A: etc. zijn. Bestaat er MBR malware die simuleert dat er eerst op removable devices naar een bootable medium gezocht wordt?
Volgens mij is het altijd al zo geweest met MBR virussen dat deze geladen worden zodra van de harddisk wordt gestart door het BIOS.
Klopt, zaak is dus de BIOS zo in te stellen dat je datmet 100% zekerheid voorkomt.
Dus:
1) BIOS start van besmette harddisk
2) virus zit in geheugen
3) virus laadt originele MBR van elders op schijf
4) virus of originele MBR start eventueel van CD-ROM
Dat laatste heb ik nog nooit gezien. Alle MBR malware die ik ken plaatst zich tussen de keten, en voegt geen functionaliteit toe om vervolgens "silently" van een ander medium te booten.

Overigens is dat ook niet eenvoudig, BIOS code is (segmented) 16 bit en niet 386 flat met paging e.d.
Bijv. TrueCrypt bestaat (gok ik) uit boot code en een 32/64 bit driver die actief wordt op het moment dat Windows naar 32/64 bit overschakelt. De Windows versie van die driver draait natuurlijk niet onder Linux o.i.d.

Malware die ook actief weet te blijven na het doorstarten van een DBAN (of andere rescue-) CDROM zal dus waarschijnlijk schaars zijn, als die al bestaat. Dat is wat ik bedoelde te vragen.

Verder is het niet strict noodzakelijk om de harddisk te wipen (hoewel het wel goede ict-hygiëne is).
Ik zou dat altijd doen. Dat voorkomt dat je, als je later ooit met een unerase programma aan de gang gaat, onverwacht die weer malware (of sporen daarvan) boven tafel krijgt. Overigens is 1x overschrijven, bij voorkeur met nul-bytes, volstrekt voldoende (ik heb het dan over magnetische schrijven, voor SSD's ligt dit gecompliceerder).

Die nul-bytes zijn belangrijk, random bytes kunnen bijv. resulteren in een toevallige 0x55 0xAA op het einde van een sector. Dat kan tot verwarring leiden bij partitioneertools en zeker bij recovery software. Bovendien, mocht je ooit een probleem hebben met je schijf (crash, brand in de buurt), dan zullen disk recovery experts je dankbaar zijn als je je schijf aanbiedt met nullen op de plaatsen waar (nog) geen bestanden zijn geschreven. Ik moet er wel bij opmerken dat NTFS partities redelijk snel "vollopen" met niet-gealloceerde bestandsfragmenten, dus na een tijdje heb je hier -helaas- niet zo heel veel meer aan (je kunt eventueel wel regelmatig unallocated space met nullen overschrijven).

Bij het wipen is het zéér belangrijk voor goede koeling te zorgen omdat de harddisk zeer heet kan worden.
Mijn (behoorlijk grote) ervaring is dat dit nauwelijks een rol speelt, tenzij je een harddisk hebt die normaal gesproken automatisch in een "idle" stand gaat. De meeste warmteontwikkeling in harddisks ontstaat door de luchtweerstand van de draaiende schijven. Hoe groter in diameter, hoe meer "platters" en hoe hoger het toerental, hoe meer warmte. De stappenmotor en bijbehorende elektronica die de koppen laat bewegen voegt wel wat toe, maar veel is dat niet (niet meer dan dat je bijv. een film afspeelt). Je PC stofvrij houden is sowieso verstandig.

Van de backups moet uitgekeken worden voor de .pdf en .jar exploits die gebruikt zijn om Sinowal te installeren op de computer. Niet openen!!
Dat is zeker een goed advies!

Edit: de term "gevirtualiseerd" was onjuist
16-03-2012, 13:50 door Fwiffo
Door Bitwiper: Dat laatste heb ik nog nooit gezien. Alle MBR malware die ik ken plaatst zich tussen de keten, en voegt geen functionaliteit toe om vervolgens "silently" van een ander medium te booten.

Overigens is dat ook niet eenvoudig, BIOS code is (segmented) 16 bit en niet 386 flat met paging e.d.
Bijv. TrueCrypt bestaat (gok ik) uit boot code en een 32/64 bit driver die actief wordt op het moment dat Windows naar 32/64 bit overschakelt. De Windows versie van die driver draait natuurlijk niet onder Linux o.i.d.

Malware die ook actief weet te blijven na het doorstarten van een DBAN (of andere rescue-) CDROM zal dus waarschijnlijk schaars zijn, als die al bestaat. Dat is wat ik bedoelde te vragen.
Andersom kan iig wel! Bij het installeren van Windows (Vista) moet de CD-ROM als eerste gestart worden in het BIOS (anders start de vorige Windows van de harddisk). Maar tijdens het installeren (waarbij de MBR altijd grondig overschreven wordt tot ergernis van dual-boot *nix-gebruikers als ikzelf) wordt nog steeds van de CD-ROM gestart. Daarbij komt er een teller waarna de net geïnstalleerde Windows Vista van harddisk gestart wordt. In mijn geheugen dan, is al weer bijna drie maanden geleden voor mij ::lol::
16-03-2012, 14:09 door [Account Verwijderd]
[Verwijderd]
16-03-2012, 14:23 door Anoniem
Nog een optie,
Maak net als ik elke maand een backup van je win7 systeem met de ingeboude backup tool.
Zet je laaste backup terug van voor een malware infectie en klaar.
16-03-2012, 14:55 door [Account Verwijderd]
[Verwijderd]
16-03-2012, 15:39 door Anoniem
Door Turkdale:
Door Anoniem: En als ik nu linux(Ubuntu) heb gebruikt? Moet ik dan nogsteeds DBAN derover gooien?
Volgensmij heb je niet gelezen dat de virus alleen van toepassing was bij Windows draaiende computers

Het is wel degelijk iets om in het stappenplan te vermelden, zonder die informatie is het onvolledig. Dat die informatie ergens anders te vinden is doet daar niets aan af.

[admin] We hebben vermeld dat Sinowal op Windows computers wordt geinstalleerd [/admin]
16-03-2012, 15:47 door Mozes.Kriebel
Door Anoniem: Nog een optie,
Maak net als ik elke maand een backup van je win7 systeem met de ingeboude backup tool.
Zet je laaste backup terug van voor een malware infectie en klaar.

Een backup zet over het algemeen niet je MBR terug...

Maar ff on topic: dit gaat de gemiddelde Jan-met-het-keyboard natuurlijk nooit herstellen, laat staan dat bedrijven hun complete installed base gaan wipen. Gaan we nog wel wat mee beleven...
16-03-2012, 15:55 door NepZeb
Hitman enige software die kan detecteren en opschonen????...
McAfee deed dat direct al. GTI had al signatures ervoor en dit staat voor de consumenten versie standaard aan.
16-03-2012, 17:44 door [Account Verwijderd]
[Verwijderd]
16-03-2012, 17:50 door Anoniem
Ik dacht in mijn onschuld: stappenplan voor nu.nl bezoekers, erg goed, daar kunnen veel mensen mee aan de slag. Of iemand in hun omgeving die gevraagd kan worden te helpen (met wat meer verstand van computers) Maar als ik alle reacties vervolgens lees, dan moet ik net als 90% van de bezoekers, schat ik, afhaken. Wat nu te doen? Alleen het stappenplan volgen, ook iets met de MBR doen? Bios! backuppen van je documeten, maar ja, .pdf files zijn ook een risico. Etc etc. Je kunt o.a. beter een nieuwe pc kopen. Als je security.nl zoals ik, dagelijks leest dan wordt je zo langzamerhand helemaal gek van alle onveiligheid, problemen etc. Ik ga misschien wel weer gewoon een krant kopen om te lezen en zet mijn computer zolang maar in de schuur (sarcasme?) Kom op, computer en softwarewereld, ga nu eens daadwerkelijk aan de slag om iets te maken wat wel meer veiligheid biedt. Maar ja, die wereld bestaat uit: belangenverstrengeling, eigen software eerst en opportunisme.
16-03-2012, 20:51 door Supreme

Voor zover bekend is HitmanPro de enige beveiligingssoftware op dit moment die dit kan.

Gevalletje; wij van WC eend, adviseren WC eend?

Gewoon een combi van Malware Bytes + TDSSKiller gebruiken, werkt prima!
17-03-2012, 10:32 door Anoniem
op een ssd wil juist niet dat alles opnieuw beschreven wordt want dat is enorm slecht voor de levens duur van het ding.
dan kun je beter kijken of je het virus kunt uitschakellen/verwijderen. volgens mij is fixmbr in combinatie met hitman pro afdoende. fixmbr voor een nieuwe mbr en hitman pro voor de smoke loader.
17-03-2012, 11:01 door Fwiffo
@Bitwiper, 12:57. Onderstaande quote is van van EZ-Drive van Seagate. Het is dus wel mogelijk over te stappen van boot CD-ROM naar Harddisk (MBR, niet GPT) van 16 bits naar 64 bits. Maar daar is wel een extra driver voor nodig, die de 16 bits code bij elke boot kan neerplanten. Dit is allemaal puur theoretisch natuurlijk, maar zoals je 08:58 al postte, zorg dat je in je bios van cd-rom boot en niet van de besmette hd.
7. Why am I unable to run 32-bit disk access under Windows?

You can run 32-bit access with Windows. However, there is a device
conflict between EZ-Drive and the Windows 32-bit access driver. That
is why when you load Windows the error message appears saying the
Windows 32-bit access driver cannot be installed unless Windows 32-bit
access is disabled. To reap the benefits of 32-bit access you must
disable the Windows 32-bit access driver and replace it with the
32-bit access driver provided on the EZ-Drive diskette.

To disable Windows 32-bit access from inside Windows, open the Control
Panel. Select 386 Enhanced. Select Virtual Memory. Select Change.
Select Use 32-Bit Access to disable the Windows 32-bit access. You can
also disable Windows 32-bit access from the command line by typing
WIN /D:F

To install the replacement 32-bit access driver provided on the
EZ-Drive diskette, insert the diskette into a floppy. Open File
Manager and select the drive that contains EZ-Drive. Double click on
SETUP.EXE. Select the INSTALL DRIVER button to load the EZ-Drive
MH32BIT.386 driver.
17-03-2012, 16:23 door Anoniem
Door Above: Jemig. Dat gaat een geld en stilstand kosten en teweegbrengen bij bedrijven.
Irritante is dat wanneer je Java en activeX blokkeert in de bedrijfsfirewall heel veel websites niet meer goed de pagina's tonen. Vooral met de blokkade van .js. Youtube toont de voorbeelden niet meer dan. Even getest maar geeft problemen. Zoals ook .exe blokkeren waardoor Microsoft Security Essentials zich niet meer kan updaten.
Al meer dan 8 jaar wordt op de proxy bij ons (klein ziekenhuis, 700 pc's) zowel Java, ActiveX als executables tegengehouden. Maar 6 site's staan op de uitzonderingen lijst.

btw .js is JavaScript. Dat kan je idd beter niet blokkeren want dan werkt het halve internet niet meer.
.jar en .class is Java (beter nog natuurlijk om ook .java en contenttype application/*java* en magicbyte CAFEBABE tegen te houden)
De eerste website in het nu.nl voorbeeld bood namelijk Java aan via mops63jger . info /01O9Kss. Dan gaat filteren op .jar en .class je niet redden.
18-03-2012, 12:23 door fluffyb53
Door Erik Loman:
Door Anoniem: Makkelijker is van Kasperski TDSSKiller te downloaden en te draaien
TDSSkiller schoont inderdaad de MBR goed op. Maar hij laat de zogenaamde smoke loader (die via Run start) staan.
https://twitter.com/#!/erikloman/status/180596347844575232/photo/1/large

Hetzelfde geldt voor fixmbr (computer booten via CD/DVD). Je MBR is dan schoon maar de smoke loader staat er nog.

As a sidenote : De Hollanders mogen trots zijn op wat jullie verwezenlijken met HitmanPro. Dit schrijf ik als Belg. Wij hebben wel Didier Stevens en AES is Vlaams hé. :-)
18-03-2012, 13:20 door Anoniem
als laatste tip wordt het wipen van de hd genoemd, hoe zit dat met laptops welke een recovery partitie hebben??
19-03-2012, 08:44 door Anoniem
Iemand enig idee of Combofix ook een goede remedie voor dit euvel is?
20-03-2012, 22:42 door Anoniem
Door Fwiffo:
Door Bitwiper: Wel een vraag: op veel PC's zal, om veiligheidsredenen, de boot-device-volgorde in de BIOS instellingen iets als C:, A:, CDROM of C:, CDROM, A: etc. zijn. Bestaat er MBR malware die simuleert dat er eerst op removable devices naar een bootable medium gezocht wordt?
Volgens mij is het altijd al zo geweest met MBR virussen dat deze geladen worden zodra van de harddisk wordt gestart door het BIOS. Dus:
1) BIOS start van besmette harddisk
2) virus zit in geheugen
3) virus laadt originele MBR van elders op schijf
4) virus of originele MBR start eventueel van CD-ROM
Klopt niet helemaal:
-Bij een PC start de start vanuit (EEP/NV)ROM
-Bios kijkt op diverse devices of de eerste twee bytes op de eerste sector 55 AA (hexadecimaal) bevat (=boot sector aanduiding)
-In volgorde van de ingestelde boot sequence (boot-volgorde) wordt het Boot Record uitgevoerd.
-Staat in het Boot Record een virus, dan wordt dit virus geactiveerd.
Wanneer het virus bijvoorveeld direct een rootkit activeert, is het erg lastig te detecteren dmv een scan. De rootkit verhult namelijk de bestanden.

De boot sequence kun je instellen in het bios, maar je hebt vaak ook de mogelijkheid om tijdens het booten het opstartmedium aan te geven.

Het is verstandig om regelmatig/incidenteel vanaf een Live CD/DVD (bijv Linux) je schijven te scannen. Dan wordt namelijk het boot record van de besmette schijf niet uitgevoerd.

Het is IMO een gemiste kans dat de WindowsinstallatieCD/DVD geen standaard beveiligingsscanmogelijkheid (malware/virusscanner) biedt. Als MS dat een beetje slim aanpakt dan is er sprake van een ijzersterk bestrijdingsmiddel. Laatste updates (definities, maar ook scansoftware) zouden dan vanaf het internet kunnen worden gedownload.

Enige zwakke punt zou hierbij omleidingen in de routering kunnen zijn, maar dat gaat wel heel erg ver en is ook redelijk goed te beveiligen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.