VirusAlert.nl logo
  23 oktober 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Titel:
Grote sites besmetten pc's voor massale spamaanval
Rubriek:
Virussen
Datum:
25 juni 2004
Bron:
(c) 2004, VirusAlert
Bericht:

Diverse grote sites zijn besmet met kwaadaardige code die zichzelf installeert en op de achtergrond een netwerk voor spamverzendingen bouwt.

Internetters die deze sites bezoeken downloaden zonder het te weten de kwaadaardige Javascript-code. De code wordt meegestuurd met een plaatje en zoekt vervolgens verbinding met één of twee ip-adressen in Noord-Amerika of Rusland. Van hieruit wordt vervolgens een keylogger geïnstalleerd.

De praktijken zijn ontdekt door NetSec, een bedrijf dat beveiligingsdiensten levert aan grote bedrijven en overheden. Het bedrijf ontdekte donderdag plotseling verdacht dataverkeer op diverse door hen beheerde netwerken, zegt Brent Houlahan, chief technology officer van NetSec.

Het bedrijf heeft hierop de logbestanden gecontroleerd en ontdekte dat wanneer internetters de besmette sites bezoeken - waaronder een grote veilingwebsite, zoekmachine en vergelijkingssite - zij ongemerkt worden geïnfecteerd met de kwaadaardige code.

Trojaans Paard
Vanaf het ip-adres in Rusland is al vaker spam verstuurd. Houlahan vreest dan ook dat de code een soort virtueel netwerk aan het opbouwen is om in een later stadium via de besmette pc's op grote schaal spam te versturen. Hij benadrukt wel dat NetSec de code nog aan het onderzoeken om de exacte werking te ontcijferen.

Ook het SANS Internet Storm Center, dat alle mogelijke gevaren voor de internetinfrastructuur in de gaten houdt, onderzoekt de uitbraak. Het onderzoekscentrum heeft inmiddels ontdekt dat de code ook een Trojaans paard installeert genaamd msits.exe. Wat het Trojaans paard exact doet, is nog niet bekend.

Grootschalige uitbraak
Het is nog onduidelijk op hoeveel systemen de bewuste code zich inmiddels ongemerkt heeft weten te nestelen. NetSec weigert de namen van de besmette sites te noemen, maar stelt dat het 'grote, erg grote sites' zijn.

Overigens denkt Houlahan dat niet de originele servers van de sites besmet zijn, maar waarschijnlijk de cacheservers van die bewuste sites. Of er een connectie is met de aanval op de cacheservers van Akamai eerder deze maand, is niet bekend.

Alleen servers met Microsofts IIS lijken overigens geïnfecteerd te kunnen worden met de kwaadaardige code. De code zelf heeft het vervolgens alleen voorzien op internetters met een Windows-pc in combinatie met Internet Explorer. Hoe de IIS-servers zelf besmet raken, is nog niet bekend.

Onderzoekers van het SANS Internet Storm Center vrezen dat er mogelijk sprake is van een zogenoemde zero-day exploit, waarbij er al een exploit rondwaart voor de leverancier van de gecompromitteerde software een oplossing heeft gevonden.

Om de schade enigszins te kunnen beperken, publiceert SANS geen lijst van besmette sites om verder misbruik te voorkomen. Wel constateren de onderzoekers dat de lijst lang is en namen bevat van bedrijven die geacht worden volledig gepatchte systemen te hebben.

Reactie plaatsen, log dan hier in
Link:
bron: WebWereld.nl
Advertentie:


 Reacties op dit bericht:
reactie door op 27 juni 2004 om 01:43.

Dit bericht hadden ze hier bij 'virusalert' er wel bij mogen zetten hoor .als ik dat zo eens mag zeggen he; heb namelijk deze Info Hier onder ergens anders vandaan moeten halen;
-
Aanval via besmette sites lijkt onder controle
Zaterdag, 26 juni 2004 - De internetaanval waarbij via besmette sites hacktools op computers werden ge´nstalleerd, lijkt onder controle. Nieuwe aanvallen worden niet uitgesloten.
De meeste sites die besmet waren, zijn inmiddels weer 'ontsmet' en veel providers hebben de toegang tot de servers die een Trojaans paard installeerden, geblokkeerd.

Volgens experts zijn de afgelopen week enkele duizenden websites ge´nfecteerd met een kwaadaardige code. Door de code kon een lek in Internet Explorer worden misbruikt, waardoor de pc's van internetters besmet werd met het virus 'Scob'.

De aanval, die waarschijnlijk zondag al begon, werd eind deze week pas ontdekt. Mogelijk zijn honderdduizenden pc's besmet geraakt, schat beveiligingsbedrijf iDefense. Virusbestrijders als Symantec en Sophos stellen evenwel weinig meldingen te ontvangen.

