Nieuws
image

Malware op Telegraaf.nl verspreidde zich via Javalekken

donderdag 1 augustus 2013, 17:48 door Redactie, 8 reacties

De website van de Telegraaf heeft vandaag enkele uren lang advertenties getoond die probeerden om bezoekers met malware te infecteren. Daarbij werden twee beveiligingslekken in Java gebruikt, zo meldt het Delftse beveiligingsbedrijf Fox-IT, dat als eerste het incident opmerkte. Via de advertenties werden bezoekers naar de FlimKit exploit-kit doorgestuurd.

Deze exploit-kit maakt misbruik van CVE-2012-1723 en CVE-2013-2423, twee lekken in Java die Oracle in respectievelijk juni 2012 en april 2013 patchte. Zodra bezoekers de krantensite met een verouderde Java-versie bezochten, werden er via de exploit een DLL- en EXE-bestand geïnstalleerd. Het gaat om ransomware die de computer vergrendelt en een bericht van de 'Politie Nederland' toont. Om weer toegang te krijgen moeten slachtoffers 100 euro betalen.

"Het vreemde aan het geheel is dat het op in Nederland gebaseerde servers wordt gehost en dat de DGA (Domain Generation Algorithm - red) domeinen zich ook in Nederland bevinden, wat zeer bijzonder is", aldus beveiligingsspecialist Yonathan Klijnsma. De IP-adressen die de door de exploit-kit en malware worden gebruikt zijn 128.204.202.41 en 46.182.106.96.

Herinstallatie
"Omdat de malware alle interactie met de desktop blokkeert en verschillende registersleutels wijzigt, is die zeer lastig om handmatig of automatisch te verwijderen", stelt Klijnsma. "Er is echter een oplossing om de malware uit te schakelen zodat je je bestanden kunt back-uppen en een herinstallatie kan doen."

Deze methode werkt alleen als er een andere account op de machine beschikbaar is. In dit geval moet de machine in Veilige Modus worden herstart en via dit andere account in netwerkmodus worden gestart. Vervolgens is het mogelijk om de bestanden van de malware te verwijderen en uiteindelijk een back-up te maken.

Register
"De malware maakt verschillende aanpassingen aan het register en het opruimen van al die aanpassingen is tijdsintensief en niet per definitie succesvol", besluit de beveiligingsspecialist. Om de malware te verwijderen kunnen gebruikers ook de gratis verwijdertool HitmanPro.Kickstart gebruiken.

Uit recente onderzoeken blijkt dat veel gebruikers en bedrijven met verouderde Java-versies werken die soms jaren lang niet worden geüpdatet.

Reacties (8)
01-08-2013, 17:55 door Anoniem
Wat ben ik blij dat ik geen JAVA meer heb!
01-08-2013, 18:36 door Whoops
Ik voorspel minimaal drie "Java is waardeloos en direct verwijderen" reacties hieronder!
02-08-2013, 00:31 door [Account Verwijderd]
Java is waardeloos en direct verwijderen.

j/k , niet altijd mogelijk.

Maar na nu.nl , en nu de telegraaf zou het zinvol zijn om op z'n minst van advertentie sites te eisen dat ze voldoen aan voorwaarden. Dit kost de Telegraaf meer geld dan ze verdienen met advertenties..

Jan.
02-08-2013, 08:26 door [Account Verwijderd]
[Verwijderd]
02-08-2013, 08:36 door SurfRight
Java is zo'n groot probleem dat exploit kits prima uit de voeten kunnen met alleen een Java-aanval; een beetje exploit kit viel voorheen ook Acrobat/Reader, Flash, IE of Word aan om zoveel mogelijk slachtoffers te kunnen maken.
Waarschijnlijk zijn voornamelijk bedrijven getroffen want 94% van miljoenen onderzochte computers hebben daar een oude versie van Java en zijn dus vatbaar voor elke exploit aanval. Deze bedrijven 'kunnen' (willen) niet upgraden omdat een bedrijfsapplicatie dan niet meer werkt, er door de leverancier ervan veel geld wordt gevraagd of geen support meer levert, met als gevolg dat data van jan en alleman op straat komt te liggen (herinner je Dorifel en Pobelka, beide Citadel-malware die op 150.000 Nederlandse systemen maandenlang ongezien bleven op machines met up-to-date antivirussoftware, en oude Java). Een oude versie van Java wordt echt enorm onderschat - er zou een postbus 51 spotje op tv moeten komen...
-Mark
02-08-2013, 10:31 door yobi
Java is waardeloos en direct verwijderen.
02-08-2013, 10:37 door Anoniem
Door Krakatau:
Gepatcht in Juni 2012?! Wat zijn dat voor mensen die hun systeem een jaar lang niet updaten? Misschien is een computer rrijbewijs zo'n slecht idee nog niet.
Ook niet voor die advertentieboeren!
Wat zijn dat voor mensen dat ze malware toelaten op hun platform? Letten ze daar niet op ofzo?
Dat vind ik heel wat erger dan iemand die zijn locale pc'tje niet op orde heeft.
Heb wel eens een reactie gezien van zo'n advertentie platform en dat was dan zo van "We kunnen niet ..." nou
dan is mijn reactie vrij simpel: als jullie niet kunnen dan blokkeer ik je gewoon. Niet-kunners die hoef ik niet op
mijn computer.
Een advertentieserver hoeft alleen maar een JPG of GIF plaatje af te leveren, het gaat al fout op het moment dat
er weer javascript en iframes tussen zitten. Ze hebben zelf een onveilige omgeving gebouwd, als dat kennelijk
gebaseerd is op onkunde nou jammer dan, de blocklist is geduldig.
02-08-2013, 11:18 door Anoniem
Er zou eigenlijk een 'class action' moeten plaatsvinden om bedrijven als Oracle en Adobe aan te pakken. Weg met die onveilige software, boycotten die zaak. Maar het draait allemaal om geld, de hele ICT-sector zit zeer pervers in elkaar. Kennelijk is het motto: iedereen te vriend houden en aardig zijn voor elkaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure