Bezoekers van Telegraaf.nl die gisteren besmet zijn geraakt moeten hun computer opnieuw installeren, zo adviseert de Waarschuwingsdienst van de overheid. De malware werd verspreid via een aanmeldpagina voor de nieuwsbrief en gebruikte een recent gedicht lek in Java, hoewel andere exploits niet worden uitgesloten. Wie gisteren De Telegraaf met verouderde software bezocht werd niet standaard geïnfecteerd. Er moest eerst nog op de aanmeldlink worden geklikt.
"Uit ons onderzoek naar de verspreiding van malware van 6 september via telegraaf.nl, is gebleken dat er naast "Live Security Platinum" fake-antivirus ook andere malware is geïnstalleerd. Volgens SurfRight zijn systemen in sommige gevallen ook besmet met Citadel malware. Ons advies is daarom om getroffen systemen volledig te herinstalleren", aldus de Waarschuwingsdienst.
De Citadel/ZeroAccess malware wordt nog nauwelijks gedetecteerd door virusscanners. HitmanPro zou de malware wel detecteren en kunnen verwijderen.
Installatie
Mary-Jo van de Velde, woordvoerster van het Nationaal Cyber Security Center, laat tegenover Security.nl weten dat het opnieuw installeren van de computer niet haalbaar voor de meeste eindgebruikers is. Mensen krijgen in het geval ze niet over voldoende technische kennis beschikken het advies om de computer naar een computerwinkel te brengen en het daar te laten doen.
Daarbij moeten gebruikers wel de winkel met hun computer vertrouwen. "Als je het zelf niet durft of kan kun je wel iemand bellen die het uitlegt, maar als je er zelf niet uitkomt dan is het verstandig om naar iemand te gaan die je vertrouwt." Volgens Van de Velde zouden computerwinkels en helpdesks er geen baat bij hebben om dat vertrouwen te misbruiken omdat ze dan snel al hun klanten verliezen.
Website
De aanval op de Telegraaf is ook voor andere websites een belangrijke les. "Het is belangrijk dat websites niet vertrouwen op de beveiliging van andere websites of externe systemen. Zo kan een website die goed is beveiligd toch opeens bezoekers met malware infecteren", aldus Frank van Vliet, CTO van Certified Secure.
Hij merkt op dat dit soort problemen vaak voorkomen bij de ontwikkeling van websites. "Door diensten van anderen in te kopen wordt een deel van de ontwikkeling als het ware uitbesteed. Wat vervolgens wordt vergeten is om dezelfde beveiligingseisen voor de website ook voor deze diensten te laten gelden."
Wat bezoekers betreft kunnen die de impact van dit soort beveiligingsproblemen beperken door hun systeem up-to-date te houden. Sinds vrijdag is er een patch voor het lek in Java dat de aanvallers bij deze aanval gebruikten.
Stappenplan
Gebruikers die gisteren met verouderde software de aanmeldlink voor één van de nieuwsbrieven van Telegraaf.nl hebben geopend krijgen het onderstaande advies. Het controleren op verouderde software kan via de gratis Secunia Personal Software Inspector.
Deze posting is gelocked. Reageren is niet meer mogelijk.