Privacy
- Wat niemand over je mag weten
ongevraagt Jaarlijks bezoekersonderzoek Firefox
03-01-2016, 18:15 door Anoniem, 12 reacties
Ik gebruik Firefox 43.0.3 en bevind mij op google.nl webpagina, waar ik een link aanklik, en in plaats dat ik op de bewuste webpagina kom, krijg ik ongevraagd een webpagina op mijn scherm met de volgende tekst
Jaarlijks bezoekersonderzoek 2016 (locatie)
Browser: Gebruikersonderzoek.
Gefeliciteerd!
Je bent persoonlijk geselecteerd om deel te nemen aan ons jaarlijkse bezoekersonderzoek 2016! Vertel ons wat je denkt van Firefox en als “dank” geven we je een kans om een iPhone 6S® te winnen!
onderstaande link verbind met deze website.
http://9wnzz.super-promo.mump.info/?sov=63633901&hid=fnvhjffnljvp&&redid=6958&gsid=68&id=XNSX.54197%3A%3A2030510131||250460111||1584890521-r6958-t68
De vraag is, wie kan mij uitleggen, hoe dit mogelijk is.
Jaarlijks bezoekersonderzoek 2016 (locatie)
Browser: Gebruikersonderzoek.
Gefeliciteerd!
Je bent persoonlijk geselecteerd om deel te nemen aan ons jaarlijkse bezoekersonderzoek 2016! Vertel ons wat je denkt van Firefox en als “dank” geven we je een kans om een iPhone 6S® te winnen!
onderstaande link verbind met deze website.
http://9wnzz.super-promo.mump.info/?sov=63633901&hid=fnvhjffnljvp&&redid=6958&gsid=68&id=XNSX.54197%3A%3A2030510131||250460111||1584890521-r6958-t68
De vraag is, wie kan mij uitleggen, hoe dit mogelijk is.
Reacties (12)
De vraag is, wie kan mij uitleggen, hoe dit mogelijk is.
Dat kan toch niemand? Want niemand weet waar je naar zocht en op wat voor 'Link' je hebt geklikt.Het betreffende bericht is in elk geval niet van Firefox/Mozilla zelf, maar van 'een of andere' spamsite. Niks bijzonders.
Dat de site weet dat je Firefox gebruikt en daarop inspeelt is ook niets bijzonders: elke site die je bezoekt kan zien welke browser je gebruikt! Ze zien je IP-adres, je systeem (bijv. Win8) en je browser. Daar wordt dan op ingespeeld door de betreffende site.
Ik zou als ik jou was maar met een grote boog om die link heen gaan, want voor je het weet is het de bedoeling dat je je persoonlijke gegevens invult en/of je gsm-nummer en zit je vast aan een duur sms abonnement. Dat is dan die 'dank'!
Overigens heb ik zelf niet op de door jou genoemde link geklikt, heb mijn PC lief ...
Die website is mogelijk "defaced".
Neem eens contact op met de eigenaar van de site. Mogelijk is het een rogue advertentie.
Neem eens contact op met de eigenaar van de site. Mogelijk is het een rogue advertentie.
Je klikt een "link" op Google aan...
Jij denkt dat een "link" op Google een URL is...
Het is echter een blauw stukje tekst met een streep er onder!
https://en.wikipedia.org/wiki/HTTP_referer
Als het vaker voorkomt moet je op malware scannen.
NB: de host is een 'legitiem' bedrijf dat handelt in persoonlijke data, die winkans op een 4S is (hoogstwaarschijnlijk) onwaarneembaar klein.
Jij denkt dat een "link" op Google een URL is...
Het is echter een blauw stukje tekst met een streep er onder!
https://en.wikipedia.org/wiki/HTTP_referer
Als het vaker voorkomt moet je op malware scannen.
NB: de host is een 'legitiem' bedrijf dat handelt in persoonlijke data, die winkans op een 4S is (hoogstwaarschijnlijk) onwaarneembaar klein.
03-01-2016, 21:30 door
Erik van Straten
Google: "super-promo" firefox malware
Bijvoorbeeld: https://malwaretips.com/blogs/57vzz-super-promo-nucu-info-removal/
Of de manier van verwijderen (zoals voorgesteld in laatstgenoemde pagina) verstandig is, weet ik niet. Maar dat het om adware (of erger) gaat, lijkt me wel duidelijk.
Bijvoorbeeld: https://malwaretips.com/blogs/57vzz-super-promo-nucu-info-removal/
Of de manier van verwijderen (zoals voorgesteld in laatstgenoemde pagina) verstandig is, weet ik niet. Maar dat het om adware (of erger) gaat, lijkt me wel duidelijk.
Dit is een smerige betaaldiensten die je 12€ p week kost onderaan staat wel een stop SMS nummer %
Door Erik van Straten: Google: "super-promo" firefox malware
Bijvoorbeeld: https://malwaretips.com/blogs/57vzz-super-promo-nucu-info-removal/
Of de manier van verwijderen (zoals voorgesteld in laatstgenoemde pagina) verstandig is, weet ik niet. Maar dat het om adware (of erger) gaat, lijkt me wel duidelijk.
