Vreemd dat het Nationale Cyber Security Centrum niets op de website heeft staan over dit incident.

Waarschuwingsdienst.nl heeft een bericht staan maar geen advies.

Tweakers.net suggereert dat HitmanPro het virus in ieder geval kan detecteren:

http://tweakers.net/nieuws/80689/honderdduizend-bezoekers-nu-punt-nl-wellicht-besmet-met-trojan.html

en een linkje naar de HitmanPro site:

http://www.surfright.nl/nl/

Hier een test om te controleren of je besmet kan zijn geraakt:

http://sijmen.ruwhof.net/js/nu.nl-infectietest/

Lijkt me zeer verstandig zolang niet zeker is welk product het daadwerkelijk detecteerd. Maar wellicht was het handiger om meteen te vermelden minimaal de gewoonlijk aanbevolen maatregelen te volgen in geval van een besmetting.

Geinig. Dat deed Lamer Exterminator vroeger ook.

http://en.wikipedia.org/wiki/Lamer_Exterminator

Iemand een idee welke adobe en java versies er kwetsbaar zijn?

Dit werkt alleen als je je software in de tussentijd niet geüpdated of verwijderd hebt.

Trendmicro blokt op het moment ook nu.nl
Malicious website blocked

http://www.nu.nl/

Zou er weer een probleem zijn?

Dit is niet geheel zonder risico, als de computer namelijk beschikt over een 'Factory MBR' die de 'Disc 2 Disc' recovery aanstuurt zal hiermee overschreven worden door een non-factory standaard MBR van Windows.

Bij onder andere Acer en HP computers zal dit dus resulteren in een niet meer werkende 'Disc 2 Disc' recovery functie.

Met TDSSKiller en aswMBR van Avast is deze infectie prima te verwijderen.

http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=4793
http://blog.pcwebplus.nl/?p=1733

Hitman pro detecteert het virus waarschijnlijk als het een actief proces is. Het virus genereert bestanden die aan de opstartlijst worden toegevoegd om de volgende keer weer met de besmetting door te gaan. Deze bestanden worden niet herkend door hitmanpro.

Inmiddels is NOD32 met een update gekomen, die het virus inclusief alle gegenereerde bestanden kan verwijderen.
Let op, het gaat om update 6969. Detectie vind alleen plaats indien je een volledige systeemscan uitvoert.

Wat mij heel veel heeft geholpen is het gebruik van WinPatrol. Zeer goede tool die letterlijk blaft op het moment dat een proces iets toevoegd aan de opstartlijst. Ik zag gister dus ook dat er een proces was wat iedere minuut een vreemd exe bestand aan mijn opstartlijst wilde toevoegen.

Ik vermoed dat dit sowieso al om zeep geholpen wordt door de malware.

Je moet die partij niet al te serieus nemen.

Wat ik mij nu afvraag; ben ik in voldoende mate beschermt tegen dit soort bedreigingen als ik de browser (Firefox) in de sandbox omgeving draai?

Een snelle test via http://sijmen.ruwhof.net/js/nu.nl-infectietest/ leerde wel dat ik niet besmet ben. Maar komt dit nu omdat ik geen Java draai en Adobe heb geïnstalleerd, of komt het omdat de sandbox het waarschijnlijk heeft gestopt?

Ik heb al diverse keren sinowal varianten getest, aangezien deze vooral bij de ING klanten een ware plaag waren en eigenlijk nog steeds veelvoorkomend is.
Bij een geïnfecteerde MBR blijft de 'disc 2 disc' recovery intact en is nog gewoon te gebruiken.

Bij Acer is dit met de toetscombinatie ALT+F10 en bij HP als ik het goed heb alleen F10.

Aha. Dan maakt de malware waarschijnlijk een kopietje. Om die kopie, nadat het z'n eigen zaken heeft geregeld, te starten.

Dat klopt, ik heb daar ergens een analyse van in een PDF bestand maar die kon ik zo snel niet vinden. Het heeft ook te maken met user-mode & kernel-mode als ik het mij goed herinner.

Raar, dat er een site uit India wordt genoemd. Als ik accent6.in google, dat komt er een ip adres naar voren uit een ander land (urlQuery). Misschien ook een gehackte site?

Wie kan dat uitleggen?

Hi, zou iemand deze digibeet even iets kunnen ophelderen please?

Ik had de oude kwetsbare Java en Adobe software en dus volgens de test op http://sijmen.ruwhof.net/js/nu.nl-infectietest/ waarschijnlijk besmet.
Maar ik ben op Linux Mint. Weet iemand of mijn computer besmet kan zijn of niet?

Ze zeggen dat Linux inmuner is in het algemeen, maar ik was gisteravond nog in internetbankieren, paypal en alles, dus ik moet het *echt* 100% zeker weten :(

Gaat het hier nu om de MBR of de bootloader? Ik gebruik namelijk Linux en vraag me dus af of het OS-specifiek is.

Groetjes, Wendy

Andrey Belousov zal wel niet zijn echte naam zijn.

Je kan adobe reader ook zo instellen dat die niets met internet mag doen, helpt dat dan ook niet?

Nope javascript verboden staat er bij mij hahaha

Maar goed tot welke javaclient en adobe versie zijn we nu concreet kwetsbaar. Want dat antwoord zie ik nog nergens.

