image

Weeronline.nl verspreidt twee weken lang malware

woensdag 6 juni 2012, 16:49 door Redactie, 18 reacties

Weeronline.nl heeft twee weken lang bezoekers met malware geïnfecteerd, zo laat de website weten. Aanvallers wisten toegang tot het advertentiesysteem te krijgen en toonden vervolgens advertenties waarin een exploit zat verstopt. Om wat voor exploits of malware het ging wordt niet gemeld.

"Door de site te bezoeken met een verouderde virusscanner en of een niet meer ondersteunde browser heeft u mogelijk gevaar gelopen. Hierdoor kan kwaadwillende code op uw computer zijn geïnstalleerd", zo stelt Weeronline.nl in een verklaring.

Advertenties
De kwaadaardige advertenties zouden over een periode van twee weken zijn getoond. "De getroffen servers zijn vervangen en de beveiliging is verder opgeschroefd. Het bezoeken van weeronline.nl is weer veilig. Bezoekers met een virusscanner en browser die up-to-date zijn hebben nauwelijks risico gelopen", is verder te lezen.

Vanwege het kleine aantal meldingen wordt verder geconcludeerd dat het probleem bij weinig bezoekers speelde.

Reacties (18)
06-06-2012, 16:55 door Anoniem
Vanwege het kleine aantal meldingen wordt verder geconcludeerd dat het probleem bij weinig bezoekers speelde.

Tja struisvogelpolitiek, de meeste mensen lijken het toch niet eens door te hebben als ze besmet zijn.
06-06-2012, 17:35 door Anoniem
Wat voor malware? Was een java drive-by? Iets meer info aub.
06-06-2012, 18:56 door Anoniem
Op basis van gebruikersstatistieken kunnen ze zien hoeveel % van de bezoekers een kwetsbare browser gebruikt? Ik kan me voorstellen dat bezoekers regelmatig terug komen, en dat ze aan de hand van statistieken van die tijd kunnen zien hoeveel gebruikers door hun toedoen zijn besmet.

Het is goed dat ze dit naar buiten brengen, maar dit is dan ook weer jammer..
06-06-2012, 19:14 door Anoniem
Ja dit klinkt inderdaad als een bekentenis maar de gevolgen worden vervolgens sterk afgezwakt ...
Uiterst irritant en hoogst verdacht ...
Informatieverstrekking is ook niet compleet. Hetzij bewust of men heeft simpelweg de kennis niet.
weeronline.nl tot nooit meer ziens !
06-06-2012, 19:16 door Anoniem
Handig hoor dat Adblock Plus.
06-06-2012, 19:49 door Anoniem
Een kwalijke zaak dat Weeronline er zelf niet achter kwam. Ik mijd deze site dus echt wel. Bye bye, zwaai, zwaai.
06-06-2012, 20:05 door Ignitem
Weeronline geeft wel een ongelooflijk summiere uitleg. Het lijkt wel alsof ze geen idee hebben wat er gebeurd is?
Welk virus? Welke exploit? Welke browser? Welke versie? Welk OS?????????????????????

Tijd voor wetgeving op dit vlak.
06-06-2012, 20:10 door [Account Verwijderd]
[Verwijderd]
06-06-2012, 20:54 door Anoniem
Door Peter V:
Door Ignitem: Weeronline geeft wel een ongelooflijk summiere uitleg. Het lijkt wel alsof ze geen idee hebben wat er gebeurd is?
Welk virus? Welke exploit? Welke browser? Welke versie? Welk OS?????????????????????

Tijd voor wetgeving op dit vlak.
Helemaal mee eens. Dit is ronduit onverantwoordelijk.

Voor het zelfde geld wordt de computer geïnfecteerd met een Rootkit of Banking Trojan, maar de gebruiker weet vervolgens niets omdat Weeronline zijn kaken op elkaar houdt.

Ja denk het ook, gebruikers met verouderde browsers en virusscanners moeten meteen dwangarbeid verrichten!
06-06-2012, 22:22 door Anoniem
Ben ik de enige die in eerste instantie

Weeronline.nl_voorspelt_twee_weken_lang_malware

las?
06-06-2012, 23:00 door Anoniem
Heeeele foute bagatelliserende teksten van weeronline.nl

"Bezoekers met een virusscanner en browser die up-to-date zijn hebben nauwelijks risico gelopen."

Kennelijk loop je risico of je nu wel of niet up-to-date bent met je software, wat aangeeft dat ze bij weeronline geen duidelijk beeld hebben van het risico wat ze hun bezoekers hebben laten lopen. Als ze heel eerlijk en open zouden zijn had er gestaan: Bezoekers hebben een risico gelopen, het valt niet uit te sluiten dat u als bezoeker besmet bent geraakt door een bezoek aan onze website." Je bent niet nauwelijks kwetsbaar, je bent het of je bent het niet als je aan bepaalde voorwaarden voldoet.

