mops63jger.info verkregen door bezoek website nu.nl

Bericht op www.medusoft.eu:

"Zojuist is bekend geworden dat de populaire nieuwswebsite NU.nl korte tijd gecompromitteerd was. Hackers lijken er in geslaagd te zijn om korte tijd een kwaadaardig script op de servers van NU.nl te plaatsen. De aanval lijkt vooral gericht op gebruikers van Internet Explorer. Wanneer zij een oude versie van Java geïnstalleerd hebben kon een popup worden getoond waarbij werd gevraagd om Java te updaten. Wanneer mensen toestemming geven wordt een nieuwe variant van de Sinowal malware geïnstalleerd. Deze rootkit wordt vooral gebruikt om bankrekeningen te plunderen. De variant van de malware die werd gedownload wordt op moment van schrijven nog door geen enkele bekende virusscanner gedetecteerd.

Momenteel lijkt het er op dat de malware al niet meer wordt aangeboden door de website, het is dus niet noodzakelijk om de website tijdelijk te blokkeren. Omdat de malware nog niet wordt herkend door virusscanners is het zaak om goed op verdachte activiteiten te letten.

Mocht u het vermoeden hebben dat u bent getroffen door deze malware dan raden wij u aan om contact op te nemen met onze supportafdeling via 0251-751100"

Vorkie schreef op woensdag 14 maart 2012 @ 14:01:
Bericht van Fox-IT:

It has come to our attention that the popular Dutch nu.nl website has been compromised.

This compromise consists of an exploit kit, abusing a vulnerability found in browsers using an outdated Java plugin. It is known within the intelligence community as the ‘rhino exploit’.

We are seeing a lot of successful infections in past hour, starting at exactly 12:30.

We advise you caution your users not to browse to the NU.nl website at the moment and possibly enforce this by blocking access to nu.nl via your proxy servers if possible.

nieuws: Nu.nl serveerde kortstondig malware
"Volgens Loman heeft Nu.nl de malware tussen circa 11.30 en 12.30 geserveerd."

Ik zat na 12:40 op nu.nl, niks gemerkt, ESET Smart Security 5 sloeg geen alarm, maar is dat nu een goed of slecht teken

Raven schreef op woensdag 14 maart 2012 @ 14:52:
[...]

nieuws: Nu.nl serveerde kortstondig malware
"Volgens Loman heeft Nu.nl de malware tussen circa 11.30 en 12.30 geserveerd."

Ik zat na 12:40 op nu.nl, niks gemerkt, ESET Smart Security 5 sloeg geen alarm, maar is dat nu een goed of slecht teken

Same here, als ik het moet geloven dan zijn we ook de sjaak -> 43 virusscanners failen in het detecteren. Zie http://www.security.nl/ar...ezoekers_met_malware.html

Geen enkele van de 43 virusscanners op VirusTotal.com detecteerde de malware

Iemand enig idee hoe je kan nagaan of je geïnfecteerd bent ? En bovenal hoe je het weer verwijderd krijgt ?
Ik zie overigens ook niets in de log terug van NOD32.

[ Voor 17% gewijzigd door Perkouw op 14-03-2012 15:02 ]

Ik kreeg rond 12uur ook melding van Kaspersky en merkte ook dat Java ineens was opgestart... Ik vertrouwde het niet dus maar met taakbeheer afgesloten. Ik weet niet of Kaspersky hem nu te pakken heeft of niet want Kaspersky zegt dat ik me PC opnieuw moet opstarten om het te verwijderen eventjes maar doen zo.
Screenshot van log: http://i39.tinypic.com/jucpz5.png

Fraai! Avast heeft hier geen alarm geslagen.
Zal een volledige scan starten maar mogelijk zijn er snellere manieren om een besmetting boven water te halen?

@Vrijdag, welke browser gebruik jij en welke versie van Java heb je geinstalleerd staan.
Ik heb FF 10.0.2 met Java 1.6.0_31

[ Voor 29% gewijzigd door Pieter155 op 14-03-2012 15:14 ]

Perkouw schreef op woensdag 14 maart 2012 @ 14:59:

Same here, als ik het moet geloven dan zijn we ook de sjaak -> 43 virusscanners failen in het detecteren.

???? volgens berichten hier in dit topic vinden AVG, Trendmicro en Kaspersky hem in elk geval wel...........

Maar je kunt natuurlijk onze supportafdeling bellen, en hem voor een redelijk tarief laten verwijderen.

Ik laat nu Malwarebytes scannen maar tot nu toe nog niets gevonden. Heb wel de laatste updates ervan, ook van Avast trouwens.

Ben ook geinfecteerd, gescanned met Kasperspy en die pikte hem op, vervolgens een verwijderingsprocedure doorlopen, moeten rebooten maar bij een nieuwe scan vindt hij hem nog steeds. Ziet er uit als een her-installatie.

Ik zie nu net dat ik om 10:21 nu.nl bezocht had en daarna pas weer om 12:45.
Zou ik de dans dan toch net ontsprongen zijn ?!

Keypunchie schreef op woensdag 14 maart 2012 @ 15:13:
[...]


Nou, AVG zag vooral dat er een verdachte redirect (o.i.d.) was op de site die ik bezocht. Dat wil niet zeggen dat hij een succesvolle besmetting vervolgens ook kan detecteren.

Vergelijk het met iemand die inbreekt en zich vervolgens in huis verstopt. Een camera bij het raam kan de inbraakpoging kan je misschien detecteren en voorkomen door de persoon weg te jagen. Maar dat wil niet zeggen dat als de inbreker al binnen is, je nog wat opschiet met het ophangen van een camera bij het raam.

http://about-threats.tren...=us&name=TROJ_SINOWAL.SMF

Trend micro heeft hem al sinds 23 feb op de site staan, het lijkt me stug dat de ander AVprogs daar erg op achterlopen.