Rootkits rommelen altijd met usermode en kernal mode...ze zullen wel moeten.

geen last van heb een MAC

HitmanPro detecteert Sinowal gewoon als geïnfecteerde MBR en niet als actief proces.
HitmanPro detecteert ook de smoke loader (als actief proces) die via de Run key start.

Zie ook deze screenshot: https://twitter.com/#!/erikloman/status/180327481935540224/photo/1

Ik heb machines die om 10:50 verbinding met nu.nl zochten en vlak daarna de malware downloaden. Daarvoor heb ik geen hits.

Peter

Volgens waarschuwingsdienst.nl:
Uit een analyse van Sijmen Ruwhof blijkt dat systemen die gebruik maken van Adobe Reader tussen versie 8 en 9.3 of Java tussen versie 5 en 5.0.23 en tussen versie 6 en 6.0.27 kwetsbaar zijn voor deze aanval.
Link: http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Virussen+en+wormen/WD-2012-025+Nieuwssite+NU.nl+verspreidde+malware.html

@anoniem: bedankt voor je antwoord! superb!

Als je binnen Adobe Reader NL, mits je adobe wilt blijven gebruiken (ik heb hier versie 9.50) javascript en het tonen van een pdf in je browser wil uitschakelen en wat extra beveiliging wil aanbrengen doe je het volgende:

[ ] uitvinken (sommige settings zijn wat overdone maar voor de zekerheid zeg maar)
[v] aanvinken

[Algemeen]
[ ] Webkoppelingen van URL's maken

INTERNET:
<bewerken>
<voorkeuren>
<Internet>
[ ] pdf in browser tonen
[ ] snelle webweergave toestaan
[ ] speculatief downloaden op de achtergrond toestaan

JAVASCRIPT:
<bewerken>
<voorkeuren>
<javascript>
[ ] Acobat Java script inschakelen


En zet het volgende aan voor de meest recente update als je dat wilt:

BEHEER
<bewerken>
<voorkeuren>
<Beheer>
Automatisch controleren op nieuwe opmerkingen en verzameling gegevens formuliergegevens (servergebaseerd)
Elk uur (dit is default)
[v] Meldingspictogram in systeemvak weergeven
de rest uit.

[Betrouwbaarheidsbeheer]
<bewerken>
<voorkeuren>
<Betrouwbaarheidsbeheer>
[Instellingen wijzigen]
[v] Alle websites blokkeren !!!!!!!!!!

[Beveiliging]
<bewerken>
<voorkeuren>
<Beveiliging>
[v] handtekening verifieren

[Beveiliging uitgebreid]
<bewerken>
<voorkeuren>
<Beveiliging uitgebreid>
[v] uitgebreide beveiliging inschakelen
[v] logbestand maken

[Autoupdates]
<bewerken>
<voorkeuren>
<Updater>
[v] Updates automatisch downloaden, maar laat mij kiezen wanneer deze worden geinstalleerd

[Multimedia vertrouwen (verouderd)
<bewerken>
<voorkeuren>
<Multimedia vertrouwen (verouderd)>
[ ] Multimediabewerkingen toestaan


***************
Note: Sumatra pdf kan niet altijd elke pdf lezen en dan moet je een andere pdf reader gebruiken.
******************

Nog een stukje geschreven op Tweakers:
http://gathering.tweakers.net/forum/list_message/37862947#37862947

Een domeinnaam hoeft niet perse uit het zelfde land te komen als het IP adres. Je kunt een .com registreren en die vervolgens laten verwijzen naar een Nederlandse hoster met een Nederlands IP adres. Op een zelfde manier kun je dus een Indiaas domein hebben en dat later verwijzen naar bijv. een Russisch IP adres.

Door Sophos werd de payload al op het moment dat de nu.nl site gecompromitteerd werd gedecteerd en geblokkeerd.

Ik heb het volgende overzicht:
14-3-2012 11:18:20 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:18:21 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=23648, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
14-3-2012 11:18:27 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=269, op=GET, dstname=mops63jger . info, arg=/01O9Kss (deny vanwege contenttype application/java-archive)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet.class (deny vanwege *.class)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet/class.class (deny vanwege *.class)
14-3-2012 11:20:05 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:20:06 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=242, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
- Geen link meer op nu.nl naar exploit site. Veel nu.nl bezoeken maar geen links naar evil websites
14-3-2012 11:36:31 - disp=Allow, src_ip=x.x.x.147, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13324, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:40:04 - disp=Allow, src_ip=x.x.x.100, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13424, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:47:15 - disp=Allow, src_ip=x.x.x.94, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13257, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
- aanvallers veranderen de code om te detecteren welke plug-in aan te vallen continu want Sophos vind niks meer maar aanval gaat door.
14-3-2012 11:49:42 - disp=Allow, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13385, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
14-3-2012 11:49:59 - disp=Allow, src_ip=x.x.x.55, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13310, sent_bytes=666, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 11:52:08 - disp=Allow, src_ip=x.x.x.25, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13317, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 12:00:23 - disp=Allow, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13314, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
Hier stop mijn detectie want nu.nl werd toegevoegd aan blacklist firewall.