Bijvoorbeeld: https://malwaretips.com/blogs/57vzz-super-promo-nucu-info-removal/
Of de manier van verwijderen (zoals voorgesteld in laatstgenoemde pagina) verstandig is, weet ik niet. Maar dat het om adware (of erger) gaat, lijkt me wel duidelijk.
Bedankt voor de informatie. Ik heb uiteraard niet aan het onderzoek meegedaan, en heb de websites geblokkeerd met een aanvulling in de HOST file. Nu heb ik HitmanPro laten scannen, en ik zie dat er 4 maal een AskBar en twee keer een CouponBar wordt gemeld in Hitman, en nog een aantal tracking Cookies. Opvallend is, dat de aanmaakdatum in 2013 is gedaan.
De link was het resultaat van een Google zoekvraag, en die website zou mischien besmet zijn en mij hebben doorgestuurd.
Opvallend daarbij, is wel dat het hier om een buitenlandse website gaat.
Nadat ik de computer heb gescand met HitmanPro, waarvan ik geen licentie heb, en de proeflicentie al eens door een eerdere versie was verlopen, bleek dat er een map met AskBar, en en map met CouponBar op de pc staan, en nog twee registersleutels die daar mee te maken hebben. deze mappen waarin naar mijn gevoel slechts text bestanden stonden, ze waren leesbaar met kladblok, en de inhoud bestond uit cijfers en enige text, het leken log bestanden te zijn.
Ook bijzonder was, dat al deze text bestanden een aanmaak datum 2013 hebben. In die tussentijd heb ik HitmanPro al eens gebruikt, want de proeflicensie is verlopen.
Ik heb alles handmatig verwijdert, en HitmanPro geeft nu aan, dat er geen verdachte zaken meer op de computer staan.
Wat de ongewenste webpagina betreft, die heb ik in HOST geplaatst, en is nu niet meer oproepbaar.
0.0.0.0 mump.info
0.0.0.0 9wnzz.super-promo
0.0.0.0 9wnzz.super-promo.mump.info
De website is vermoedelijk defaced zo oppert iemand, lijkt mij een acceptabele analyse, want dan hoeft er niks op mijn computer te worden gezet.
De vraag is, wie heeft vergelijkbare ervaring.
Opvallend daarbij, is wel dat het hier om een buitenlandse website gaat.
Nadat ik de computer heb gescand met HitmanPro, waarvan ik geen licentie heb, en de proeflicentie al eens door een eerdere versie was verlopen, bleek dat er een map met AskBar, en en map met CouponBar op de pc staan, en nog twee registersleutels die daar mee te maken hebben. deze mappen waarin naar mijn gevoel slechts text bestanden stonden, ze waren leesbaar met kladblok, en de inhoud bestond uit cijfers en enige text, het leken log bestanden te zijn.
Ook bijzonder was, dat al deze text bestanden een aanmaak datum 2013 hebben. In die tussentijd heb ik HitmanPro al eens gebruikt, want de proeflicensie is verlopen.
Ik heb alles handmatig verwijdert, en HitmanPro geeft nu aan, dat er geen verdachte zaken meer op de computer staan.
Wat de ongewenste webpagina betreft, die heb ik in HOST geplaatst, en is nu niet meer oproepbaar.
0.0.0.0 mump.info
0.0.0.0 9wnzz.super-promo
0.0.0.0 9wnzz.super-promo.mump.info
De website is vermoedelijk defaced zo oppert iemand, lijkt mij een acceptabele analyse, want dan hoeft er niks op mijn computer te worden gezet.
De vraag is, wie heeft vergelijkbare ervaring.
je vraagt wie heeft vergelijkbare ervaring, antwoord ; niemand die een goede real-time beveiling heeft
Door Anoniem: je vraagt wie heeft vergelijkbare ervaring, antwoord ; niemand die een goede real-time beveiling heeft
Ik heb mijn computer aardig goed beveiligt, met real time updates, en daarom daag ik u uit, dit probleem aan ieder die dit leest eens haarfijn uit te leggen, immers u lijkt de expert!
04-01-2016, 16:42 door
Erik van Straten
Door Anoniem:
Ik heb mijn computer aardig goed beveiligt, met real time updates, en daarom daag ik u uit, dit probleem aan ieder die dit leest eens haarfijn uit te leggen, immers u lijkt de expert!
Daar ben ik het volstrekt mee eens.Door Anoniem: je vraagt wie heeft vergelijkbare ervaring, antwoord ; niemand die een goede real-time beveiling heeft
Ik heb mijn computer aardig goed beveiligt, met real time updates, en daarom daag ik u uit, dit probleem aan ieder die dit leest eens haarfijn uit te leggen, immers u lijkt de expert!
Voorbeeld: ik heb vanochtend Wireshark v2.0.1 voor Win64 gedownload. In https://www.virustotal.com/en/file/5c5c9668d0254d183ef94eaaab2ca35e1376ae1bac3f10b21ccf5e14eaafb045/analysis/ valt te lezen dat 1 van de 55 virusscanners, Zillya, meent dat er sprake is van "Adware.BrowseFox.Win32.270781". Onder comments wordt dat door 1 persoon bevestigd. Waarschijnlijk gaat het hier om een false-positive en heeft een commentaargever de melding dat het om BrowseFox adware zou gaan, gewoon gekopieerd.