Was deze Malware-aanval specifiek voor Windows platform of kan je als linux en OS X gebruiker ook slachtoffer worden?.

Tens schreef op woensdag 14 maart 2012 @ 15:15:
[...]

http://about-threats.tren...=us&name=TROJ_SINOWAL.SMF

Trend micro heeft hem al sinds 23 feb op de site staan, het lijkt me stug dat de ander AVprogs daar erg op achterlopen.

Het was wel een variant he..

Heh en NU.nl houdt gewoon stijf z'n kop dicht, goed bezig!

Zou toch verwachten dat ze zelf tenminste een nieuwspost aanmaken om mensen op dit probleem te attenderen, maar nee....

Morrar schreef op woensdag 14 maart 2012 @ 15:28:
Heh en NU.nl houdt gewoon stijf z'n kop dicht, goed bezig!

Zou toch verwachten dat ze zelf tenminste een nieuwspost aanmaken om mensen op dit probleem te attenderen, maar nee....

Ik denk dat deze nog erg druk bezig zijn met dit hele gedoe, althans daar ga ik wel vanuit.

nu.nl is nooit zo snel met nieuws

Perkouw schreef op woensdag 14 maart 2012 @ 15:36:
[...]


Ik denk dat deze nog erg druk bezig zijn met dit hele gedoe, althans daar ga ik wel vanuit.

Dat zou je hopen, maar ze twitteren dit:

Er is korte tijd via NU.nl malware verspreid. We hebben maatregelen genomen waardoor er geen enkel risico is voor de bezoeker.

Kortom, ik vermoed dat ze t gewoon lekker de doofpot in stoppen... Toch zijn er wel degelijk mensen geweest bij wie de virusscanner op rood ging, dus van "geen enkel risico" lijkt me geen sprake. Er is wel degelijk een risico geweest...

[ Voor 15% gewijzigd door Morrar op 14-03-2012 15:39 ]

Morrar schreef op woensdag 14 maart 2012 @ 15:28:
Heh en NU.nl houdt gewoon stijf z'n kop dicht, goed bezig!

Staat overigens wel al op twitter: https://twitter.com/#!/NUnl/status/179927742425473024

Mja "Geen enkel risico", prima hoor niets aan het handje

Bericht op nu.nl dat mensen voor de zekerheid alvast hun pc's moeten scannen lijkt in mijn optiek een goed idee. Dat er dan paniek gezaaid zou worden lijkt me mee vallen.
Zou het overigens afdoende zijn om Java te disablen in de browser of moet het hele pakket echt rigoureus verwijderd worden?

[ Voor 37% gewijzigd door Pieter155 op 14-03-2012 15:40 ]

oh..geen gevaar..dat gezeur altijd van die security mensen...

Tweetal bruikbare tips uit reacties van mensen op het artikel;

http://www.gmer.net/

Dit programma scant snel even je MBR op rootkits. Heb net even bij mij en mijn huisgenoot gedraait. Gelukkig zelf geen problemen, huisgenoot had rootkit erop ztten.

Rond 1300uur een Flash update popup, dit kreng komt wel vaker langs in beeld dus gewoon clicky en weg met dat gezeur (want anders blijf ik 'm houden bij elke reboot, zelfs na in msconfig alles mbt. flash weggeklikt te hebben).
So far so good (I thought)...

Lees nu dit bericht, en toch nieuwsgierig. Een virusscanner "doe ik niet aan"(al is 't maar om geen last te hebben van false positives van m'n oude no-cd cracks).
Ben op de hoogte van de nadelen!

Even gezocht naar een handig tooltje welke snel en makkelijk sinowal kan herkennen en verwijderen. Trendmicro heeft hier een handig programmatje voor (.exe downloaden, runnen, haalt library binnen (paar sec) en heeft binnen 10 minuten een full "fast scan" gedraaid (500g schijf, q6600)).
http://housecall.trendmicro.com/

Had 'm dus op m'n systeem staan, Trendmicro herkent en verwijderd 'm netjes.
Voor de zekerheid even een rondje wachtwoorden veranderd, je weet maar nooit.

Bij deze dus de tip voor mensen ZONDER virusscanner, even de housecall van Trendmicro draaien. (herkennen + fix!)

-ik gebruik een updated Firefox mét addblock + noscript (welke op allow scripts globally stond... lesje geleerd). bij deze dus duidelijk dat die niets uithaalden.

Had ze ook gelezen en met de MBR niets gevonden.
De andere tool van qmer.net (rootkit) is nog bezig evenals Trend Micro.
Avast heeft iets gevonden maar kan het pas na afloop van de scan laten zien.
Nog even wachten dus!

Update:
Scan van Avast even afgebroken omdat ik toch wel wilde zien wat de 5 resultaten waren.
Ziehier:
http://tubefreak.nl/temp/scanresults.JPG

Een 4-tal keren een Agent-xxx en nog een CVE-2010-0840-D welke uit 2011 komt zo te zien.
Iemand toevallig soortgelijke scanresultaten? De laatste fullsystemscan is hier een goede 2 weken geleden. En ja in de tussentijd kan er een hoop binnenkomen..

[ Voor 48% gewijzigd door Pieter155 op 14-03-2012 16:26 . Reden: toevoeging informatie ]

Welke browsers waren vatbaar voor deze exploit? Dat is me nog niet helemaal duidelijk namelijk

Cloud schreef op woensdag 14 maart 2012 @ 16:11:
Welke browsers waren vatbaar voor deze exploit? Dat is me nog niet helemaal duidelijk namelijk

Een goede vraag, zo ben ik ook benieuwd of mobile devices vatbaar waren voor deze exploit.
Ik gok dat het browser afhankelijk was zoals 'Keypunchie' al aangeeft. Wellicht dat iemand hier uitsluitsel over kan geven ?

Als ik onderstaand mag geloven dan ben ik de dans net ontsprongen gezien ik pas weer om 12:45 naar nu.nl ben gegaan.

Volgens Loman heeft Nu.nl de malware tussen circa 11.30 en 12.30 geserveerd.

[ Voor 20% gewijzigd door Perkouw op 14-03-2012 16:37 ]

Na Kaspersky aangaf om opnieuw op te starten heb ik: GMRT, Microsoft Mal. Rem. Tool, Trend Micro, NOD32 en Kaspersky volle scan aan het draaien.
NOD32 en Kaspersky zijn nog bezig maar de rest heeft niks gevonden(behalve wat android root tools) en ik gebruikte Nightly 13.0a1 en had Java update 27(net eraf geflikkerd).

Hopelijk heeft Kaspersky het dus al goed verwijderd en zit het niet nog ergens verstopt...

Het staat inmiddels ook op nl.nl zelf. Uiteraard niet als hoofd-item
http://www.nu.nl/internet...e-verspreid-via-nunl.html

Ze hadden er wel even bij mogen zetten hoe lezers kunnen nagaan of ze besmet zijn, en hoe ze dan van de besmetting af kunnen komen...

Zijn Mac gebruikers ook vatbaar voor deze Trojan?

Quinoky schreef op woensdag 14 maart 2012 @ 16:59:
Zijn Mac gebruikers ook vatbaar voor deze Trojan?

Hoogstwaarschijnlijk niet, gaat om een variant van de Sinowal-malware. Die richt zich op Windows, zie ook: http://en.wikipedia.org/wiki/Torpig

Perkouw schreef op woensdag 14 maart 2012 @ 16:07:
Tweetal bruikbare tips uit reacties van mensen op het artikel;


[...]


[...]

Ehm, misschien handig als erbij staat hoe je de output van GMER moet interpreteren? Die laat hier namelijk heel wat zien, maar volgens mij is dat allemaal stuff van Windows zelf en wat drivers.

Zal die Housecall van Trendmicro ook ff draaien.

Housecall heeft bij mij geen zin. Kleine 100 pc's geinfecteerd hier. Nog geen goede oplossing gevonden...

JFK104 schreef op woensdag 14 maart 2012 @ 17:24:
Housecall heeft bij mij geen zin. Kleine 100 pc's geinfecteerd hier. Nog geen goede oplossing gevonden...

Wat mij nog niet helemaal duidelijk is: De virusscanners zien de besmetting niet.
Dus hoe zie je dat je getroffen bent? Ik zie nl nergens voorbij komen waar naar te kijken.

Zeker in een zakelijke omgeving neem ik aan met 100 pc's?

1. Check of in je Application Data folder (Windows XP) of AppData\Roaming folder (Windows Vista of 7) een *verborgen* *system* EXE bestand met een uppercase hexadecimale naam van ong 5 karakters staat. Da's niet goed.
2. Run de cleaner van www.ing.nl/cleaner - die detecteert in elk geval Sinowal, de echte payload van deze aanval. Verwijderen is een heel ander verhaal

Om punt 1 te controleren:

• Zorg in Explorer View folder settings dat:
  • Show hidden files en folders AAN staat
  • Show protected and system files AAN staat
• Ga naar:
  • Windows XP: C:\Documents and Settings\[USERNAME]\Application Data\
  • Windows Vista en 7: C:\Users\[USERNAME]\AppData\Roaming
  • Controleer nu of een dergelijk .exe bestand er staat.

Hmm, mijn pc vroeg opeens om te updaten naar java 6.0.31. Zonder er bij na te denken (had dit nieuw nog niet gehoord) geupdate. Update proces was precies hetzelfde als normaal volgens mij. Zou het de echte java zijn geweest of dit virus? Ik was wel op nu.nl geweest, maar weet niet of dat ervoor of na de update was.

Daarnaast even een vraagje: wat betekent 'uppercase hexadecimale'? Ik zie geen rare exes (in ieder geval niet 'buiten de mappen in die folder) namelijk, maar toch even voor de zekerheid. Zometeen even alle onderliggende mappen doorspitten.

De ING scanner geeft aan niets gevonden te hebben overigens.

[ Voor 5% gewijzigd door Orian op 14-03-2012 17:53 ]

Uppercase is hoofdletter, hexadecimaal is 0 tot 9 en A tot F.

@Nvidiot, de ING scanner geeft aan dat er niets gevonden is.
Heb in de map application data even gezocht op *.exe en onderstaande bestanden gevonden. Echter bevatten deze meer dan 5 karakters. Nu is mijn vraag, waar heb je deze informatie vandaan gehaald?

Bovenste 3 lijken van Inssider te zijn welke op mijn machine is geinstalleerd. De andere twee icoontjes kan ik zo snel niet plaatsen.

Ik heb via m'n werk het een en ander aan kennis beschikbaar over dit soort malware

@Pieter155: dat zijn installer bestanden, zo te zien geen virus.

Voor zover ik weet detecteert de cleaner wel deze variant (maar kan deze variant niet verwijderen)

[ Voor 50% gewijzigd door Nvidiot op 14-03-2012 18:02 ]

Nvidiot schreef op woensdag 14 maart 2012 @ 17:33:

1. Check of in je Application Data folder (Windows XP) of AppData\Roaming folder (Windows Vista of 7) een *verborgen* *system* EXE bestand met een uppercase hexadecimale naam van ong 5 karakters staat. Da's niet goed.
2. Run de cleaner van www.ing.nl/cleaner - die detecteert in elk geval Sinowal, de echte payload van deze aanval. Verwijderen is een heel ander verhaal

Nvidiot, weet je ook of de ING-cleaner de versie waar we het nu over hebben detecteert? Want het is (voor zover ik weet i.i.g.) een familie van malware?

edit: @Nvidiot direct hierboven: dus wordt in ieder geval wel gedetecteerd, dank je wel voor de info

[ Voor 8% gewijzigd door Bluepenguin op 14-03-2012 18:47 . Reden: wijziging bericht Nvidiot om 18:02 ]

Via Crisp: de code van de exploit die draaide:
http://achelois.tweakers.net/~crisp/nu.html

Oke duidelijk. Dan ga ik er even vanuit dat de files in het screenshot zo goed als onschuldig zijn.
We wachten het allemaal maar even af.

Overigens geinig detail in de code 'evilFunc()'.

Hm, kreeg om 11.38 op nu.nl van mijn Comodo firewall de vraag of java het bestand 24kkk729347.exe mocht uitvoeren. Dat zal mijn aanval wel geweest zijn. Ik zag er het nut niet van in dus heb op nee gedrukt. Gelukkig maar.

Raven schreef op woensdag 14 maart 2012 @ 17:16:
[...]

Ehm, misschien handig als erbij staat hoe je de output van GMER moet interpreteren? Die laat hier namelijk heel wat zien, maar volgens mij is dat allemaal stuff van Windows zelf en wat drivers.

Zal die Housecall van Trendmicro ook ff draaien.

Resultaat: 7 threats found....
Iets () voor Alcohol 120%, iets () voor Office 2010, DVD Shrink 2.3 , 2 files met verdachte inhoud die ik nog niet zo lang geleden van mijn webspace heb moeten halen (sommigen zullen de warnings hier op het forum misschien wel herinneren in de "heb je iets nieuws" topicreeks) en 2 exe files met TROJ_FAKEAV.SMA2 in C:\System Volume Information\_restore{langereekskarakters}\RP1\. Geen idee hoe dat daar komt maar dat is denk ik niet dat ding van nu.nl, of wel?
(System restore staat overigens uit.)

Pieter155 schreef op woensdag 14 maart 2012 @ 18:07:
Oke duidelijk. Dan ga ik er even vanuit dat de files in het screenshot zo goed als onschuldig zijn.
We wachten het allemaal maar even af.

Overigens geinig detail in de code 'evilFunc()'.

De echte code was obfuscated; ik heb er een leesbare versie van gemaakt. De 'evilFunc' benaming is dus van mijn hand

De uiteindelijke payload werd dus uiteindelijk van de url's geladen die in deze code zitten. Dit was enkel de 'injector' die op nu.nl was geplaatst.

[ Voor 15% gewijzigd door crisp op 14-03-2012 22:32 ]

Heeft iemand een hash van de malware die werd gedownload?

Is die GMER.exe wel ok ?

-SaveMe- schreef op woensdag 14 maart 2012 @ 23:05:
Is die GMER.exe wel ok ?

Ja, zie de scan resultaten van Jotti.org.

[ Voor 22% gewijzigd door Perkouw op 15-03-2012 06:59 ]

Ik heb het gelukkig zelf niet, maar ik vermoed dat ik dadelijk wel naar iemand toe kan die het virus wel via nu.nl gekregen heeft.
Weet iemand of TDSSKiller van Kaspersky het ook kan verwijderen (aangezien die ook sinowal kan verwijderen)?

Raven schreef op woensdag 14 maart 2012 @ 17:53:
Uppercase is hoofdletter, hexadecimaal is 0 tot 9 en A tot F.

Merci. Nou, naar aanleiding van dit, de ING scan en die van trendmicro lijkt mijn pc vrij te zijn van rotzooi .

FlipFluitketel schreef op donderdag 15 maart 2012 @ 08:19:
Weet iemand of TDSSKiller van Kaspersky het ook kan verwijderen (aangezien die ook sinowal kan verwijderen)?

Hier in ieder geval niet.... Housecall (Trend Micro) ook niet en Norman Sinowal cleaner ook niet....

Volgens Sijmen: http://sijmen.ruwhof.net/...l-gehackt-malware-analyse

Wanneer het slachtofferde één van de volgende softwareversies heeft geïnstalleerd, dan werd de kwaadaardige code geladen (en is dus waarschijnlijk besmetting opgetreden):

Adobe Reader tussen versie 8 en 9.3
Java tussen versie 5 en 5.0.23 en tussen versie 6 en 6.0.27

JFK104 schreef op donderdag 15 maart 2012 @ 08:30:
Wanneer het slachtofferde één van de volgende softwareversies heeft geïnstalleerd, dan werd de kwaadaardige code geladen (en is dus waarschijnlijk besmetting opgetreden):

Adobe Reader tussen versie 8 en 9.3
Java tussen versie 5 en 5.0.23 en tussen versie 6 en 6.0.27

Je vergeet een cruciale vereiste: de browser plugin van de betreffende software moet ook geladen zijn. Zo niet, zal de exploit niet zijn werk kunnen doen, zelfs als de betreffende software geinstalleerd is.

Gisteravond alle scans afgerond en niets verdachts gevonden m.b.t. nu.nl
De wijze lessen die hieruit getrokken kunnen worden:

-Java uitschakelen in de browser en pas inschakelen als e.a. veilig is
-No-script installeren.

Echter zal, zoals altijd, de beveiliging van een systeem stukgaan op de zwakste schakel.

Ik was op nu.nl en heb net avast bootscan gedaan. Sinowal werd gevonden ergens in c:\users[naam]\appdata\locallow\
Ik heb het laten verwijderen. Bootscan afgebroken en opnieuw gedaan, werd niets meer gevonden.
Daarna nog de ing tool gedraaid, die vond ook niks.

Heeft Microsoft Security Essentials de exploit ook tegengehouden? Ik lees veel over AVG en dergelijke, maar nog niks over MSE

Al ben ik geen nu.nl bezoeker, ik ben wel benieuwd.

In de afgelopen dagen geen nu.nl bezocht (meer nos.nl) vanavond maar de scan aanzetten voor het geval dat.

TheNephilim schreef op donderdag 15 maart 2012 @ 10:11:
Heeft Microsoft Security Essentials de exploit ook tegengehouden? Ik lees veel over AVG en dergelijke, maar nog niks over MSE

Al ben ik geen nu.nl bezoeker, ik ben wel benieuwd.

Als ik de blogpost lees uit de post van 'JFK104', dan blijkt dat MSE hem wel zou moeten herkennen.

En als ik dan deze pagina erbij pak word er gesproken over 43 virusscanners die de trojan niet detecteerde. Hieronder valt onder andere MSE (op VirusTotal afgekort tot Microsoft).

Al met al kan ik niet echt een eenduidig antwoord op je vraag vinden.

[ Voor 28% gewijzigd door Perkouw op 15-03-2012 10:18 ]

Ik vind het een kwalijke zaak dat NU.nl zo weinig informatie geeft. Ik snap dat ze uit financiele overwegingen niet op de frontpage een artikel plaatsen maar als ik op t.net moet vernemen dat er malware op hun site staat... Bovendien rept het artikel m.i. niet duidelijk genoeg over het gevaar voor telefoons.

Pas na het onderzoek zal precies duidelijk zijn of er malware is geïnstalleerd en op hoeveel pc's dit gebeurd is

Dit is waar we mee moeten concluderen dat telefoons en tablets niet geinfecteerd zijn. Lekker beknopt

[ Voor 7% gewijzigd door Verwijderd op 15-03-2012 10:15 ]

Keypunchie schreef op donderdag 15 maart 2012 @ 11:04:
[...]
In dit geval was het .js-bestand op de webserver van nu.nl geplaatst en dus in de meeste gevallen gewoon uitgevoerd.

Dat bestand bevatte zelf niet de payload maar maakte alleen een onzichtbaar iframe aan waarin vervolgens de malicious code werd geladen.

Keypunchie schreef op donderdag 15 maart 2012 @ 11:04:
[...]

En dan natuurlijk als extra les:
- Patch early, patch often. Als je kijkt naar de analyse van Sijmen Ruwhof zie je dat het om out-dated versies van de Reader en Java-software gaat. Als iemand het nut niet snapt waarom er zoveel tijd/energie in patching van applicaties moet worden gestoken, wijs dan op dit voorbeeld: een vertrouwde site, een updated browser, OS en AV, maar toch kwetsbaar, vanwege een site-hack en verouderde applicaties.

Als ik even mag muggenziften zou ik willen toevoegen ''patch wise''. Nieuwe patches kunnen op hun beurt natuurlijk ook veiligheidsrisico's met zich mee brengen maar soms is dit op voorhand al bekend. Ik weet zo snel even geen voorbeeld, maar ik hoop dat het zo al duidelijk genoeg overkomt.

Wat ik dus nu niet kan vinden is of dus Mcafee dit ding nou wel of niet detecteerd, en hoe de worm heet, iemand enig idee ?

Verwijderd schreef op donderdag 15 maart 2012 @ 12:22:
Wat ik dus nu niet kan vinden is of dus Mcafee dit ding nou wel of niet detecteerd, en hoe de worm heet, iemand enig idee ?

De 'worm' is een variant van 'Sinowal', of deze nu ook zo heet durf ik je niet te zeggen.
Wat betreft je Mcafee vraag, lees een aantal posts hierboven.

JFK104 schreef op donderdag 15 maart 2012 @ 08:30:
[...]


Hier in ieder geval niet.... Housecall (Trend Micro) ook niet en Norman Sinowal cleaner ook niet....

Volgens Sijmen: http://sijmen.ruwhof.net/...l-gehackt-malware-analyse

Wanneer het slachtofferde één van de volgende softwareversies heeft geïnstalleerd, dan werd de kwaadaardige code geladen (en is dus waarschijnlijk besmetting opgetreden):

Adobe Reader tussen versie 8 en 9.3
Java tussen versie 5 en 5.0.23 en tussen versie 6 en 6.0.27

Als ik dat mag geloven en als er daadwerkelijk vele bedrijven besmet zijn met deze malware. Houden de systeembeheerders hun systemen niet goed bij...

We hebben zojuist een update van HitmanPro uitgebracht waarmee kan worden gescant of je PC geïnfecteerd is geraakt met de nieuwe Sinowal.knf rootkit.

Het scannen met HitmanPro is gratis en het verwijderen van de gevonden malware ook. Raakt je PC na 30 dagen nog een keer geïnfecteerd dan pas heb je een betaalde licentie nodig. Dus scannen kan onbeperkt en is altijd gratis. De eerste keer verwijderen ook.

32-bit: http://dl.surfright.nl/HitmanPro36.exe
64-bit: http://dl.surfright.nl/HitmanPro36_x64.exe

Zie ook http://www.surfright.nl/nl/hitmanpro/whatsnew

Als je een bootloader (zoals GRUB) in je MBR hebt staan, wordt deze gesloopt door de rootkit die in het MBR wordt geplaatst?

_Peter2_ schreef op donderdag 15 maart 2012 @ 13:11:
Als je een bootloader (zoals GRUB) in je MBR hebt staan, wordt deze gesloopt door de rootkit die in het MBR wordt geplaatst?

Ik denk het niet, immers starten Windows computers ook nog gewoon op. Die maken ook gebruik van een bootloader in de MBR.

_Peter2_ schreef op donderdag 15 maart 2012 @ 13:11:
Als je een bootloader (zoals GRUB) in je MBR hebt staan, wordt deze gesloopt door de rootkit die in het MBR wordt geplaatst?

Sinowal.knf parkeert de originele MBR op een aparte sector en serveert deze via z'n hooks zodat het lijkt alsof er niks aan de hand is (anti-virus software krijgt een schone MBR voorgeschoteld).

HitmanPro gebruikt de cloud om zich om de hooks van dergelijke rootkits te werken. De cloud verzameld van schone systemen hoe er met de harddisk gecommuniceerd wordt. Er zijn namelijk duizenden verschillende drivers (en versies van deze) zoals atapi.sys, iastor.sys, storport.sys, etc.

Zodra HitmanPro een infectie tegenkomt kan hij dus aan de cloud vragen hoe hij om de hook van de infectie heen moet. Zaak is dat je weet wat voor driver op het systeem actief is. Lastige van Sinowal.knf is dat deze de driver naam in het geheugen 'versleuteld' zodat niet eenvoudig is te achterhalen welke driver verantwoordelijk is voor aansturing van de schijf. De nieuwe HitmanPro versie doorziet de versleuteling en kan zodoende om de hooks heen werken.

Voor wat technische informatie omtrent Sinowal.knf verwijs ik naar dit onderzoek van collegabedrijf Prevx:
http://www.aall86.altervi.../Sinowal_new_Analysis.pdf

FlipFluitketel schreef op donderdag 15 maart 2012 @ 08:19:
Ik heb het gelukkig zelf niet, maar ik vermoed dat ik dadelijk wel naar iemand toe kan die het virus wel via nu.nl gekregen heeft.
Weet iemand of TDSSKiller van Kaspersky het ook kan verwijderen (aangezien die ook sinowal kan verwijderen)?

Heb zojuist de bovenstaande Hitmanpro gedraaid en die vind geen Sinowal omdat Kaspersky waarschijnlijk hem dus gisteren tijdens de aanval al heeft verwijderd. Je kan altijd nog de gratis 30 dagen trial versie van Kaspersky Pure even activeren.

[ Voor 41% gewijzigd door Swoooon op 15-03-2012 14:30 ]

Wow een update van nu.nl zelf, klik.

[ Voor 11% gewijzigd door Perkouw op 15-03-2012 14:45 ]

Sommige mensen hebben liever een quote dan een link, ik ben er een van

AMSTERDAM - NU.nl adviseert bezoekers hun computer te controleren op virussen nadat woensdag korte tijd malware verspreid werd via de nieuwssite na een cyberaanval.

Woensdag kwam aan het licht dat een hacker op NU.nl een kwaadaardige code had geplaatst. Hierdoor werd korte tijd via de website een trojan verspreid. Het gaat om een virus met de naam Sinowal.

“We adviseren iedereen die op woensdag 14 maart tussen 11.30 en 12.30 uur NU.nl heeft bezocht zijn of haar computer te controleren op de aanwezigheid van een virus”, aldus de hoofdredactie en technische afdeling van NU.nl.

In principe is er een verhoogd risico voor gebruikers met verouderde versies van software als Internet Explorer, Flash Player en Adobe Reader.

Scanners
Windowsgebruikers kunnen voor het scannen op het virus gratis software van AVG gebruiken. Voor Mac-gebruikers wordt ClamXav aangeraden. Wanneer ook gebruik gemaakt is van internetbankieren is het verstandig om de veiligheidscheck van Nederlandse banken uit te voeren.

NU.nl is sinds woensdagmiddag gewoon weer veilig te gebruiken. “We bieden onze excuses aan voor het ongemak.”

Heeft iemand enig idee of Forefront Endpoint Protection deze ook detecteert? En heeft MCafee al een oplossing gereleased?

NU.nl adviseert naast HitmanPro ook AVG en TDSSkiller:

• AVG free detecteert en verwijdert de geïnfecteerde MBR niet.
• TDSSkiller detecteert en verwijdert WEL de geïnfecteerde MBR maar detecteert de gerelateerde smokeloader bestanden niet (in Application Data) waardoor je weer geïnfecteerd kunt raken.

HitmanPro detecteert en verwijdert zowel MBR en de smoke loaders middels de cloud.

Wat ook helpt is starten vanaf een CD/DVD/USB en met fixmbr aan de slag.

erikloman, goed dat je meedenkt en kudo's voor de snelle reactie v.w.b. herkenning & opschoning. Maar pas ajb op dat het geen reclame wordt

En, welkom@GoT!

Sinowal bestaat toch in verschillende varianten al jaren? Of is dit een erg andere variant?

* F_J_K is weer blij geen Java (en geen Flash) te hebben geïnstalleerd..

voor de geïnteresseerde hier een analyze van sinowal http://www.evild3ad.com/?p=1556

@Keypunchie, daar heb je zeker een punt. Het waren meer persoonlijke leermomenten slash uit te voeren acties

Als ik nu.nl inderdaad in de white-list had staan was de code alsnog uitgevoerd. Het lijkt er in ieder geval op dat ik niet ben geinfecteerd door nu.nl
Bij mij staan alle plugins uitgeschakeld welke ik niet nodig heb. Maar dan zal je zien dat de volgende attack via flash of silverlight gaat plaatsvinden. Toch maar overstappen op een mac haha

Belachelijk dat nu.nl niet een gratis tool beschikbaar maakt om het virus weg te halen.

Wel het virus rond sturen, maar oplossen ho maar...

Keypunchie schreef op donderdag 15 maart 2012 @ 21:47:
Dat vind ik net iets te scherp Arnorom.

Nu.nl is net zo goed een slachtoffer, hier.

Via een artikel op de site en via hun weblog hebben ze wel degelijk al met links naar (gratis beschikbare) tools verwezen hoe het virus kan worden verwijderd.

Het vernuft waarmee deze aanval is uitgevoerd geeft ook wel aan dat dit geen simpele scriptkiddies zijn geweest, maar doorgewinterde, wie weet zelfs professionele, hackers.

Het is een combinatie van van kapen van een CMS-login, plaatsen van javascript, payload servers in India, een exploit die van rootkit mogelijkheden gebruik maakt en die zeer specifiek bankgegevens weet te ontfutselen. Gekoppeld met een aanval die op het meest impactrijke moment toeslaat. Dat is allemaal heel goed doordacht en gepland.

Daarbij verbleken al de SQL-injecties en onversleutelde databases waarmee we normaal gesproken worden doodgegooid op de frontpage.

Ik wil de aanval niet op je openen maar echt heel spannend hoeft het natuurlijk niet te zijn. Het kan net zo goed iemand geweest zijn dia via via de login gegevens heeft geregeld als ook een exemplaar van het Sinowal virus welke hij/zij aangepast heeft (of laten doen). Ik zeg niet dat dit ook in dit geval zo is geweest of dat dit in deze situatie überhaupt mogelijk is geweest maar om nu gelijk te zeggen dat het doorgewinterde hackers zijn vind ik dan weer ''iets te scherp''.

Feit blijft dat Nu.nl hier erg laat over is gaan berichten en al helemaal laat met wat mogelijke oplossing kwam.

F_J_K schreef op donderdag 15 maart 2012 @ 16:09:
erikloman, goed dat je meedenkt en kudo's voor de snelle reactie v.w.b. herkenning & opschoning. Maar pas ajb op dat het geen reclame wordt

Ik zal er op letten. Ben zelf erg druk bezig geweest met het omzeilen van de watchdog in Sinowal.knf (het was nachtwerk) en ik ben er vrij zeker van dat, op TDSSkiller na, geen enkele andere AV deze specifieke MBR-infectie kan opschonen. Met name suites beginnen niks tegen dergelijke complexe malware want die zitten in grote lange productcycli en kunnen niet snel inspringen op dergelijke uitbraken en vernieuwingen.

F_J_K schreef op donderdag 15 maart 2012 @ 16:09:
Sinowal bestaat toch in verschillende varianten al jaren? Of is dit een erg andere variant?

Sinowal bestaat al sinds februari 2006. Gaandeweg de jaren is de rootkit steeds verder verfijnt en heeft het truukjes van andere malware overgenomen. De variant die via NU.nl werd verspreid is de nieuwste (uit sinds oktober 2011) en gebruikt een zeer listige hook en een verborgen watchdog. Detecteren en verwijderen zijn 2 afzonderlijke 'takken van sport'.

Via een zogenaamde smoke loader werd de rootkit gisteren op computers geïnstalleerd. De smoke loader werkt slechts kortstondig waardoor het erg lastig voor researchers is om onderzoek te doen. De malware van gisteren kun je vandaag dus niet meer gebruiken voor analyse want hij pakt zichzelf niet meer uit. Je moet op het juiste moment je systeem infecteren en onderzoek doen. Dat is ook wat ik gisteren persoonlijk heb gedaan in een VMware sessie (snapshots gemaakt). Ik was al lang op zoek naar deze nieuwe variant want persoonlijk vind ik dergelijke malware een uitdaging. De auteurs van Sinowal.knf stoppen er echt veel tijd in om zo lang mogelijk verborgen op een systeem te blijven.

Op het moment van de uitbraak hebben we veel informatie met Fox-IT uitgewisseld. Zo kregen wij informatie van hun en zij van ons. Fox-IT is veel beter toegerust om dergelijke uitbraken in kaart te brengen. Bij SurfRight zijn we 'slechts' gespecialiseerd in het detecteren en verwijderen van (moeilijke) malware.

Ik las net nog een artikel dat gisteren via NU.nl er 300 PC's van de gemeente Utrecht besmet zijn geraakt.
http://dnu.nu/artikel/609...cs-besmet-door-virus-nunl

Dat belooft nog wat voor de rest van Nederland.

[ Voor 4% gewijzigd door erikloman op 15-03-2012 22:23 . Reden: Typo ]

Na een controle blijkt dat mijn Win7 systeem schoon is gebleven na het bezoek aan NU.nl

Mijn vraag echter is; kan een browser in de sandbox je afdoende beschermen tegen dit soort aanvallen? Ik heb geen Java of Adobe geïnstalleerd, omdat dit programma's zijn die veiligheids--risico's in zich dragen.

erikloman schreef op donderdag 15 maart 2012 @ 22:12:
[...]

Ik zal er op letten. Ben zelf erg druk bezig geweest met het omzeilen van de watchdog in Sinowal.knf (het was nachtwerk) en ik ben er vrij zeker van dat, op TDSSkiller na, geen enkele andere AV deze specifieke MBR-infectie kan opschonen. Met name suites beginnen niks tegen dergelijke complexe malware want die zitten in grote lange productcycli en kunnen niet snel inspringen op dergelijke uitbraken en vernieuwingen.

Ik heb net toch ook maar even voor de zekerheid TDSSkiller gedraaid, een threat found, sptd.sys maar die is van Alcohol 120% voor zover ik weet.

Raven schreef op vrijdag 16 maart 2012 @ 10:34:
[...]

Ik heb net toch ook maar even voor de zekerheid TDSSkiller gedraaid, een threat found, sptd.sys maar die is van Alcohol 120% voor zover ik weet.

sptd.sys wordt idd door Deamon Tools en Alcohol 120% gebruikt. Het is een grijs gebied want sptd.sys doet erg z'n best om zich te verbergen (hij injecteert o.a. z'n code in andere Windows drivers). Dit doet dit om kopieer beveiligingen (copy protection) te omzeilen.

Dus sptd.sys is een echte rootkit, alleen een witte.

Okee, soort van false positive dus?

Kunnen er nog mensen dit topic bevestigen?
nu.nl weer besmet met een trojan!
If so, graag met screenshot e.a.

Grappig dat overal staat dat het maar een uur op 14 maart was. Wij hebben bij ons op de helpdesk al meldingen over nu.nl vanaf maandagmiddag.

Adrianb schreef op vrijdag 16 maart 2012 @ 11:03:
Kunnen er nog mensen dit topic bevestigen?
nu.nl weer besmet met een trojan!
If so, graag met screenshot e.a.

Krijg hier niets te zien. Draai Chrome sandboxed maar zie geen vreemde dingen voorbij schieten.

Ook de code laat nog niet veel aparts zien. Misschien alleen op een specifieke pagina?

[ Voor 11% gewijzigd door MuddyMagical op 16-03-2012 11:16 ]

Als je TDSSkiller (of fixmbr) gebruikt om de MBR schoon te maken, vergeet dan niet de smoke loader uit je Run te halen:
https://twitter.com/#!/er...80596347844575232/photo/1

Bij mij op de zaak kregen we ook weer meldingen dat nu.nl weer vage *.js scripts probeert te sturen/downloaden.. Nu.nl lijkt inderdaad weer besmet.

Tjarko Hissink schreef op vrijdag 16 maart 2012 @ 11:18:
Bij mij op de zaak kregen we ook weer meldingen dat nu.nl weer vage *.js scripts probeert te sturen/downloaden.. Nu.nl lijkt inderdaad weer besmet.

Specifieke pagina's?

Voorpagina kwam onderstaande melding:

pcon.js from website www.wtp101.com

Zie Wat is... pcon.js (www.wtp101.com)?

erikloman schreef op donderdag 15 maart 2012 @ 22:12:
[...]
ben er vrij zeker van dat, op TDSSkiller na, geen enkele andere AV deze specifieke MBR-infectie kan opschonen.

De Kaspersky suites kunnen 'm ( iig extern ) ook de baas ( ook niet heel erg raar aangezien tdss killer ook van kaspersky afkomt maar wilde het toch even melden )

heb hitman pro gedraaid die vond niets. Dus was niet besmet blijf er voorlopig vandaan...nog die tdss killer van kaspersky draaien wellicht vindt die wat?

[ Voor 26% gewijzigd door Verwijderd op 16-03-2012 12:46 ]

Housecall vind niets. Dan mag ik aannemen dat het ok is ? Hier en bij familie tig PC's gescand, to be sure ...
TDSS vind ook niets (behalve Daemonn Tools) ...

En ik heb al jaren geen Java meer geinstalleerd. Nergens voor nodig ...

[ Voor 37% gewijzigd door -SaveMe- op 16-03-2012 13:25 ]

En weer een bericht op nu.nl
http://www.nu.nl/binnenla...ter-cyberaanval-nunl.html

@Raven, dit copypast ik niet voor je net iets te groot

[ Voor 24% gewijzigd door Perkouw op 16-03-2012 19:42 ]

Controle bij klanten van Fox IT wijst echter uit dat de malware niet goed functioneerde. Van meer dan honderden geïnfecteerde machines bleek er slechts één infectie daadwerkelijk contact te maken met het grotere botnet.

Op de site van Fox-IT staat inmiddels een volledig rapport van alle acties die zij inmiddels gedaan hebben met veel interessante achtergrond informatie:

http://blog.fox-it.com/20...e-sinowallnu-nl-incident/

Die sluiten af met een zelfde opmerking:

We have investigated a couple hundred infections on corporate networks, but one odd thing appeared, the Trojan did appear to be malfunctioning, from all the infections we investigated, only one infection actually connected to the Sinowal command and control infrastructure that would indicate a successful infection. We are not sure why this happens and are unable to verify the reason for this. We have heard the same story from other researchers in the field and are not able to verify why this happens, but time will tell…

We have investigated a couple hundred infections on corporate networks, but one odd thing appeared, the Trojan did appear to be malfunctioning, from all the infections we investigated, only one infection actually connected to the Sinowal command and control infrastructure that would indicate a successful infection. We are not sure why this happens and are unable to verify the reason for this. We have heard the same story from other researchers in the field and are not able to verify why this happens, but time will tell…

Het kan natuurlijk ook zo zijn dat Sinowal geïnstrueerd is om een bepaalde tijd te wachten met het naar huis bellen. Dat bekend geworden is dat nu.nl malware verspreid zal vast niet het plan geweest zijn van de aanvaller. En als dat niet was gebeurt is het handig om een weekje te wachten voor dat je de bot naar huis laat bellen. Immers dat vergroot de kans op ontdekking. Wanneer de tijd tussen besmetting en ontdekking groot genoeg is, is het erg lastig om de bron van de besmetting te achterhalen waardoor de aanvaller nogmaals van nu.nl gebruik gemaakt zou kunnen hebben voor een volgende run.

[ Voor 37% gewijzigd door Belboer op 17-03-2012 00:19 ]

Ik ben ook gisteren ook geïnfecteerd geraakt, op een andere site. Ook bij mij was een oude versie van java de oorzaak. Mijn antivirus Eset Smart Security sloot het malware proces af. Nadien heb ik eerst mij afgemeld, daarna de draaiende processen met vreemde bestandsnamen afgesloten. Op dat moment draaide verschillende processen van kladblok,explorer.exe. Deze heb ik eerst moeten afsluiten voor dat ik de kwaadaardige bestanden in appdata map kon verwijderen.

Een goede tip gebruik Secunia's Personal Software Inspector, deze zoekt automatisch naar updates van kwetsbare software met lekken.

Om zeker te zijn ga ik nog eens scannen met Dr Web Cureit!.

Ik kan me nog een gevalletje virus-schade herinneren dat Ilse deed besluiten om de getroffenen een gratis 1-jarig abonnement Kaspersky aan te bieden.

Wordt het virus nu al gedetecteerd door meerdere antivirus software (AVG, F-Secure, …)?

-Edit-

Inmiddels wat gezocht op de sites van AVG en F-secure. Bij AVG worden PSW.Sinowal.BT, PSW.Sinowal.AW, PSW.Sinowal.BM en PSW.Sinowal.BQ genoemd als varianten die worden gedetecteerd. F-secure heeft het over Trojan-PSW:W32/Sinowal.CP
Blijkbaar, zo lees ik uit het voorgaande, betreft het bij de aanval op nu.nl weer een andere variant, vandaar mijn oorspronkelijke vraag.

[ Voor 67% gewijzigd door Verwijderd op 22-03-2012 16:59 ]