[Alert] Trojan op frontpage nu.nl - en andere Sites * - Privacy en beveiliging

zaterdag 20 november 2004 09:54

Acties:

0 Henk 'm!

Topicstarter

Toen ik net naar de frontpage van nu.nl surfte kreeg ik een melding van Mcafee Virusscan Enterprise 7.1.0 de melding dat er een trojan was gevonden.

Exploit-IframeBO!shellcode

Ik heb dat file 4409

Hebben andere gebruikers dezelfde problemen? Of ben ik de enige?

zaterdag 20 november 2004 09:56

Acties:

0 Henk 'm!

utbone

Ik heb het ff getest..

Op mijn 2000 server met Norton er op sluit de hele internet pagina!

U heeft de melk horen klotsen maar weet niet waar de tepel hangt

zaterdag 20 november 2004 09:57

Acties:

0 Henk 'm!

Br@m

idd, KAV gaf ook net een allarm toen ik even IE probeerde. FireFox geeft niks aan.

Ik heb daarna de cache geleegt, en nu is er niks aan de hand meer?

[ Voor 31% gewijzigd door Br@m op 20-11-2004 09:58 ]

Garmin NUVI 300 - ACER Aspire 5102WLMi

zaterdag 20 november 2004 09:58

Acties:

0 Henk 'm!

TheRookie

Nu met R1200RT

same here, ook dat versie 4409

zaterdag 20 november 2004 10:00

Acties:

0 Henk 'm!

Nakebod

Nope.

En met Firefox krijg ik totaal geen melding @ McAfee, in IE wel.
iframe exploit, leuk.. nu.nl maar op de hoogte brengen denk ik

Blog | PVOutput Zonnig Beuningen

zaterdag 20 november 2004 10:01

Acties:

0 Henk 'm!

_Ernst_

Mark It Zero!

Firefox idd geen probleem, ook geen virus melding.
Maar met ie loopt heel internet explorer vast

ook geen virus melding of iets

Last.fm

zaterdag 20 november 2004 10:04

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Had al een mailtje gestuurd. Mensen die oude dat files hebben die gaan zeker problemen krijgen. En daar komt bij, dat nu.nl zeer veel bezoekers krijgt.

Heb de volgende info op onderstaande pagina gevonden:
http://vil.nai.com/vil/content/v_129629.htm

Minimum DAT: 4405 (11/09/2004)

Vulnerability Characteristics:
-- Update November 05th 2004 --

The risk assessment of this threat has been deemed Low-Profiled due to the following media attention:

http://www.computerworld....ory/0,10801,97258,00.html

Exploit-IframeBO is referred to as New IE Hole in the article.

--

Microsoft Internet Explorer (IE) contains a buffer overflow vulnerability that can be exploited to execute arbitrary code with the privileges of the user running IE.

Please refer to the following link for more details.

http://secunia.com/advisories/12959/

Symptoms
Variable. The symptoms of the buffer overflow will vary depending upon the remote code executed.

Method Of Infection
By convincing a user to view a specially crafted HTML document (e.g., a web page or an HTML email message), an attacker could execute arbitrary code with the privileges of the user. The attacker could also cause IE (or the program using the WebBrowser control) to crash.

zaterdag 20 november 2004 10:09

Acties:

0 Henk 'm!

Verwijderd

Ik krijg hier niks geen melding? CPU is hoog, maar dat komt door 3dsmax

Nee, kep wel SP2, en daar is een safety-dinges ingebouwd in de IE, maar zelfs nu zegt ie niks ..?

zaterdag 20 november 2004 10:10

Acties:

0 Henk 'm!

pven

Geen last in FireFox (met NAV2005, AdMuncher, AdWatch en SpyBlaster geENabled).

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

zaterdag 20 november 2004 10:14

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

even de log bekeken en ik zag het volgende:
\Temporary Internet Files\Content.IE5\O9AFS5QN\c[1].htm\C[1].HTM Exploit-IframeBO!shellcode

\Temporary Internet Files\Content.IE5\O9AFS5QN\l[1].exe Downloader-SF

Overigens lijkt het zo dat ze de trojan nu verwijderd hebben.
Wellicht dat het een reclame banner is, en straks weer terug komt...

zaterdag 20 november 2004 11:08

Acties:

0 Henk 'm!

Verwijderd

De exploit is nog niet weg....hij is er nog steeds.

Ik kan bij deze dan ook bevestigen dat het hier daadwerkelijk om de exploit gaat, ik zal nu gaan kijken naar hetgene dat de exploit moet installeren.

Edit:
Preliminary write-up:

C:\bla.exe infected Trojan-Downloader.Win32.Small.aaq
C:\Windows\System32\qktjsy.exe packed PE_Patch.PECompact, PecBundle, PECompact
C:\Windows\System32\qktjsy.exe infected Backdoor.Win32.Agent.ec

[ Voor 37% gewijzigd door Verwijderd op 20-11-2004 11:15 ]

zaterdag 20 november 2004 11:17

Acties:

0 Henk 'm!

DrivinUCrazy

Vechte, valle en opstoan

Ik heb t ff getest

IE loopt idd direct vast, maar dat wisten we ondertussen al.

Daarbij ontdekte ik dat er een progje op de C:\ wordt geïnstalleerd dat Bla.exe heet. Norton Antivirus kende het nog niet (met nieuwste .dat), maar ik ontdekte t door ZoneAlarm die om toestemming vroeg.

Bla.exe wordt direct gestart dus om m te deleten moet je m ff uitschakelen in de TaskManager.

|edit|

Net te laat, iig bedankt Schouw.

[ Voor 6% gewijzigd door DrivinUCrazy op 20-11-2004 11:20 ]

't Is een kwestie van geduld, rustig wachten op de dag, dat heel Holland Limburgs lult.

zaterdag 20 november 2004 11:20

Acties:

0 Henk 'm!

simon

Bij vloog IE eruit, maar die bla.exe kan ik niet vinden, ook niets in het geheugen. Wel onhandig, dat bla, want dat gebruik voor veel dingen op mijn pc

zaterdag 20 november 2004 11:23

Acties:

0 Henk 'm!

dominic

will code for food

Net bezocht (IE6..2900, XP Pro SP2), nergens last van..

Download my music on SoundCloud

zaterdag 20 november 2004 11:25

Acties:

0 Henk 'm!

Verwijderd

SP2 is niet vulnerable voor Exploit.HTML.Iframebof

Titel wat aangepast.

zaterdag 20 november 2004 11:29

Acties:

0 Henk 'm!

Nakebod

Nope.

Ook geen bla.exe hier, maar dat komt denk ik omdat mcafee hem al herkende.
Maar na handmatige update van mcafee krijg ik de melding niet meer dat er een trojan is gevonden, ook na legen cache enzo. Deed hij eerst wel na legen van cache, met nog wat oudere .dat files
Vreemd dat ie nu dus geen waarschuwing meer geeft, en ervoor wel.

Edit:
SP2 niet vulnerable voor die exploit?
Misschien dat ik hem daarom niet heb, of dat mcafee hem toch heeft tegengehouden

[ Voor 17% gewijzigd door Nakebod op 20-11-2004 11:31 ]

Blog | PVOutput Zonnig Beuningen

zaterdag 20 november 2004 11:39

Acties:

0 Henk 'm!

Verwijderd

Ik had hem net ook één keer. Met veel F5-en krijg ik hem niet terug. Misschien moeten IE en FF nu maar gaan denken aan het blokkeren van alle http requests die niet van het oorspronkelijke domein afkomen.

zaterdag 20 november 2004 11:42

Acties:

0 Henk 'm!

Verwijderd

Op die site (en nog wat anderen) wordt via JavaScript via de advertentieserver (a.as-eu.falkag.net) de bewuste c.html (Exploit-IframeBO!shellcode) gedownload om een Trojan binnen te halen. In sommige gevallen gaat het om een bla.exe file en dan weer om een l.exe file (Trojan-Downloader.Win32.Small.aaq).

Aangezien het op meerdere sites gebeurt met dezelfde advertentieserver lijkt mij dat ze die gehackt hebben als uitvalsbasis of dat anderszins de advertiemakers een steekje hebben laten vallen...

Volgens mij tijd voor een mailtje naar AdSolution...

[ Voor 7% gewijzigd door Verwijderd op 20-11-2004 11:44 ]

zaterdag 20 november 2004 11:42

Acties:

0 Henk 'm!

Verwijderd

Update: Ook Amerikanen hebben hier last van....

zaterdag 20 november 2004 11:42

Acties:

0 Henk 'm!

CrashOne

oOoOoOoOoOoOoOoOoOo

dat zal dus nooit gebeuren, aangezien een bijna alle banners van andere domeinen afkomen.

edit:

reactie op klutter

[ Voor 19% gewijzigd door CrashOne op 20-11-2004 11:43 ]

Huur mij in als freelance SEO consultant!

zaterdag 20 november 2004 11:56

Acties:

0 Henk 'm!

Roel

screen -x addict

Startpagina.nl heeft er ook last van.

Hier staan nu 8 pc's op een rij met een error melding..

Resistance is futile (If < 1 Ohm)

zaterdag 20 november 2004 11:59

Acties:

0 Henk 'm!

silentsnow

« '-_-' »

vreemd inderdaad. Ik heb ook last van bla.exe in de C: directory.

Mijn specs:
locatie: New York
Browser: IE6 SP1
OS: Win 98SE

The trade of the tools
[ me | specs ] Klipsch Promedia Ultra 5.1 + Sennheiser HD-590

zaterdag 20 november 2004 12:18

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

silentsnow: heeft je virusscanner die gevonden of heb je voor de gein in c:\ gekeken?

[ Voor 3% gewijzigd door HellevUUr op 20-11-2004 12:18 ]

zaterdag 20 november 2004 12:22

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

@crew: Iets voor de frontpage wellicht?

zaterdag 20 november 2004 12:25

Acties:

0 Henk 'm!

frankvanhoesel

Bij mij liep iexplorer helemaal vast op nu.nl en startpagina.nl....maar geen bla.exe in mijn root...

zaterdag 20 november 2004 12:28

Acties:

0 Henk 'm!

Rob

HellevUUr schreef op zaterdag 20 november 2004 @ 12:22:
@crew: Iets voor de frontpage wellicht?

offtopic:
Ik heb 'm net in de nieuwssubmit gegooid

Ik heb hier nergens last van met SP2, maar dat was al bekend.
Kunnen de mensen die er last van hebben ook even hun OS posten?

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

zaterdag 20 november 2004 12:28

Acties:

0 Henk 'm!

NoReason

AVG 7.0 gaf direct een melding van het virus... kon het wel niet 'healen', moest het verwijderen maar enfin

It's time to kick ass and chew bubble-gum, and I'm all out of gum.

zaterdag 20 november 2004 12:29

Acties:

0 Henk 'm!

Verwijderd

FYI http://isc.sans.org/ heeft diary erover lopen.

[ Voor 36% gewijzigd door Verwijderd op 20-11-2004 12:30 ]

zaterdag 20 november 2004 12:30

Acties:

0 Henk 'm!

Aapje

Opel-beun

frankvanhoesel schreef op zaterdag 20 november 2004 @ 12:25:
Bij mij liep iexplorer helemaal vast op nu.nl en startpagina.nl....maar geen bla.exe in mijn root...

Bij mij ook alleen Symantec is me voor geweest met deleten van 't Trojannetje

Edit:
Weet iemand hoe ik een email virus bom aap kan naaien?

Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: W32.Sober.I@mm
File: Mail Error <Esmtp:9477>>>auto__mail.ieee_342.doc.zip>>message_...
Location: Mail System
Computer: BABOON
User: Michael
Action taken: Delete succeeded
Date found: zaterdag 20 november 2004 12:31:59

Er staan 9 ongelezen e-mail berichten in het Postvak IN

http://the-baboon.nl/photos/Funneh/lel.GIF Te grappig

[ Voor 52% gewijzigd door Aapje op 20-11-2004 12:38 . Reden: Moeilijk? SymantEc waarom zeg ik altijd tic komt 't door tictac? :p ]

zaterdag 20 november 2004 12:35

Acties:

0 Henk 'm!

Firestone

$ su - vuursteen

Ik krijg meteen een melding van Kaspersky avp, die het script dan ook gelijk blokt en het uit de catch gooit. Geen last dus, ook bla.exe etc word niet gedownload.

Dit gebeurde op Win XP SP2 met IE. In FF geen last.

zaterdag 20 november 2004 12:39

Acties:

0 Henk 'm!

Verwijderd

Hier crasht IE ook. Norton AV 2003 doet er verder niets mee. Bij iemand anders is de PC enorm traag geworden door startpagina.nl

zaterdag 20 november 2004 12:41

Acties:

0 Henk 'm!

DoubleTweak

Volgens mij heeft de reclameboer het probleem opgelost.

Ik heb gezien dat het bestand 'l.exe' in de volgende http locatie wordt aangeroepen.

plasia.com/u/

Dit bestand bevat het downloader-sf virus volgens McAfee.

[ Voor 5% gewijzigd door Verwijderd op 20-11-2004 17:11 ]

Be like a duck. Calm on the surface, but always paddling like the dickens underneath.

zaterdag 20 november 2004 12:43

Acties:

0 Henk 'm!

DoubleTweak

Als je de inhoud van 'l.exe' trouwens bekijkt zie je dat ie waarschijnlijk probeert te schrijven naar of c:\winampa.exe of c:\bla.exe

Be like a duck. Calm on the surface, but always paddling like the dickens underneath.

zaterdag 20 november 2004 12:44

Acties:

0 Henk 'm!

silentsnow

« '-_-' »

HellevUUr schreef op zaterdag 20 november 2004 @ 12:18:
silentsnow: heeft je virusscanner die gevonden of heb je voor de gein in c:\ gekeken?

Norton firewall gaf een melding dat bla.exe verbinding zocht met het internet. Heb toen gewoon het bestand kunnen verwijderen.

The trade of the tools
[ me | specs ] Klipsch Promedia Ultra 5.1 + Sennheiser HD-590

zaterdag 20 november 2004 12:45

Acties:

0 Henk 'm!

Westereen

Ik na www.nu.nl met internet explorer (WinXP Prof Sp1 laaste updates) ie sluit meteen af. Kijk in de c: staat bla.exe er. Ik kijken in task manager nog iet gestart, dus maar gedeleted.

Ik na www.startpagina.nl niks aan de hand

zaterdag 20 november 2004 12:48

Acties:

0 Henk 'm!

Verwijderd

Startpagina liep hier vast.

Lekker zeg, gaan ze ook nog op nu plaatsen dat nu.nl vastloopt door die trojan ?

Ironie..

zaterdag 20 november 2004 12:52

Acties:

0 Henk 'm!

Calitomnication

Dream Of Calitomnication

Westereen schreef op zaterdag 20 november 2004 @ 12:45:
Ik na www.nu.nl met internet explorer (WinXP Prof Sp1 laaste updates) ie sluit meteen af. Kijk in de c: staat bla.exe er. Ik kijken in task manager nog iet gestart, dus maar gedeleted.

Ik na www.startpagina.nl niks aan de hand

Dat dacht ik ook. Bla.exe stond in de root van mijn C. Stond niet in Taskmanager. Heb deze meteen verwijderd. Voor de zekerheid toch maar de laatste update van AVG gedownload, laten scannen en jawel hoor.
Hij heeft er bij mij 2 wormen afgehaald I-Worm Matabu (ofzo) & i-worm Bofra.
Deze stonden er voorheen nog niet op, gisteren nog gescand.

Scan je systeem toch maar voor de zekerheid...

Garmin Forerunner 245 | hardlopen ftw! | Voeg me toe op Gamin Connect of Strava
tips voor New York

zaterdag 20 november 2004 12:53

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

-Rob- schreef op zaterdag 20 november 2004 @ 12:28:
[...]

Ik heb hier nergens last van met SP2, maar dat was al bekend.
Kunnen de mensen die er last van hebben ook even hun OS posten?

Windows 2000 SP4
IE 6.0.2800.1106

zaterdag 20 november 2004 13:08

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Zoals ik eerder zei had ik een mail gestuurd naar nu.nl
Achteraf was het niet zo vriendelijk, maar ik heb inmiddels wel een reply gekregen.
Zeer netjes van nu.nl overigens.

Mijn mail:

Toen ik naar nu.nl surfte kwam mijn virusscanner de volgende trojan tegen:
Exploit-IframeBO!shellcode

Aangezien jullie veel bezoekers krijgen, zullen jullie ook wel bezoekers krijgen die een niet up-to-date dat file hebben voor hun virusscanner. Zouden jullie aub deze exploit van de frontpage kunnen halen?

Reply:

Beste,

Hartelijk dank voor je mail. Wij zijn heel druk dit probleem op te lossen en jouw mail helpt daarbij. Het lijkt niet zo heel eenvoudig om de virus weg te halen. Mocht je meer informatie hebben over dit virus, dan zou ik je willen vragen dit naar mij te sturen.

Wat ik wel met zekerheid kan zeggen dat het geen betreffende virus niet ernstig is. Voor meer informatie:

http://us.mcafee.com/viru...escription&virus_k=129879

Ik kan je topic op tweakers.net niet vinden. Heb jij die URL voor mij?
Met vriendelijke groet,

Rogier *******

Ik heb Rogier dit topic doorgestuurd. Wellicht wil hij het verloop hier posten

zaterdag 20 november 2004 13:27

Acties:

0 Henk 'm!

Verwijderd

Niet ernstig!!! Volgens mij ligt het aan de payload of het ernstig is.... maar ach... je pc verandert in een spamdoos of je krijgt een keylogger op je pc... ach en wie weet, misschien lever jij een deel van de zombies waarmee Erik de Doskabouter sites plat gaat leggen... wat een stelletje onbenullen.

zaterdag 20 november 2004 13:31

Acties:

0 Henk 'm!

silentsnow

« '-_-' »

Verwijderd schreef op zaterdag 20 november 2004 @ 13:27:
Niet ernstig!!! Volgens mij ligt het aan de payload of het ernstig is.... maar ach... je pc verandert in een spamdoos of je krijgt een keylogger op je pc... ach en wie weet, misschien lever jij een deel van de zombies waarmee Erik de Doskabouter sites plat gaat leggen... wat een stelletje onbenullen.

Zij halen die info gewoon van de McAfee site, kan ik ze niet kwaad nemen:
Risk Assessment: low

wel knap trouwens:
Date Discovered: 11/17/2004
Date Added: 11/10/2004

The trade of the tools
[ me | specs ] Klipsch Promedia Ultra 5.1 + Sennheiser HD-590

zaterdag 20 november 2004 13:34

Acties:

0 Henk 'm!

royjn

stond iets onzinnigs

hier gaf norton een melding

[ Voor 80% gewijzigd door royjn op 20-11-2004 13:35 ]

zaterdag 20 november 2004 13:43

Acties:

0 Henk 'm!

Rukapul

Een half uurtje geleden kreeg ik hier nog een melding van Kaspersky op nu.nl. Maar nu lijkt het erop dat nu.nl de banners bovenaan heeft verwijderd.

zaterdag 20 november 2004 13:45

Acties:

0 Henk 'm!

Verwijderd

Ze hebben alle iframes verwijderd met advertentiespul. Stuk of drie stonden er eerst in.

code:

1	<!-- DISABLED -->

zaterdag 20 november 2004 13:49

Acties:

0 Henk 'm!

Resistor

Niet meggeren!

Hier werd de site van map24 (online routeplanner) afgesloten.

SP2 van XP is er niet vatbaar voor ([rml]Schouw in "[ Alert] Trojan op frontpage nu.nl - en a..."[/rml]) maar hoe zit het met een volledig gepatchede W98SE?

Ik voelde mij altijd redelijk veilig voor aanvallen van buitenaf (NAT), maar als ik zelf een bron ga worden van ellende is het wat minder.
Ik heb wel NAV2003pro, maar die gaf geen kick (vanmorgen nog geüpdate), en de meeste banners (behalve van dingen die ik steun, zoals T.net/GoT en enkele webcomics) blokkeer ik ook (dus waarschijnlijk ook de servers waar het af komt), maar ik voel mij niet helemaal prettig.
Ik denk dat ik ZoneAlarm maar eens ga downloaden, hopelijk is die in staat om dingen binnen te houden die ik binnen wil houden

(zijn betere, ik weet het, maar ZA is zo lekker simpel)

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 20 november 2004 13:56

Acties:

0 Henk 'm!

terabyte

kan denken als een computer

HellevUUr schreef op zaterdag 20 november 2004 @ 09:54:
Hebben andere gebruikers dezelfde problemen? Of ben ik de enige?

Ik heb nergens last van. Ik hen geen virusscanner. Ik gebruik de Konqueror browser.

zaterdag 20 november 2004 13:59

Acties:

0 Henk 'm!

Verwijderd

Resistor schreef op zaterdag 20 november 2004 @ 13:49:
Hier werd de site van map24 (online routeplanner) afgesloten.

SP2 van XP is er niet vatbaar voor ([rml]Schouw in "[ Alert] Trojan op frontpage nu.nl - en a..."[/rml]) maar hoe zit het met een volledig gepatchede W98SE?

Ik voelde mij altijd redelijk veilig voor aanvallen van buitenaf (NAT), maar als ik zelf een bron ga worden van ellende is het wat minder.
Ik heb wel NAV2003pro, maar die gaf geen kick (vanmorgen nog geüpdate), en de meeste banners (behalve van dingen die ik steun, zoals T.net/GoT en enkele webcomics) blokkeer ik ook (dus waarschijnlijk ook de servers waar het af komt), maar ik voel mij niet helemaal prettig.
Ik denk dat ik ZoneAlarm maar eens ga downloaden, hopelijk is die in staat om dingen binnen te houden die ik binnen wil houden (zijn betere, ik weet het, maar ZA is zo lekker simpel)

NAV is in mijn ervaring altijd hopeloos geweest in het tegenhouden van malicious html code. McAfee en Kaspersky blokkeren het veel beter. Met een firewall hou je programma's die naar buiten proberen te 'bellen' wel tegen. Alleen versturen volgens mij een aantal van die progsels code via popups, en daar doe je met je firewall niets tegen. Voorkomen dus die troep en ga over op een andere virusscanner.

zaterdag 20 november 2004 14:02

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Wat leest nu.nl toch fijn zonder al die reclame

zaterdag 20 november 2004 14:08

Acties:

0 Henk 'm!

Verwijderd

HellevUUr schreef op zaterdag 20 november 2004 @ 14:02:
Wat leest nu.nl toch fijn zonder al die reclame

Hm, krijg nou wat

//edit, dit kost ze wel klauwen met geld!

[ Voor 11% gewijzigd door Verwijderd op 20-11-2004 14:11 ]

zaterdag 20 november 2004 14:17

Acties:

0 Henk 'm!

Miki

Info die mij tot nu toe bekend is via eigen onderzoek en bestaande info:

- trojan downloader -

Het probeert winampa.exe van lgf.com/u/ te downloaden al zijn er ook andere sites in de lucht!

OPEN DEZE SITES DUS NIET!!, maar zet ze in een blocklist van IE bijvoorbeeld
sp2fucked.biz
splitinfinity.info
xpire.info
69.50.168.147
195.178.160.30
213.159.117.133
b00gle.info
coolsearch.biz
newiframe.biz
pizdato.biz

Voorlopige benamingen:

Panda - Javudoor.A
F-Secure en Kaspersky - Backdoor.Win32.Agent.ec (generic name)
CA - Reckmess.A.

Het bestand wat gedowload wordt is een gecomprimeerd bestand en bevat de volgende bestanden:

PE_PATCH.PECOMPACT
PECBUNDLE
PECOMPACT

Voor zover bekend word na activering de volgende register sleutel aangemaakt:

"JavaUpdate0.07"="C:\.exe" in het register "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

Hiermee wordt een backdoor geopend naar een random poort en via poort TCP 80 naar een webserver terug.

Leuke bijkomstigheid, het probeert security software (firewalls, antivirus, enz)af te sluiten.

Nog een bijkomstigheid, het probeert ook nog extra software te installeren:

Neem aan dat hier aantal zeer bekend zijn

180solutions
BlazeFind
BookedSpace
BullsEye Networks
CashBack (Bargain Buddy)
ClickSpring
CoolWebSearch
DyFuca
Hoost
IBIS Toolbar
Internet Optimizer
ISTbar
Power Scan
SideFind
TIB Browser
WebRebates (TopMoxie)
WhenU (VVSN)
Window AdControl
WindUpdates
YourSiteBar

[ Voor 26% gewijzigd door Verwijderd op 20-11-2004 14:23 ]

zaterdag 20 november 2004 14:34

Acties:

0 Henk 'm!

Verwijderd

Weet je heel erg zeker dat die sites daar ook mee te maken hebben?
Ik heb zo mijn twijfels eigenlijk.

De door jou genoemde sites zijn al dagen - zo niet langer - in de lucht om malware te verspreiden, dit is helemaal nieuw.

En die info mbt de backdoor is ook niet helemaal correct, zie ook een eerdere post van me.

zaterdag 20 november 2004 14:38

Acties:

0 Henk 'm!

simon

Iig doet explorer.exe nu vrij vreemd, crasht iets vaker

zaterdag 20 november 2004 14:49

Acties:

0 Henk 'm!

Miki

Verwijderd schreef op zaterdag 20 november 2004 @ 14:34:
Weet je heel erg zeker dat die sites daar ook mee te maken hebben?
Ik heb zo mijn twijfels eigenlijk.

De door jou genoemde sites zijn al dagen - zo niet langer - in de lucht om malware te verspreiden, dit is helemaal nieuw.

En die info mbt de backdoor is ook niet helemaal correct, zie ook een eerdere post van me.

De genoemde sites waar jij op doelt nemen deze naast de "standaard" meegeleverde bende dus ook dat laatste mee (bla.exe, o.a.).

Het is misschien goed mogelijk dat info over de backdoor niet correct is, omdat ik de mogelijkheid niet had om te testen.

offtopic:
Schouw kom in #wos als je tijd hebt, praat wat makkelijker.

[ Voor 9% gewijzigd door Miki op 20-11-2004 14:51 ]

zaterdag 20 november 2004 15:13

Acties:

0 Henk 'm!

anandus

Zijn nu.nl en startpagina nu weer veilig te bezoeken met IE?

"Always remember to quick save" - Sun Tzu

zaterdag 20 november 2004 15:16

Acties:

0 Henk 'm!

simon

anandus schreef op zaterdag 20 november 2004 @ 15:13:
Zijn nu.nl en startpagina nu weer veilig te bezoeken met IE?

Ik denk dat wanneer je FF gebruikt er niets aan de hand is

zaterdag 20 november 2004 15:20

Acties:

0 Henk 'm!

anandus

Simon schreef op zaterdag 20 november 2004 @ 15:16:
[...]

Ik denk dat wanneer je FF gebruikt er niets aan de hand is

Doe ik ook, uiteraard, maar een paar vrienden van me niet

"Ja, maar ik ben zo gewend aan IE"
suckers

[ Voor 3% gewijzigd door anandus op 20-11-2004 15:20 ]

"Always remember to quick save" - Sun Tzu

zaterdag 20 november 2004 15:56

Acties:

0 Henk 'm!

Verwijderd

Joh, ga elders je FF gelijk halen ofzo. Met XP sp2 heb je ook nergens last van. *zucht*

zaterdag 20 november 2004 15:58

Acties:

0 Henk 'm!

anandus

Verwijderd schreef op zaterdag 20 november 2004 @ 15:56:
Joh, ga elders je FF gelijk halen ofzo. Met XP sp2 heb je ook nergens last van. *zucht*

Och, zo bedoelde ik het niet, ik wilde alleen weten of nu.nl en startpagina.nl weer veilig zijn

Overigens, bij diverse mensen mét SP2 waren ze wel vatbaar voor het lek.
Althans hun browser stortte in (eentje heeft Norton, de ander AVG).
Hoe zit dit dan?