Dit betekent echter niet dat het gevaar is geweken, waarschuwt het SANS Internet Storm Center, dat alle mogelijke gevaren voor de internetinfrastructuur in de gaten houdt. De experts vrezen dat er mogelijk copycats opduiken die op een soortgelijke manier te werk gaan.

Russen
De aanval wordt in verband gebracht met een groep Russische virusschrijvers, bekend onder de naam Korgo. Volgens Mikko Hypp÷nen van F-Secure heeft deze groep ingebroken op de servers van enkele grote sites om hun kwaadaardige code te verspreiden.

Ook het onderzoeksteam van Sophos heeft het verband met Korgo gelegd. Graham Cluley van Sophos denkt niet dat Scob een groot gevaar vormt. Dit omdat veel servers inmiddels het lapmiddel (zouden moeten) hebben ge´nstalleerd en de Russische sites uit de lucht zijn.

Cluley waarschuwt wel dat dit kan veranderen. "Tot nu toe doet het nog niet veel kwaad, maar de hackers zouden internetters kunnen omleiden naar webadressen die wel werken." :


reactie door op 27 juni 2004 om 21:16.

Hoe is dat op onze computer te controleren of wij daar last van hebben,ziet onze virusscan dat of is er een andere manier om dat uit te vinden voor een leek zoals wij??

reactie door op 27 juni 2004 om 23:04.

Fijn Fijn Fijn!Jeetje, ben ff tijdje niet meer op deze site geweest, dus lees net weer wat over spam, nah eerlijk gezegd word ik er een beetje moe van, mensjes elke keer komen er wel weer virussen, trojans en blablabla!In het begin maakte ik me ook ontzettend druk dat kun je ergens bij reakties van mij op deze site terugvinden. Wel het telkens weer updaten, nieuwe antispam installeren weer unstall daarna, volgens mij haal je meer troep binnen dan dat er verdwijnt....wel 1 keer in de zoveel tijd gewoon ff je pc formatteren...weet jij veel hoeveel er in de HKEY_ dingen staan, nah da's zoveel en uh ik kan moeilijk alles wissen en weet ook nog geen eens welke HKEY geval er nou goed is of een virus bevat. Ik zou zeggen hoe meer en spannender al die waarschuwingen zijn over virussen hoe leuker het is om nieuwe te maken voor achterlijke idioten, je gaat inmiddels niet dood van een virus...je moet gewoon zorgen dat je geen belangerijke info op je pc hebt staan.Wat kan mij het schelen of er nu wel geen trojan op mijn pc komt, ik smijt geen waardevolle dingen op mijn pc...en ik formmatteer m toch eens in de zoveel tijd, man je pc raakt toch overvol van al dat geŘpdate en dat installeren van al die antivirus programma's...Virussen en dat soort dingen blijven er toch wel!
Ik maak me niet druk meer!Wat bedrijven betreft tja da's minder, maar daar kan ik ook niks aan doen, Nederland moet niet zo op hol slaan...en al die rotzooi komt altijd uit het buitenland!

reactie door op 1 juli 2004 om 19:10.

Kwint, daar heb je gelijk in. maar zoals ik (ik ben dan nog maar 15) maar ik weet eigelijk heel veel van computers. Ik kan ook de opstartregsitersleutel vinden, en als ik daar een verwijzing in zie staan die me inet bekend voorkomt, weet ik dat het waarschijnlijk een virus is. Ook heb ik de Norton Antivirus 2005 Beta al ge installeerd. die houdt al bijna alles tegen... Maar ik kan zo zelf zien of ik een virus heb of niet. daar heb ik geen scanner voor nodig. ik formatteer mijn PC ook eens in de zoveel tijd. Hij staat toch alleen maar vol met troep...

reactie door op 6 juli 2004 om 11:44.

Heey! Niels, ik heb last van een aantal virussen maar ik kan ze niet opschonen, als ik ze wil verwijderen geeft de computer aan dat ze op een beveiligd medium zich bevinden dus ik kan er niks tegen doen.. maar nu wil ik dus de hele computer formateren, maar ik heb daar niet zo veel verstand van.. ik zie dat jij er veel van weet.. zou jij een uitleg ofzo naar mijn email kunnen sturen of weet jij een site waar uitgebreid staat hoe ik mijn harde schijf kan formatteren? ik kan niks vinden

reactie door op 6 juli 2004 om 11:45.

mijn email is Sonnydejong@hotmail.com

reactie door op 14 juli 2004 om 08:45.

Ik vind het slecht van NetSec dat ze de namen/adressen van de websites niet geven. Als het heel grote sites zijn, dan zullen er veel mensen komen... denk aan dagelijks meer dan 10.000 bezoekers, en wat wil je nu liever? Voorkomen dat er 100.000den mensen besmet raken of een homepage "afkraken"...

Ik had het wel geweten!

reactie door op 15 juli 2004 om 15:02.

