image

Overheid waarschuwt voor infectie op NU.nl

donderdag 15 maart 2012, 11:42 door Redactie, 9 reacties

De Waarschuwingsdienst waarschuwt internetgebruikers die gisteren NU.nl bezochten dat hun computer mogelijk geïnfecteerd is. Aanvallers wisten malware op de website te verstoppen die in staat is om geld van bankrekeningen te halen. "Als je computer besmet is met Sinowal kunnen kwaadwillenden gevoelige informatie zoals je inloggegevens voor een banksite of creditcardgegevens onderscheppen", aldus de Waarschuwingsdienst, die onderdeel van het Nationaal Cyber Security Center van de overheid.

De malware werd geplaatst op de computers van bezoekers die verouderde software gebruikten. De dienst kan nog niet zeggen om welke programma's het gaat, maar uit deze analyse zou blijken dat het in ieder geval Adobe Reader en Java betrof.

Infectie
"Waarschuwingsdienst.nl onderzoekt op dit moment nog de exacte kwetsbaarheden die zijn misbruikt. Mogelijk beschikken we op een later tijdstip over meer informatie over deze kwetsbaarheden."

Verder onderzoekt de overheidsinstantie op dit moment de malware. "Zodra wij meer informatie hebben over de manier waarop je je pc kunt schonen, publiceren wij dit via deze alert. Als je gisteren NU.nl hebt bezocht, raden we je dan ook aan de berichtgeving hierover in de gaten te houden."

Reacties (9)
15-03-2012, 11:55 door [Account Verwijderd]
[Verwijderd]
15-03-2012, 12:15 door 0101
Door pe0mot: Dankzij Sijmen Ruwhof zijn weblog (hartelijk dank!) is bekend dat er maar twee scanners dit afvangen
Waarbij wel bedacht moet worden dat dit de (zwaar geobfusceerde) JavaScript code is, niet de PDF- en Java bestanden met de daadwerkelijke exploits.
15-03-2012, 12:26 door dmaasland
Door pe0mot: Dankzij Sijmen Ruwhof zijn weblog (hartelijk dank!) is bekend dat er maar twee scanners dit afvangen:
"
Ik negeer de waarschuwing en upload het bestand naar VirusTotal. Maar 2 van de 43 virusscanners detecteren via VirusTotal de malware, namelijk:
AVG: Script/Exploit.B
Microsoft: Exploit:JS/Blacole.CV
Opmerkelijk is dat AVG en Microsoft Security Essentials allebei gratis virusscanners zijn. De commerciële scanners laten het bij VirusTotal qua resultaten afweten.
"

Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.
15-03-2012, 12:54 door Anoniem
Sophos had ook detectie (Mal/ExpJS-N) voor de exploit op accent6 . in.
15-03-2012, 13:18 door Bitwiper
Door dmaasland: Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.
Oh? Waar is de onderbouwing hiervan?

Helaas heb ik de via nu.nl aangeboden malware niet te pakken kunnen krijgen. Een soortgelijke java exploit, gevonden via http://www3.malekal.com/malwares/ en gisteravond door mij gedownload vanaf ingeborga.in/content/Qai.jar (gehost in NL, IP=37.58.64.197), md5=99098555be22838331907c1ebe3213f7, leverde 0/43 op bij virustotal: https://www.virustotal.com/file/4cd4d5dadd9c7b5fcf3d3728a968403067e2be7200b854619a04690a87433ea7/analysis/.

In deze qai.jar (feitelijk een zip-file) zitten 6 subclasses die mogelijk elk een andere exploit bevatten. Elk van die exploits zal proberen code op te halen door virusscanners gedetecteerd zou kunnen worden maar gezien de "ondetecteerbaarheid" van de exploits hebben de aanvallers hun huiswerk ook heus wel gedaan bij de nageladen malware.
15-03-2012, 13:46 door Anoniem
Mijn complimenten voor Waarschuwingsdienst. Daar ziet men, in tegenstelling tot Sanoma uitegers - nu.nl, kennelijk wel in wat de consequenties zijn indien de gebruikers van een van de top-sites van Nederland niet weten wat hun mogelijk is overkomen en wat men er tegen kan doen. Ik vind het van Sanoma/nu.nl zwaar onverantwoord hoe men daar omgaat met het incident. Gezien de opzet van de aanval en het aantal bezoekers van nu.nl zijn er mogelijk duizenden systemen nu besmet. Wie draait er overigens op voor de gevolgen?!?
15-03-2012, 13:47 door dmaasland
Door Bitwiper:
Door dmaasland: Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.
Oh? Waar is de onderbouwing hiervan?

Helaas heb ik de via nu.nl aangeboden malware niet te pakken kunnen krijgen. Een soortgelijke java exploit, gevonden via http://www3.malekal.com/malwares/ en gisteravond door mij gedownload vanaf ingeborga.in/content/Qai.jar (gehost in NL, IP=37.58.64.197), md5=99098555be22838331907c1ebe3213f7, leverde 0/43 op bij virustotal: https://www.virustotal.com/file/4cd4d5dadd9c7b5fcf3d3728a968403067e2be7200b854619a04690a87433ea7/analysis/.

In deze qai.jar (feitelijk een zip-file) zitten 6 subclasses die mogelijk elk een andere exploit bevatten. Elk van die exploits zal proberen code op te halen door virusscanners gedetecteerd zou kunnen worden maar gezien de "ondetecteerbaarheid" van de exploits hebben de aanvallers hun huiswerk ook heus wel gedaan bij de nageladen malware.

De comments op tweakers: http://tweakers.net/nieuws/80668/nu-punt-nl-serveerde-kortstondig-malware.html en communicatie met het ESET viruslab.
15-03-2012, 13:56 door Bitwiper
Door dmaasland: De comments op tweakers: http://tweakers.net/nieuws/80668/nu-punt-nl-serveerde-kortstondig-malware.html en communicatie met het ESET viruslab.
Okay, thanks. Probleem is dat er vaak een hele zwik malware wordt gedownload.

Als niet alles meteen wordt gedetecteerd en de rootkit wel wordt geïnstalleerd, denk je wellicht dat je safe bent omdat je virusscanner alarm sloeg.

Je belangrijkste wapen tegen deze troep is patchen en niet meer plugins enablen dan strikt noodzakelijk. Ik haat bijv. PDF inline lezen in m'n browser. Geef mij maar de vraag of ik wil downloaden of direct in een PDF lezer wil openen. Krijg ik zo onverwacht een PDF popup, dan weet ik meteen dat er wat mis is.

In Internet Explorer vanaf versie 8 kun je heel redelijk per site toestaan welke plugins er mogen draaien. Indien gewenst wil ik dat nog wel een keer uitleggen.
15-03-2012, 17:02 door Anoniem
Door Bitwiper: Als niet alles meteen wordt gedetecteerd en de rootkit wel wordt geïnstalleerd, denk je wellicht dat je safe bent omdat je virusscanner alarm sloeg.

Ik heb dat een aantal jaren meegemaakt. Virusscanner slaat alarm voor een keylogger. Ik ga de boel analyseren en dan blijkt hij al 4 maanden op mijn machine te hebben gestaan voor de scanner hem kon vinden. Ik had gelukkig een firewall die ook uitgaande verbindingen (per proces) kon blokkeren. De keylogger had geen rechten om de gegevens naar buiten te sturen en dat is ook niet gedaan (ik heb daarna nooit gemerkt dat accounts misbruikt zijn).

Ik vond tijdens het onderzoek ook nog een backdoor. Die heb ik ook verwijderd, ondanks dat de scanner die niet vond. De volgende dag kreeg ik weer een melding van de scanner. Nu had hij de backdoor ook gevonden en wel in de "deleted" folder, waar ik hem even had bewaard voor andere controle.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.