Betekent dit dat ze niet vatbaar waren, maar dat het script een error genereerde ofzo?
(Overigens hadden ze beide I-Worm/Bofra op hun computer gekregen, dat is deze toch?)

[ Voor 18% gewijzigd door anandus op 20-11-2004 16:00 ]

"Always remember to quick save" - Sun Tzu

zaterdag 20 november 2004 16:08

Acties:

0 Henk 'm!

CyberThijs

Je kan veilig de site nu.nl bezoeken, aangezien dat ze de bron van de malware (hun reclame-provider) hebben gedesactiveerd..

[ Voor 3% gewijzigd door CyberThijs op 20-11-2004 16:08 ]

zaterdag 20 november 2004 16:08

Acties:

0 Henk 'm!

Verwijderd

Laat de FF vs. IE discussie maar achterwege ja.

Hoewel de Bof niet plaatsvindt met XP/SP2, wordt er (evengoed) een hoop geheugen gevraagd.
Dat is normaal.
Laten we het erop houden dat IE << XP/SP2 niet met die request om kan gaan en juist daarom crasht.

Het zou kunnen zijn dat AVG de exploit als I-Worm/Bofra ziet, maar dat is het niet natuurlijk.
Zolang er geen (niet-html)files gevonden zijn die als I-Worm/Bofra aangeduid zijn, kun je hiervan uitgaan.

zaterdag 20 november 2004 16:23

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Dit wilde ik 3 kwartier geleden al posten, maar ik kreeg steeds de melding dat de inhoud leeg was, ondanks dat er netjes informatie in stond. Blijkbaar werkt het nu weer.

Op verzoek van Rogier (Ilse media/Nu.nl) post ik het volgende:

Beste,

Ik probeer een toegangscode te krijgen om de treat op tweakers.net aan te vullen maar die krijg ik niet. Ik zou je willen vragen de volgende mededeling te willen posten voor mij:

Sites ilse media getroffen door trojan-aanval

Via advertenties op de sites van ilse media, waaronder Startpagina.nl, Nu.nl en ilse.nl, is vandaag een zogeheten ‘trojan virus’ onder de bezoekers van deze pagina’s verspreid. De kwaadwillende code lijkt te zijn gekoppeld aan programma’s die nodig zijn voor het leveren van advertenties op de pagina’s. Over de omvang van de verspreiding is nog weinig bekend, noch over de schade die de trojan aanricht. De trojan kan op een kwetsbare PC weer andere potentieel schadelijke code achterlaten.

Ilse media raadt de gebruikers aan in ieder geval de meest recente service-updates van Windows te installeren en de meest recente virusgegevens behorend bij hun virusscanner op te halen. Alle recente versies van de bekende virusscanners zouden de trojan ondervangen en met Service Pack 2 van Windows XP is de PC niet kwetsbaar. Onbekend is nog in hoeverre dit geldt voor oudere versies van Windows (zoals Windows 98). De code van de trojan maakt naar het zich laat aanzien gebruik van een lek (I-Frame Exploit) dat aanwezig is oudere versies van Internet Explorer. Andere browsers en andere besturingssystemen lijken niet getroffen te kunnen worden.

“We zijn bijzonder ongelukkig met deze gebeurtenissen,” aldus Paul Molenaar, algemeen directeur van ilse media. We zijn op dit moment met alle macht eerst bezig om het probleem te verhelpen. Inmiddels is of wordt het leveren van advertenties op onze sites uitgezet, en dit wordt pas hervat als we er 200% zeker van zijn dat dit zonder deze ellende kan gebeuren. Direct daarna gaan we achterhalen hoe dit heeft kunnen gebeuren en zullen we verdergaande maatregelen nemen om herhaling te voorkomen.

Je zou ons geweldig helpen als je dit doet. Laat mij even weten óf je dit wilt doen?

Rogier

zaterdag 20 november 2004 16:27

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Een pluim voor de GOT gebruikers

Beste ,

Heb jij mij vorige mail gezien?

Zou je iedereen op tweakers.net willen bedanken voor de hulp. We zijn enorm geholpen hierdoor!

Met vriendelijke groet,

Rogier
Hoofdredacteur
NU.nl

zaterdag 20 november 2004 16:32

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Er is afaik geen probleem met registreren atm, dus hij kan gewoon zelf registreren

Anders even een mailtje naar gathering(at)tweakers(punt)net

Professionele website nodig?

zaterdag 20 november 2004 16:37

Acties:

0 Henk 'm!

Verwijderd

Rogier: http://gathering.tweakers.net/forum/create_user lijkt me redelijk duidelijk?

Ik wil trouwens nog even reageren op het artikel.

Een "trojan virus" bestaat niet, iets is of een trojan, of een virus.
De adserver laadde een html pagina die een exploit bevat (Exploit.HTML.Iframebof), deze installeerde zo Trojan-Downloader.Win32.Small.aaq, welke een Backdoor downloadt die toegang tot de computer verschaft. (Backdoor.Win32.Agent.ec om precies te zijn)

Ilse media is helaas niet het enige slachtoffer hiervan.

Niet alle van de bekendere virusscanners kunnen deze exploit goed stoppen, daarnaast detecteren ook niet alle virusscanners de Trojan-Downloader en/of Backdoor.

Een user is kwetsbaar voor deze exploit als deze Internet Explorer gebruikt onder << XP/SP2.
Dus IE + Win98 = kwetsbaar.

Kaspersky Lab is nog steeds bezig met het uitvissen van de details, maar het lijkt erop dat de adservers misbruikt zijn.

zaterdag 20 november 2004 16:59

Acties:

0 Henk 'm!

wildhagen

Blablabla

Er staat nu ook een (link naar het) statement: http://www.startpagina.nl/alert/

Op nu.nl rechts in je scherm, dan ga je naar die link.

Virussen? Scan ze hier!

zaterdag 20 november 2004 17:07

Acties:

0 Henk 'm!

Resistor

Niet meggeren!

Auw...
Ik ben dus een W98 slachtoffer die ook nog NAV gebruikt

Map24 sloot op een vreemde manier af bij mij, maar verder is mijn computer niet gek aan het doen.

Ik heb mijn computer handmatig doorzocht en enkel dat C[1].htm aangetroffen, een bestandje van 9KB en volgens NAV virusvrij. Voor de rest niets, geen C:\bla.exe, geen C:\Windows\System32\qktjsy.exe, geen l.exe, winampa.exe staat niet in de C:\, en geen registersleutel "JavaUpdate0.07"="C:\.exe" in het register "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
_{even alle bestanden die in dit topic voorbij komen samenvatten}

Ik geloof dat ik geluk heb gehad. *klop**klop*

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 20 november 2004 17:10

Acties:

0 Henk 'm!

Verwijderd

http://www.sophos.com/virusinfo/analyses/trojagentec.html is idd de rommel die ze op je pc proberen te krijgen. De makkelijkste manier om te kijken of je het hebt is:
1. Download en draai hijackthis van www.hijackthis.de
2. Kijk of er een JavaUpdate0.07 entry in staat. De filename waof.exe kan wisselen per gebruiker.
Afbeeldingslocatie: http://www.tweakers.net/ext/f/45460/full.gif

Afbeeldingslocatie: http://www.tweakers.net/ext/f/45460/full.gif

zaterdag 20 november 2004 18:19

Acties:

0 Henk 'm!

Verwijderd

Voor direct getroffenen:

http://int.ilsemedia.nl/KAVIlseMedia.exe

Lost alle directe problemen op die er met besmettingen zijn. Werkt een maand, maar we bieden getroffen gebruikers de daarop volgende 11 maanden aan.

We voelen ons aardig lullig met deze situatie en kijken nu wat we kunnen doen om dit in de toekomst te voorkomen.

Paul (directeur ilse media, overigens al jaren ook fan van Tweakers.net

)

PS We wilden wel eerder direct reageren, maar het duurde vele uren voordat we onze activeer-code kregen.

zaterdag 20 november 2004 18:34

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Wauw, dat maak je niet vaak mee, dat een nieuws site de gebruikers zo tegemoet komt. Hulde! $_/-\o_$

zaterdag 20 november 2004 18:54

Acties:

0 Henk 'm!

boesOne

meuh

Verwijderd schreef op zaterdag 20 november 2004 @ 18:19:

Paul (directeur ilse media, overigens al jaren fan van Tweakers.nl)

tweakers.nl de serieuze manier van daten

[ Voor 18% gewijzigd door boesOne op 20-11-2004 18:56 ]

_{I say we take off and nuke the entire site from orbit. It's the only way to be sure.}

zaterdag 20 november 2004 21:25

Acties:

0 Henk 'm!

Nakebod

Nope.

Zeker heel netjes dat Ilse Media dit zo aanbied.
Vooral omdat de exploit niet via Ilse Media zelf afkomt, maar via de advertentie site.
Gelukkig had ik nergens last van

(Firefox, en redelijk up2date virusscanner)

Blog | PVOutput Zonnig Beuningen

zaterdag 20 november 2004 22:33

Acties:

0 Henk 'm!

BoGhi

HellevUUr schreef op zaterdag 20 november 2004 @ 18:34:
Wauw, dat maak je niet vaak mee, dat een nieuws site de gebruikers zo tegemoet komt. Hulde! $_/-\o_$

Daar zijn ze ook snel van terug gekomen, in hun mededeling is het aanbod m.b.t. KAV al weer weg. Overigens, ook hulde dat ze de trojan hebben helpen verspreiden? Enige verantwoordelijkheid van Ilse in deze lijkt me wel op z'n plaats.

Programmers don't die. They GOSUB without RETURN

zaterdag 20 november 2004 22:39

Acties:

0 Henk 'm!

wildhagen

Blablabla

De trojan kwam niet zozeer via Ilse, alswel via een externe bannersite... er zijn ook sites in Zweden en Engeland getroffen die verder niets met Ilse te maken hebben, en ongetwijfeld nog veel meer sites op de wereld.

Het heeft zelfs het Internet Storm Center (ISC) van het SANS gehaald: http://isc.sans.org/

Virussen? Scan ze hier!

zaterdag 20 november 2004 22:42

Acties:

0 Henk 'm!

Verwijderd

Overigens, ook hulde dat ze de trojan hebben helpen verspreiden? Enige verantwoordelijkheid van Ilse in deze lijkt me wel op z'n plaats.

Als sitebeheerder ben je afhankelijk van de code die je adverteerder aanlevert

zaterdag 20 november 2004 22:47

Acties:

0 Henk 'm!

Verwijderd

Iedereen die getroffen is en die zich bij ons meldt krijgt de software. Maar we weten ook hoe snel het linkcircuit op weblogs werkt en we hadden de indruk dat dat riant gebeurde. Wij betalen de software en willen deze inzetten waarvoor deze actie bedoeld is. De schade beloopt inmiddels in de vele, vele tienduizenden euri bij ons en die schade hoeft wat mij betreft niet groter te worden dan noodzakelijk. Maar we zullen de procedure er morgen nog even duidelijk bij zetten, nu lijkt het inderdaad wel dat we niets meer doen.

Verder erkennen wij natuurlijk ook onze verantwoordelijkheid en zullen we ook het nodige nog in samenspraak met onze advertentie-leverende partner be- en afspreken om herhaling te voorkomen. De complexiteit is echter enorm, met programmacode die in toenemende mate onderdeel van advertenties vormt. We gaan in de komende dagen nadenken over een structurele beveiliging.

Affijn, ons probleem en je mag aannemen dat dagen als deze ook wat ons betreft niet voor herhaling vatbaar zijn.

Paul

[ Voor 8% gewijzigd door Verwijderd op 20-11-2004 23:04 ]

zaterdag 20 november 2004 22:59

Acties:

0 Henk 'm!

BoGhi

Verwijderd schreef op zaterdag 20 november 2004 @ 22:42:
[...]
Als sitebeheerder ben je afhankelijk van de code die je adverteerder aanlevert

Ik weet dat het vaak zo gaat, en dat de besmetting ook in dit geval van externe bron komt, maar in mijn ogen heeft de site zelf dus ook een bepaald deel van (ik zeg bewust niet alle) verantwoordelijkheid. Uiteindelijk bereikt de (kwaadwillende) source de eindgebruikers via hun site.

@Ilsemedia: oke, dat bedoelde ik ongeveer ook.. had ik misschien wat minder kort door de bocht kunnen formuleren, maar goed.
Over de exploit zelf; die is al wel enige tijd (weken) bekend, en door Microsoft nog niet gefixed (zal ook nog wel even duren). Je zou eens kunnen kijken naar de mogelijkheden van automatisch scannen op de (bekende) exploit-code.

[ Voor 28% gewijzigd door BoGhi op 20-11-2004 23:04 . Reden: reactie Ilse ]

Programmers don't die. They GOSUB without RETURN

zondag 21 november 2004 01:03

Acties:

0 Henk 'm!

BoGhi

Verwijderd schreef op zaterdag 20 november 2004 @ 18:19:
Voor direct getroffenen:

http://int.ilsemedia.nl/KAVIlseMedia.exe

Lost alle directe problemen op die er met besmettingen zijn..

Nou ja, hier doet die exe helemaal niets anders dan een MSDOS box openen en heel snel ook weer sluiten..

Programmers don't die. They GOSUB without RETURN

zondag 21 november 2004 01:09

Acties:

0 Henk 'm!

Verwijderd

BoGhi schreef op zondag 21 november 2004 @ 01:03:
[...]

Nou ja, hier doet die exe helemaal niets anders dan een MSDOS box openen en heel snel ook weer sluiten..

Dan is je download corrupt.

Doe nog eens downloaden?

zondag 21 november 2004 01:25

Acties:

0 Henk 'm!

BoGhi

Gedaan, geen verschil helaas.

Programmers don't die. They GOSUB without RETURN

zondag 21 november 2004 01:29

Acties:

0 Henk 'm!

Verwijderd

Nou ik heb de installer zojuist gedownload en hier doet/deed ie het gewoon.
Kun je de file ook niet unpacken? (Met WinRar gaat dat bijv)

zondag 21 november 2004 01:40

Acties:

0 Henk 'm!

BoGhi

Nee, winrar zegt dat er geen archives in de file zitten. 't is ook een exe, ik zou zelf verwachten dat ie zelf zo'n beetje alles zelf doet. Size van mijn exe is overigens 10,368,658 bytes..

Programmers don't die. They GOSUB without RETURN

zondag 21 november 2004 01:42

Acties:

0 Henk 'm!

Verwijderd

Dan is je download nog niet klaar? 9,96 MB (10.453.504 bytes)
Probeer eens andere downloadmanager?

zondag 21 november 2004 01:47

Acties:

0 Henk 'm!

BoGhi

Klik jij ook op de link zoals die hier boven in deze thread staat?
Ik gebruik geen aparte downloadmanager, zeg gewoon 'save as'.. klaar toch?

Zal morgen nog es proberen, bedtijd..

[ Voor 17% gewijzigd door BoGhi op 21-11-2004 02:06 ]

Programmers don't die. They GOSUB without RETURN

zondag 21 november 2004 08:57

Acties:

0 Henk 'm!

Eichii

Ik had toch verwacht dat Norton 2004 toch een kleine update klaar zou hebben, maar ik heb ook bla.exe gevonden op mijn "C:".
Handmatig scannen geeft ook niet aan dat het eventueel een trojan is.

Zover ik heb kunnen lezen hebben mensen met Kaspersky AV en Macafee AV die wel kunnen detecteren. (tijd dus om heel snel over te stappen *zucht* en het was vroeger zo goed)

Naja, bestandjes gedelete en alle keys ook weg en hoop dat ik weer een beetje veilig ben.

p.s. hebben meerdere Norton mensen hier last van?

zondag 21 november 2004 09:09

Acties:

0 Henk 'm!

HellevUUr

Topicstarter

Ik ben nu thuis en heb norton ook draaien, maar Ilse heeft het probleem opgelost en de ads draaien weer op volle toeren.

En wellicht een beetje laat maar om 03:13 is het blijkbaar toch uit de nieuwssubmit gevist:
nieuws: Grote Nederlandse sites verspreiden urenlang trojan

zondag 21 november 2004 09:25

Acties:

0 Henk 'm!

PcDealer

HP ftw \o/

HellevUUr schreef op zondag 21 november 2004 @ 09:09:
Ik ben nu thuis en heb norton ook draaien, maar Ilse heeft het probleem opgelost en de ads draaien weer op volle toeren.

En wellicht een beetje laat maar om 03:13 is het blijkbaar toch uit de nieuwssubmit gevist:
nieuws: Grote Nederlandse sites verspreiden urenlang trojan

Had toch liever gezien dat ze als bron dit topic hadden genomen. Was toch iets terechter naar de GOT users toe, of niet André?

LinkedIn WoT Cash Converter

zondag 21 november 2004 11:57

Acties:

0 Henk 'm!

Verwijderd

Uit de FAQ die zometeen op startpagina/alert wordt gepubliceerd.

V: Hoeveel schade heeft ilse media hiermee opgelopen?
A: Dat weten we niet en vinden we op dit moment ook niet zo interessant. Wij concentreren ons nu op het voorkomen van schade bij onze gebruikers, en het herstellen van die schade als deze is aangericht. UPDATE 1: volgens een voorlopige schatting beloopt het schadebedrag bij ilse media direct ergens tussen de € 50.000 en € 100.000, nog afgezien van de schade die bij de gebruikers is opgetreden en moeilijker te meten is. Is er sprake van een moedwillige actie en kunnen de daders worden getraceerd, dan wacht hen hoogstwaarschijnlijk vervolging en zeker een kostbare civiele procedure. Wij vragen de technische community ons te helpen met het speuren naar de daders.

[ Voor 7% gewijzigd door Verwijderd op 21-11-2004 11:58 ]

zondag 21 november 2004 12:11

Acties:

0 Henk 'm!

dirkie

THE WORLD !!!!

Verwijderd schreef op zondag 21 november 2004 @ 11:57:
Wij vragen de technische community ons te helpen met het speuren naar de daders.

Met een beloning erbij heeft deze oproep misschien meer kans van slagen *hint hint*

Eat my shorts !

zondag 21 november 2004 12:20

Acties:

0 Henk 'm!

Verwijderd

Heb 'm gisteren ook getroffen - AVG's macro virus bescherming gaf de melding dat I-Worm/Bofra in bestand c[1].html gevonden was.
IE stond toen vast op het laden van (even gemangled) :
[norml]http://199.107.184.164_slash_u_slash_c.html[/]

Die IP is blijkbaar van MTV ofzo. Vaag.

iig kwam deze voort uit een ad via Falk AdSolution. Later nog gecontroleerd door zelf nu.nl te refreshen (meta tag) in een iframe. Geinige is dat enige tijd later de Falk AdSolution advertenties (links-onder) weg waren, terwijl die van DoubleClick (elders) er nog gewoon waren.

Het geinige is.. dit is niet de eerste keer dat er via Falk AdSolution een wormpie/trojan wordt verspreid. Zie ook een al ouder rapport (van ondergetekende) op de Keenspot fora :
http://forums.keenspot.com/viewtopic.php?p=1364494#1364494

't staat daar niet explicied beschreven, maar 'aslmain.js' zul je (volgens mij) terugvinden bij alle Falk AdSolution advertenties.

Wat mij betreft ligt de blaam dan ook bij :
1. De mensen die de boel hacken
2. De mensen van de gehackte machines
3. Falk's advertentie servers (zouden toch best kunnen scannen, en alleen serven als 't clean is?)
4. De mensen die de advertentieboel van Falk AG gebruiken
5. De mensen die getroffen worden (zoals ik al zei, AVG pikte 'm op - AVG is gratis)

Dus als IlseMedia et al. schade hebben ondervonden, dan zou ik die op Falk verhalen. Je mag tenslotte verwachten dat als je getekend hebt voor bepaalde advertenties (zeg maar 'algemeen'), dat je dan bijvoorbeeld niet porno advertenties staat te serven. Idem advertenties met virus/trojan/worm-zooi.

[ Voor 3% gewijzigd door elevator op 21-11-2004 12:38 ]

zondag 21 november 2004 12:22

Acties:

0 Henk 'm!

BoGhi

Inmiddels is de download van de fix ook geslaagd, zal wel aan mij hebben gelegen gisteren..

Programmers don't die. They GOSUB without RETURN

zondag 21 november 2004 12:48

Acties:

0 Henk 'm!

Verwijderd

dieFX schreef op zondag 21 november 2004 @ 12:11:
[...]

Met een beloning erbij heeft deze oproep misschien meer kans van slagen *hint hint*

Als je denkt dat dat helpt, dan wil ik degene die 'de gouden tip' geeft best de ultieme game-pc van die maand van Tweakers cadeau doen.

zondag 21 november 2004 12:55

Acties:

0 Henk 'm!

anandus

Verwijderd schreef op zondag 21 november 2004 @ 12:48:
[...]

Als je denkt dat dat helpt, dan wil ik degene die 'de gouden tip' geeft best de ultieme game-pc van die maand van Tweakers cadeau doen.

Ik denk dat zoiets averechts werkt, eigenlijk.
Via een legale manier kán je bijna niet achter de identiteit van de daders komen, als gewoon burger zijnde zonder speciale bevoegdheden (zoals NAV-gegevens opvragen bij de ISP aan de hand ven een IP), en tevens ben ik bang dat je een soort heksenjacht oproept op deze manier.

Volgens mij kan je dit beter door de desbetreffende instanties laten doen.
Maar dat is mijn mening.

"Always remember to quick save" - Sun Tzu

zondag 21 november 2004 13:02

Acties:

0 Henk 'm!

Preaper

...

anandus schreef op zondag 21 november 2004 @ 12:55:
[...]

Ik denk dat zoiets averechts werkt, eigenlijk.
Via een legale manier kán je bijna niet achter de identiteit van de daders komen, als gewoon burger zijnde zonder speciale bevoegdheden (zoals NAV-gegevens opvragen bij de ISP aan de hand ven een IP), en tevens ben ik bang dat je een soort heksenjacht oproept op deze manier.

Volgens mij kan je dit beter door de desbetreffende instanties laten doen.
Maar dat is mijn mening.

Neem maar aan dat de prijs pas wordt uitgereikt wanneer echt bewezen is dat de 'gouden tip' klopt. Door het uitstekende juridische systeem van Nederland is de kans minimaal(verwaarloosbaar) dat een onschuldige voor deze wan-actie opdraaid.

Ik objecteer, u eer.

zondag 21 november 2004 13:06

Acties:

0 Henk 'm!

Verwijderd

anandus schreef op zondag 21 november 2004 @ 12:55:
[...]

Ik denk dat zoiets averechts werkt, eigenlijk.
Via een legale manier kán je bijna niet achter de identiteit van de daders komen, als gewoon burger zijnde zonder speciale bevoegdheden (zoals NAV-gegevens opvragen bij de ISP aan de hand ven een IP), en tevens ben ik bang dat je een soort heksenjacht oproept op deze manier.

Volgens mij kan je dit beter door de desbetreffende instanties laten doen.
Maar dat is mijn mening.

Ik wil zeker niet oproepen tot illegale acties, laat dat duidelijk zijn. Maar een IP-adres van een vermoedelijke bron is inderdaad al voldoende, want de rest doet het 'bevoegde gezag'. Graag jullie adviezen - hier hebben veel mensen last van gehad. En we weten natuurlijk ook dat dit fenomeen alleen maar gaat toenemen en dan kan het in ieder geval geen kwaad om daar waar er actie ondernomen kan worden, dat ook daadwerkelijk te doen. En het zou me niets verbazen als jullie gezamenlijke technische kennis verder reikt dan die van het opsporingsapparaat.

Nogmaals: de beloning is alleen maar een idee. Schiet er maar op. (Op het idee, bedoel ik, voordat dat verkeerd wordt uitgelegd.

)

Paul

zondag 21 november 2004 13:13

Acties:

0 Henk 'm!

terabyte

kan denken als een computer

_{Ik zou ondertussen in de FAQ ook maar eens linkjes aanleggen naar XP SP2 (Microsoft website). De meeste mensen weten niet eens wat dat is.

En voor mensen die geen XP gebruiken een mooi linkje naar de FireFox en Opera site. Er wordt namelijk ook bepaalde antivirussoftware aangeraden door Ilse Media, dus het aanraden van alternatieve webbrowsers zou dan ook geen probleem moeten zijn}

edit:
Er is wel een link naar Windows Update, maar niet-XP gebruikers hebben daar niet zo veel aan, want ze zijn dan nog steeds vatbaar voor dit virus.

[ Voor 19% gewijzigd door terabyte op 21-11-2004 13:16 ]

zondag 21 november 2004 13:15

Acties:

0 Henk 'm!

Verwijderd

Ik denk dat het weinig nut heeft deze oproep te doen.
Tenzij mensen die GoT bezoeken de dader(s) kennen, is de enige die hierin helderheid kan brengen de Adhoster.

Ik zie echt geen enkele reden om aan te nemen waarom een enkele GoTer hierbij kan helpen.
Gisteren heb ik hier aanzienlijk wat tijd ingestoken en geen (echte) aanwijzingen verkregen die kunnen leiden tot de daders.

Dus jullie moeten echt bij de Adhoster zijn.

Ik wil Ilse Media hierbij verzoeken om het verzoek tot meehelpen aan de community in te trekken.

zondag 21 november 2004 13:17

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Het opnemen naar een link naar SP2 is natuurlijk een groot risico voor ilsemedia - SP2 breekt veel compatibiliteit met oude software en kan daarnaast grote (!) problemen veroorzaken als je PC al onder de ad/spyware zit

Als je op dit punt je PC nog niet voorzien hebt van SP2 betekent dat concreet dat je niet echt met security bezig houd en dan is de kans dat je ad/spyware hebt -helaas- ook erg groot

Begrijp me niet verkeerd - SP2 is een absolute must voor iedereen die Windows draait, maar bij een publiek als ilsemedia heeft zou ik met dit soort adviezen wel oppassen

zondag 21 november 2004 13:31

Acties:

0 Henk 'm!

max3D

Overigens vind ik het heel aardig dat Ilse Media actief op Got is, maar toch is dat niet de goede plek. Tweakers beheren hun systeem over het algemeen toch al behoorlijk en zeker de mensen die dit topic lezen.

De miljoenen 'gewone' gebruikers van startpagina, nu.nl etc moeten geïnformeerd en dat kan een stuk beter dan nu gebeurd. Er staat op nu.nl een onopvallend stukje in het veel minder gelezen rechterkader.

Waarom staat niet bovenaan de pagina, direct naast het nu.nl logo een banner met een waarschuwing? Waarom staat het bericht niet eens als nieuws op nu.nl (zelfs niet bij de digitale rubriek).

De meest gedupeerden komen er zo niet eens achter dat ze een probleem hebben. Ik vind het de verantwoordelijkheid van Ilse om haar eigen websites van hele duidelijke waarschuwingen te voorzien. Ja, dat schaadt het aanzien en de populariteit van die sites, maar zo bereik je wel de groep die straks onbewust meedraait in nog grootschaliger ddos attacks. Dát is de verantwoordelijkheid van Ilse.

zondag 21 november 2004 13:32

Acties:

0 Henk 'm!

Vipertje

ik zat zo eens met een vraagje die opgelopen schade jullie schaten tussen de 20.000 en de 50.000 waar is dan precies in geleden

zondag 21 november 2004 13:39

Acties:

0 Henk 'm!

wildhagen

Blablabla

martijnf: het gangbare spul denk ik... de manuren die mensen maken in het weekend (dus ook verhoogd tarief) die ze normaal niet maken, licentiekosten voor de door hen aangeboden antivirussoftware (netjes geregeld overigens), misgelopen inkomsten door reclame die niet getoond is (want tijdelijk geblokkeerd geweest).

Plus natuurlijk imagoschade, hoewel dat natuurlijk altijd lastig in te schatten is...

Virussen? Scan ze hier!

Pagina: 1 2 Volgende Laatste

Reageer