Wel mensjes als je veel over virussen wilt weten en hackers en trojans check dan ff mijn startpagina en dit is niet zomaar een startpagina zoals alle andere schaapjes in de wei pagina's die liknken naar sites wat nergens over gaat..wel ik hou me bezig met de onderwerpen over virussenwat ik boeiend vind en wat ik informatief vind..ik doe toch wel wat ik wil. Ik test zelfs trojan software uit op mijn eigen pc...wel mensen die dit lezen check ff http://www.nyana.favos.nl
om up to date te blijven ovre virussen en andere pc ziektes!!!

Groetjes DaniŰlle Kwint

reactie door op 15 juli 2004 om 15:04.

wel heb je het nog niet gecheckt???? www.nyana.favos.nl zei ik toch?!?!

reactie door op 19 juli 2004 om 01:24.

kunnen wij daar dan zelf iets aan doen?
je kan beveiligen zoveel je wil,maar op den duur schiet je er niks mee op.
ja er niet achter gaan zitten, en off line blijven. tsuus!

reactie door op 29 juli 2004 om 19:54.

Het gevaar zit 'm in de extensies. Sla je op in Rich Text Format
dan is het gevaar van virussen voor een groot deel geweken.
Men wist dit al, maar het wordt niet algemeen gepropageerd.

D.

reactie door - op 28 augustus 2004 om 11:45.

Hmm,

Laten we even 1 ding duidelijk stellen.

We zijn gedekt tegen de gedetecteerde virussen c.q. families elke beetje programmeur schijft 1 dag rustig een paar 1000 nieuwe virussen (in welke vorm dan ook) volledig automatisch. Kwestie van wat code hier en daar (automatisch) in je source veranderen. Het is wonderbaarlijk dat er niet meer virussen zijn c.q. families. Of zijn die programmeurs met verkeerde genen zo slecht? Denk het niet ik denk dat veel van die geesten iets te slim zijn..

Eigenlijk moeten we dit vertalen in wat er gedetecteerd is. Maar voordat er een paar zakken dit in hun hoofd krijgen moet je wel realiseren dat je door virussen ook goede organisaties die hun medemensen helpen b.v. in de derde wereld volledig lam kan leggen en in het ergste geval tot slachtoffers kan leiden.

Ik heb beroepsmatig veel contact met Microsoft en ook zei hebben hier geen passend antwoord op. Ook SP2 inclusief hardware is dit niet.

We zijn aan de goden overgeleverd daar komt het gewoon op neer. En ik kan het weten als ex C programmeur die zich veel met deze materie beroeps matig heeft bezig gehouden. Ook die https lek via redirection was al 5 jaar bekend voordat het wereld nieuws werd..

Virusvrij systeem? En hoe wou je dit controleren? En waarmee...en begin nou niet met het bekende geleuter van crc checks firewalls, spyware checkers en nog meer van dat meelul gewouwer etc...wel eens nagedacht hoe die dingen gebouwd zijn en van welke leverancier die troep weer kwam?

Het is 1 grote neerwaardse spiraal met 2 grote gemeenschappelijke delers, er wordt goed aan verdiend en moraalvervaging.

Beetje zwartkijkerij natuurlijk maar ik durf te wedden dat er heel wat systemen besmet zijn met virussen die tot nu toe nog niet ontdekt zijn. En die jongen verantwoordelijk voor 70% van de virussen ...laat me niet lachen ..van wat ze gedetecteerd hebben tot nu toe.

Dikke pakken boter hebben ze op het hoofd en er wordt goed aan verdiend.

anti4us software, security fixes,patches, trojan , adware , malware, firewalls, nieuw os, nieuwe hardware, cisco routers met virusscan checkers enzovoorts...compilers met overflow shit erin en vrolijk nog steeds worden gebruikt....

Zo erg vinden ze die virussen volgens mij ook weer niet ...er is gvd een complete industrie rondom ontstaan.

Voor alle duidelijkheid ik ben tegen virussen en die hele ellende. Anderzijds het houdt ons scherp echter .... we zijn nog niet scherp genoeg, we laten het maar allemaal over ons heen komen en verdienen onze centjes...virusje?

oooh ff dat filetje updaten en ff wat software downloaden....

Dit is geen solution op lange termijn..er moet eerst een ramp gebeuren voordat er werkelijk iets drastisch aan gedaan wordt..








reactie door op 13 september 2004 om 11:42.

Hallo, ik heb een vraag: Ik heb ineens problemen met Access. Telkens wanneer ik in Access werk wordt mijn computer uitgeschakeld. Weet iemand of dit een virus kan zijn en zo ja wat ik er aan kan doen om hier weer af te komen?
Ik wacht jullie reacties af.

reactie door op 5 oktober 2004 om 10:26.

hai Marjolein,
Zulke vragen kun je t beste op een help-pagina stellen bv helpmij.nl
Enne.....klinkt inderdaad als een virus! Heb je al ( met een andere , bv on-line) gescand ?

Succes!

Tamara



 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS