Besmetting via speedtest?

Ik zou op zijn minst zsm dit melden bij de admin van Speedtest.. het liefst telefonisch. Wat geeft whois aan informatie terug op het domein van Speedtest?

Ik merk hier niets eigenaardigs.

Werkt prima hier hoor .

Hier doet hij ook beetje vaag, hij geeft 2x melding over java en klik op oke

dan opent hij mediaplayer

Heb alles maar afgesloten

My-life schreef op vrijdag 30 september 2011 @ 10:11:
Werkt prima hier hoor .

Same here. Wordt geen vage Java troep opgestart, gewoon alles zoals het hoort.

het is een Flash gebeuren die speedtest...
Waar klik je op? "Begin test"?

er staan een hoop andere dingen omheen welke ik niet ken,
bv:
- Gratis scan uitvoeren
- Test de snelheid van PC
- Start de test

edit: binnen chrome geen problemen. binnen IE opent Windows Mediaplayer voordat ik ergens op geklikt heb...
welke browser wordt gebruikt?

[ Voor 24% gewijzigd door skoozie op 30-09-2011 10:21 ]

Enige melding die ik krijg, is dat ik nog java moest installeren. Dat domein komt inderdaad wel in de statusbalk te staan, die cx.cc

Maar geen rare dingen verders. Avast zit gewoon te chillen hierzo..

Houd er rekening mee dat afhankelijk van de gebruikte browser (user-agent) malware al dan niet activeert. Dus als ik het in Chrome onder *nix open, gebeurt er niks, maar IE7 onder WinXP bijvoorbeeld wel.

Java wordt op dit moment veel gebruikt om, al dan niet ongemerkt, malware te installeren op systemen. Het klinkt dus alsof speedtest.net zelf of misschien een banner-boer die ze gebruiken besmet is. En afhankelijk van je installatie is het dus nogal riskant naar dat soort sites te browsen..

ehtweak schreef op vrijdag 30 september 2011 @ 10:29:
Ik gebruik IE8 met Win7 Ultimate 64-bit, met Eset 4 NOD32 en Spybot.
Blijkbaar niet afdoende...

Ik heb het even voor je geopend in IE9 op 7x64, met alleen MS Security Essentials en geen enkel probleem. Misschien toch eens handig om je IE te updaten?

Die site werkt via Flash, dus het is sowieso al apart dat Java gestart wordt Wat is eigenlijk de reden dat je niet hebt geüpgraded naar IE9?

met opera hiero geen probleem. Zodra ik ie9 pak gaat mijn trend micro over de zeik. Maar geen java zaken. Klinkt als een banner oid die alleen op ie reageert. Of de website zelf is infected. Als je niet wilt bellen kun je ze alsnog even mailen over de zaken.

via FF6.x geen issues, als ik hem via IE start, krijg ik meteen melding van Symantec Endpoint Protection dat ie een 't ander (malicious web toolkit oid) blocked

Heb net even op sidn.nl naar het mailadres van de 'technische contactpersoon' gezocht en er een mailtje naar toe gestuurd.

Edit: My bad, bedoelde natuurlijk speedtest.net.... er staat nu een mailtje in de juiste inbox

[ Voor 31% gewijzigd door Bioman op 30-09-2011 12:21 ]

Ik denk dat het over speedtest.net gaat, toch?

Zelf ook even getest met IE9 en FF 7.0. Geen popups o.i.d. tegengekomen.

Wel degelijk een rootkit.
Wel eens van MebRoot gehoord?

check met combofix:

\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
.
- - - - ORPHANS VERWIJDERD - - - -
.
HKU-Default-Run-4Y3Y0C3AWF7W1ZXECKMS - c:\recycle.bin\B6232F3ACC4.exe
.
.
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Virtual_HD rev.1.1.0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
.
device: opened successfully
user: MBR read successfully
error: Read Een apparaat dat op het systeem is aangesloten, werkt niet.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8206151B
user & kernel MBR OK
.

Dit was een vrijwel ongebruikte vm, vanmorgen na een aantal weken weer eens op het scherm getrokken om wat testwerk te doen.
Bij openen speedtest.net direct prijs.

Voor alle mensen, die al of niet iets hebben gezien: check je MBR.
Afgelopen 14 dagen al 2 klanten gehad met geld kwijt van hun bankrekening (1x ING, 1x RABO), waarin deze rootkit een hoofdrol vervulde.

Overigens haalde een Win7 machine met MS Endpoint protection hem er wel uit, hier werd hij gerapporteerd als Exploit:JS/Blacole.A

firefox 6.0.2
windows xp service pack 2
avast free home edition

geeft trojan melding

Ik schrok even omdat ik de laatste dagen veel gebruik heb gemaakt van speedtest, echter gelukkig van speedtest.nl . Wel een handige tool die ComboFix, gaat bij mijn favorieten .

@ldb1619
Hoe komen ze dan aan die TAN code?

[ Voor 11% gewijzigd door Verwijderd op 30-09-2011 17:00 ]

ehtweak schreef op vrijdag 30 september 2011 @ 17:33:
Lekker dan dat speedtest gebeuren. Je ziet hele forums vol staan met verwijzingen ernaar.

Enne, dat ComboFix, ziet er heftig uit. Heb de instructies eens gelezen, maarre, het lijkt zelf wel malware... zeker als er staat dat je alle andere beveiliging eerst moet uitschakelen.

Ik heb GMER geprobeerd als MBR checker, als die nou niks vindt, is dat dan ok?

ComboFix is geen malware hoor, dat kan ik je verzekeren.

@ChicaneBT: TAN nu weet ik niet precies. Vroeger was het niet zo moeilijk, login was voldoende om het telefoonnummer te wijzigen (keyboard logger). Ze konden dan gewoon inloggen, met een gewijzigde telf nummer de TAN opvangen, en de rekening leeg betalen naar het buitenland. Geld weg.
Was al lang bekend, dat dit beroerde beveiliging is, natuurlijk.
Inmiddels heeft ING dit proces aangepast, als je je telf nummer wijzigt wordt alles geblokkeerd. Je krijgt op papier een code om de blokkering op te heffen, dus je kan een paar dagen niet betalen.

Snelle check op MebRoot onder windows, die ik heb gebruikt (weet niet echt of dit absoluut 100% herkenning betekent):
regedit, zoek op 65533.
Kom je deze tegen als poort die open staat in de firewall, dan is het mis. Je kunt de registry entry weggooien, de firewall dicht zetten en geen uitzonderingen toestaan, maar na een reboot staat hij terug. Komt uit de MBR.

Starten met CD, met dos de mbr vervangen.

Ook combofix kan dit, onder windows xp alleen als de recoveryconsole is geinstalleerd. Komt combofix tegen, dat die er nog niet op staat, dan zal hij aanbieden die te downloaden van MS en te installeren. Doe dat ook, kan zeer nuttig zijn in dit soort gevallen.

Combofix gebruikt dezelfde technieken als de bad guys om diep in en onder het systeem te komen, dus voor een virusscanner is dit malware. Daarom moet de realtime scanner uit.
Haal overigens combofix weg bij bleepingcomputer, niet bij andere download adressen (meestal de derde link bij zoeken naar "combofix download" met google).

L1

Elke website die geopend wordt kan je windows pc hacken, dus dit is niks bijzonders. En je hoeft ook nergens op te klikken, en je wordt gehacked.

[ Voor 8% gewijzigd door jan99999 op 30-09-2011 21:09 ]

Speedtest doet het prima pingtest daarentegen niet.
Google chrome geeft mij een melding als ik naar pingtest.net ga.

pingtest.net (die dus standaard wel gebruikmaakt van Java) wordt bij mij ook gerapporteerd als aanvalspagina.
Is toch wel kwalijk voor zo'n grote site.

PauseBreak schreef op vrijdag 30 september 2011 @ 11:05:
Die site werkt via Flash, dus het is sowieso al apart dat Java gestart wordt Wat is eigenlijk de reden dat je niet hebt geüpgraded naar IE9?

Had hier net op de site van het Eindhovens Dagblad (ed.nl) ongeveer hetzelfde. Alleen hier kreeg ik gelijk een beveiliginsmelding van Internet Explorer in beeld (aanvalspagina) met daarin de verwijzing naar zo'n vaag domein (jihhhdf34.cx.cc in dit geval). Ook zag ik dat er geprobeerd werd java te starten. Heb bij de waarschuwing van IE maar gelijk het venster gesloten.

Het lijkt er bijna op dat het bij een bepaalde ad provider zit ofzo...

[ Voor 11% gewijzigd door ik222 op 01-10-2011 09:25 ]

ik222 schreef op zaterdag 01 oktober 2011 @ 09:21:

Het lijkt er bijna op dat het bij een bepaald ad provider zit ofzo...

Ik zou het ook daar zoeken... niet bij de site zelf. Zorg in ieder geval dat je browser up to date is.

Jester-NL schreef op zaterdag 01 oktober 2011 @ 08:54:
[...]

offtopic:
IE 9 doet het niet op WinXP

Heel goed!
Maar de TS geeft aan Win7 te hebben, en daar doet IE9 het normaliter wel op

ehtweak schreef op vrijdag 30 september 2011 @ 10:29:
Ik gebruik IE8 met Win7 Ultimate 64-bit, met Eset 4 NOD32 en Spybot.
Blijkbaar niet afdoende...

http://public.avast.com/~gmerek/aswMBR.htm

Gebruik deze even, mochten de meesten niet weten van een goede rootkit scanner.

Doe maar even niet dus, schijnt niet bij iedereen lekker te werken.

[ Voor 24% gewijzigd door SkyStreaker op 01-10-2011 12:49 ]

Dat had ik dus helemaal niet Oo (of beter gezegd, nooit gehad. Excuses dat ik je in de soep heb geholpen!)

[ Voor 52% gewijzigd door SkyStreaker op 01-10-2011 12:49 ]

En toen was de laptop van mijn moeder besmet met deze rotzooi (via ed.nl). Dit was dus een Windows XP machine met IE8 (IE9 draait niet op XP en andere browsers zijn eng). Ik weet niet of ze nog ergens op heeft geklikt ofzo want was er niet bij maar in elk geval zit nu de hele desktop vol met popups. Ik ga maar gelijk een herinstallatie doen want ik vertrouw dit soort zooi absoluut niet.

ik zit nu op speedtest.net ik heb totaal geen problemen.

Het is ook niet altijd en ook niet alleen op speedtest. Vandaar het vermoeden dat het in een bepaalde ad zit. En welke ad's je te zien krijgt hangt natuurlijk ook weer gedeeltelijk af van de surfgedrag in de afgelopen periode.

Zowel op speedtest.net als op pingtest.net in Chrome 15 en in IE9 geen meldingen, ook ed.nl geprobeerd, ook geen problemen.

Scanner is microsoft security essentials. Mocht het in de Ads zitten, ik heb een Ad blocker in Chrome draaien, dat zou het kunnen zijn, maar dat zou IE weer niet verklaren

Ook nog peerblock draaien, maar die houd zo te zien niks tegen wat gevaarlijk kan zijn.

Dit alles op Windows 7 SP1 x64

[ Voor 4% gewijzigd door marti-n op 01-10-2011 20:10 ]

Is adblock dan genoeg?

Iemand al een berichtje gehad van Speedtest?

Ben ook wel benieuwd hoe en waar, of het nu in een ad zit of op de site zelf. Gelukkig al even niet op speedtest.net geweest. Heb overigens ook gaan java geinstalleerd staan...

http://www.nu.nl/media/26...rkranten-zwart-virus.html

Dat was in elk geval de bron waar het virus bij mij vandaan kwam. Maar naar mijn idee zat het op deze sites in de ads die soms weergegeven werden. Ben namelijk wel 10 keer opnieuw naar de site van het ed gegaan (voor de veiligheid nu uiteraard wel met een VM) en kreeg nog slechts 1 keer opnieuw een virusmelding.

De redenen waarom het volgens mij in de ads zat zijn de volgende:
- Het gebeurde slechts in ca 10% van de bezoeken.
- Het domein waar het virus van afkomstig was en het virus zelf is exact hetzelfde als wat op bijvoorbeeld speedtest.net zat. Ook bij speedtest.net kwam het slechts een een x percentage van de gevallen tevoorschijn.

[ Voor 99% gewijzigd door ik222 op 02-10-2011 21:33 ]

staffordniko schreef op zaterdag 01 oktober 2011 @ 22:00:
Is adblock dan genoeg?

Je hostfile aanpassen is ook een goed idee.
http://winhelp2002.mvps.org/hosts.htm

Hmm, krijg ik zojuist een waarschuwing op nieuws.nl. Is er een reclameboer besmet ofzo? Ik ga vandaag maar eens moeite doen om alle reclame te blocken in de browser. Jammer voor de site eigenaren maar dan moeten ze maar betrouwbare partners vinden. Ben maar zo vrij geweest ze dat even te mailen.

XP machine met IE8 van vriendin was ook besmet per zaterdag j.l.. Na wat zoeken Combofix gedownload en gedraaid.

http://www.bleepingcomput...mbofix-gebruikt-te-worden

Duurde even maar alles lijkt weer te werken ...

nieuws: Hackers besmetten Nederlandse internetters via advertentienetwerk

Hierin wordt ook aangegeven dat het onwaarschijnlijk is dat zowel Speedtest als Nieuws.nl van dezelfde ad provider gebruik maken.

Verwijderd schreef op zondag 02 oktober 2011 @ 21:40:
[...]

Je hostfile aanpassen is ook een goed idee.
http://winhelp2002.mvps.org/hosts.htm

Dat had mijn tante ook, maar voor de verandering dacht ze een keer zo'n link in het gele vak te proberen in plaats van de gewone links die de voor haar zo vertrouwde website aanbiedt. PC kreeg "data restore" malware binnen en de MBR werd vernaggeld. fixmbr en MBAM brachten gelukkig uitkomst.

Edit: En unhide.exe van bleeping computer, omdat die "data restore" scareware het leuk vindt om al je bestanden hidden te maken.

[ Voor 11% gewijzigd door FiscBiker op 03-10-2011 14:34 ]

juist ik heb 4 man 2zaterdag en 2zondag met dit probleem. ik zal Malwarebytes en combofix wel eens gaan proberen

B.v.d.

Proxx schreef op maandag 03 oktober 2011 @ 13:02:
juist ik heb 4 man 2zaterdag en 2zondag met dit probleem. ik zal Malwarebytes en combofix wel eens gaan proberen

B.v.d.

Probeer Kaspersky's Anti-rootkit utility TDSSKiller ook even. Schijnt "the job" ook te doen (mbt de rootkit).

trojan killer lijkt er ook wel goed mee overweg te kunnen.

[knip]

ken het programma verder niet maar ziet er veelbelovend uit!

[ Voor 27% gewijzigd door Proxx op 03-10-2011 14:51 ]

Die site belooft inderdaad veel... veel kans dat je alleen maar meer malware gaat binnenhalen! Fors aantal meldingen bij Web of Trust geven aan dat het om een rogue scanner gaat, en het nederlands op de site is duidelijk afkomstig van Google-translate of andere online translator. Het uiterlijk doet me ook wel heel erg denken aan het standaard-uiterlijk van XP Antivirus 20xx en zijn soortgenoten.

hellknight schreef op maandag 03 oktober 2011 @ 14:37:
Die site belooft inderdaad veel... veel kans dat je alleen maar meer malware gaat binnenhalen! Fors aantal meldingen bij Web of Trust geven aan dat het om een rogue scanner gaat, en het nederlands op de site is duidelijk afkomstig van Google-translate of andere online translator. Het uiterlijk doet me ook wel heel erg denken aan het standaard-uiterlijk van XP Antivirus 20xx en zijn soortgenoten.

Ik begrijp juist dat het een verwijder tool is van die rogue software. Scroll maar eens iets verder, er staat ook "ROGUE" in de screenshot geschreven.
Vertaling is wel slecht ja.

hellknight schreef op maandag 03 oktober 2011 @ 14:37:
Die site belooft inderdaad veel... veel kans dat je alleen maar meer malware gaat binnenhalen! Fors aantal meldingen bij Web of Trust geven aan dat het om een rogue scanner gaat, en het nederlands op de site is duidelijk afkomstig van Google-translate of andere online translator. Het uiterlijk doet me ook wel heel erg denken aan het standaard-uiterlijk van XP Antivirus 20xx en zijn soortgenoten.

ja maar ze hebben zelfs de moeilte gedaan om een youtube filmpje te uploaden specifiek voor dit geval.
zoals ik zeg ik ken het verder niet maar dat youtube filmpje deed mij het toch iets meer vertrouwen!

Kecin schreef op maandag 03 oktober 2011 @ 14:43:
[...]

Ik begrijp juist dat het een verwijder tool is van die rogue software. Scroll maar eens iets verder, er staat ook "ROGUE" in de screenshot geschreven.
Vertaling is wel slecht ja.

Ja, wat dacht je dan: dat rogue software van zichzelf gaat zeggen dat het rogue is? Het hele idee van die software is juist dat je denkt dat het verwijder-software is... Niet intrappen in die zooi, gewoon een bekend, betrouwbaar "merk" gebruiken.

mwa ik heb net in een Vbox install die trojan-killer geprobeerd en hij doet zijn ding wel maar evaluatie kun je niks verwijderen. bovendien heeft hij een aantal false positives

bij deze dus definitief afgeschreven

Ik heb het opgelost met een systeemherstel en verder malwarebytes superantispyware en avira.
Viel me wel op dat daarna update niet meer werkten maar dit is ondertussen ook opgelost

Kecin schreef op maandag 03 oktober 2011 @ 14:43:
[...]

Ik begrijp juist dat het een verwijder tool is van die rogue software. Scroll maar eens iets verder, er staat ook "ROGUE" in de screenshot geschreven.
Vertaling is wel slecht ja.

Ok, door de slechte vertaling, en de WoT status had ik niet verder gekeken, maar het screenshot verwijst idd naar een (andere) rogue scanner die door deze scanner verwijderd zou worden.
Het zou echter niet de eerste rogue scanner zijn die bij installatie andere rogue scanners verwijderd - kan ff geen bron vinden, maar ik weet dat er minimaal 1 is die dit trucje uithaalt

Speedtest.net heeft gereageerd:
====
Leen,

My personal apologies for the delay in responding to your message. I
mis-shuffled your email between folders, and so neglected to include you
in the mailing once we had a handle on the situation and could describe
it accurately and comprehensively.

Early Friday morning (US time), we temporarily suffered an issue where a
small fraction of our ads included javascript prompting users to
download a trojan. Because of the way most ad-serving works, these ads
were on the advertiser's server that we don't control. However, we
recognized the issue and quickly blocked the offending ads, and are now
looking into ways to prevent this from happening again. The actual
speedtest function was never affected at all, and runs on separate
systems anyways.

While we don't expect this issue to happen again (and are at this moment
studying ways to ensure it doesn't), know that Speedtest.net does not
require you to download any files to your computer to function. All it
requires is a functioning copy of Adobe Flash Player, which most
computers have, and it runs entirely within your browser.

Thanks for being concerned and letting us know about the issue; user
feedback provided important information that helped us respond to the
earlier problems both accurately and more quickly than us researching
the problem on our own. And thanks, as always, for using Speedtest.net.

Kind Regards,
Greg with Speedtest.net
=======

Ook hier van een adserver, dus.

L1

Héhé, zeker een oud topic maar reply toch even voor iedereen die kijkt dat er geen problemen zijn zolang je adblock hebt of gewoon nooit

Deze kick heeft niet echt nut. Daarom gaat het topic op slot.