"Door de minimale meldingen die we binnenkregen lijkt het probleem voor weinig bezoekers op te treden."

Voor wie is dit relevant om te verkondigen en waarom hanteren ze deze gedachte? Voor de goede orde: de flamer malware is ook maanden/jaren onopgemerkt gebleven, niet in de laatste plaats omdat de slachtoffers van niets wisten. Daarbij, zelfs al zou een bezoeker eindelijk eens een virusscanner hebben die het nu detecteert dan is de kans nauwelijks aanwezig dat die gebruiker door heeft waar de besmetting vandaan komt en dan moet je ook nog de situatie hebben dat het slachtofffer zin heeft en moeite neemt om contact met weeronline op te nemen. Hoeveel meldingen is overigens 'weinig' en wat wat na 2 weken eindelijk eens voldoende voor weeronline om in te zien dat er iets mis was met hun beveiliging. Weeronline zet deze bagatelliserende tekst kennelijk alleen op de site in de hoop dat bezoekers die hun tekstje al lezen niet ongerust worden en weeronline zo min mogelijk aansprakelijk stellen. Want hoe je het ook draait, de eigenaar van het besmette systeem welke bij een ander zorgt dat een systeem besmet raakt en weet ik wat allemaal aan criminele activiteiten mogelijk maakt is bij mij nog altijd verantwoordelijk voor de schade. Maar daar horen we weeronline.nl helemaal niet over, die vinden dat een bagatelliserend tekstje voldoende is om de boel af te sluiten. Daarbij zo weinig informatie gevend dat niets duidelijk wijst op enige herkenning van schuld - want het had natuurlijk net zo goed een p0rno site kunnen zijn waardoor u besmet raakte. Rekent u de schadepost even mee?
06-06-2012, 23:03 door Anoniem
Ik heb geen virusscanner nodig. Ik gebruik AdBlockPlus ;)
07-06-2012, 07:46 door Anoniem
Het gaat om een trojan w32/zbot (password stealer). Het heeft in ieder geval vanaf 21 mei op de site gestaan. Ikzelf heb dit op 29 mei gemeld bij weeronline, waarna ze op 1 juni aangaven dat het bekend was en de systemen uitgeschakeld waren.
07-06-2012, 09:13 door Anoniem
Ben ik blij dat ik een Sitecom router met ingebouwde ad blocking heb ;)
07-06-2012, 09:56 door Anoniem
Heb op de zaak een tiental geïnfecteerde PC's gezien. PC's hebben allen een up-to-date browser en virusscanner. Of het moet zijn dat IE8, in de ogen van weeronline.nl al verouderd is en niet meer ondersteund wordt ;-) .
OS = Windows XP .
Sophos ziet de volgende infectie of een variant daarop: HPMal/ZBot-C
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/HPmal~Zbot-C/detailed-analysis.aspx
07-06-2012, 20:42 door [Account Verwijderd]
[Verwijderd]
08-06-2012, 10:24 door Anoniem
Heeft iemand enig idee wat de exacte url was waar het virus stond ?
14-06-2012, 11:47 door Anoniem
Ik heb het virus ook erop gehad vorige week (en toevallig vandaag ook terwijl ik niet op weeronline ben geweest).
De reden waarom ik het ontdekte is omdat mijn aanhalingstekens bij het typen verdubbeld werden (goede kans dat je dan geïnfecteerd bent), wat vaak duidt op een keylogger.

De malware wilde verbinden naar een url van digitalvideozs.su wat gelukkig door Kaspersky is tegengehouden.
Mijn systeem is helemaal up-to-date en voorzien van de nieuwste versies van IE/Chrome, dus het verhaal dat dit alleen voor oude computers geldt is bull-crap.

Op basis van de URL heb ik kunnen herleiden dat het gaat om Citadel, een variant op Zeus.

Ik raad iedereen aan om eens naar %appdata% te gaan met de verkenner en te kijken of er toevallig 3 mappen aangemaakt zijn, met random namen, zoals: cyaq, ibyqn, ilvewa waaran er ééntje een .exe bevat.

Voor meer informatie over wat er precies is aangericht:
http://www.threatexpert.com/report.aspx?md5=3f8449885503bb0451af462a8148710c

Deze troep was inderdaad op mijn systeem te vinden en heb ik allemaal verwijderd, waarna het virus weg lijkt.
Gek genoeg stond het er vandaag weer op en relateer ik dit aan een andere URL, of het feit dat het virus onder water nooit weg is geweest. Zowel Kaspersky als AntimalwareBytes vinden of waarschuwen bij mij _NIET_ voor dit virus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.