Stel ik installeer deze versie, en later krijg ik vreemde popups: was mijn realtime beveiliging dan niet in orde?
Ik zie nu ook pas, dat de optie: "Mij waarschuwen wanneer websites proberen de pagina door te sturen of te herladen" niet is aangevinkt, in Opties/Geavanceerd/Algemeen. Zou dit hebben voorkomen, dat ik doorgeleid ben naar 9wnzz.super-promo.mump.info.
Ik heb HitmanPro nog eens laten scannen, en er is geen melding, dus ga ik ervan uit, dat mijn computer niet besmet is.
Ik heb HitmanPro nog eens laten scannen, en er is geen melding, dus ga ik ervan uit, dat mijn computer niet besmet is.
Door Anoniem: De link was het resultaat van een Google zoekvraag, en die website zou mischien besmet zijn en mij hebben doorgestuurd.
Opvallend daarbij, is wel dat het hier om een buitenlandse website gaat.
Nadat ik de computer heb gescand met HitmanPro, waarvan ik geen licentie heb, en de proeflicentie al eens door een eerdere versie was verlopen, bleek dat er een map met AskBar, en en map met CouponBar op de pc staan, en nog twee registersleutels die daar mee te maken hebben. deze mappen waarin naar mijn gevoel slechts text bestanden stonden, ze waren leesbaar met kladblok, en de inhoud bestond uit cijfers en enige text, het leken log bestanden te zijn.
Ook bijzonder was, dat al deze text bestanden een aanmaak datum 2013 hebben. In die tussentijd heb ik HitmanPro al eens gebruikt, want de proeflicensie is verlopen.
Ik heb alles handmatig verwijdert, en HitmanPro geeft nu aan, dat er geen verdachte zaken meer op de computer staan.
Wat de ongewenste webpagina betreft, die heb ik in HOST geplaatst, en is nu niet meer oproepbaar.
0.0.0.0 mump.info
0.0.0.0 9wnzz.super-promo
0.0.0.0 9wnzz.super-promo.mump.info
De website is vermoedelijk defaced zo oppert iemand, lijkt mij een acceptabele analyse, want dan hoeft er niks op mijn computer te worden gezet.
De vraag is, wie heeft vergelijkbare ervaring.
Fijn dat je alle reacties leest. Kleine nuances:Opvallend daarbij, is wel dat het hier om een buitenlandse website gaat.
Nadat ik de computer heb gescand met HitmanPro, waarvan ik geen licentie heb, en de proeflicentie al eens door een eerdere versie was verlopen, bleek dat er een map met AskBar, en en map met CouponBar op de pc staan, en nog twee registersleutels die daar mee te maken hebben. deze mappen waarin naar mijn gevoel slechts text bestanden stonden, ze waren leesbaar met kladblok, en de inhoud bestond uit cijfers en enige text, het leken log bestanden te zijn.
Ook bijzonder was, dat al deze text bestanden een aanmaak datum 2013 hebben. In die tussentijd heb ik HitmanPro al eens gebruikt, want de proeflicensie is verlopen.
Ik heb alles handmatig verwijdert, en HitmanPro geeft nu aan, dat er geen verdachte zaken meer op de computer staan.
Wat de ongewenste webpagina betreft, die heb ik in HOST geplaatst, en is nu niet meer oproepbaar.
0.0.0.0 mump.info
0.0.0.0 9wnzz.super-promo
0.0.0.0 9wnzz.super-promo.mump.info
De website is vermoedelijk defaced zo oppert iemand, lijkt mij een acceptabele analyse, want dan hoeft er niks op mijn computer te worden gezet.
De vraag is, wie heeft vergelijkbare ervaring.
- Google stuurt je door, vaak met een andere HTTP-request dan je zou vermoeden.
- Een website hoeft niet overeen te komen met het zoekresultaat. Als ik een witte website maak met witte letters en allerlei sleutelwoorden kom ik vanzelf terug in de resultaten vaan Google. Ook al doet mijn website niets anders dan een witte pagina weergeven en je doorsturen naar mump.info
- Malvertisers zoals mump.info betalen zoekmachines en andere sites voor referals of verhoogde weergaven in (irrelevante) zoekresultaten.
De kans dat je daadwerkelijk adware hebt is <0.1%; dan was je namelijk al lang gek geworden van alle pop-ups en redirects.
Het feit dat hitman restanten vind van CouponBar en AskBar, wijst er op dat je in het verleden software hebt geïnstalleerd, zonder aandacht te besteden aan de vinkjes (vaak terug te vinden als zijnde "geavanceerde instellingen" of iets dergelijks).
Dat kan overigens ook een legitieme update zijn geweest (Java?), zelfs die zijn niet 100% veilig meer.
Ook het downloaden van software via verzamelsites (download.com) is niet aan te raden, deze worden namelijk vaak gebundeld met dergelijke verassingen.
Ofwel, geen paniek, niets aan de hand.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
