Nieuws

100.000 NU.nl bezoekers mogelijk besmet met malware

Bron: Security.nl - 15-03-2012
De malware die gisteren op NU.nl verscheen heeft mogelijk 100.000 computers geïnfecteerd. Dat blijkt uit een extrapolatie van het Delftse beveiligingsbedrijf Fox-IT. De beveiliger heeft bij bedrijven sensoren staan die dreigingen waarnemen en maakte aan de hand van het aantal waargenomen infecties deze schatting. Het bedrijf waarschuwde de nieuwssite voor de besmetting. Via onbevestigde bronnen zouden er bij één bedrijf 500 infecties hebben plaatsgevonden.

Een aanvaller wist gisteren de inloggegevens van het CMS te bemachtigen en plaatste vervolgens een script op de nieuwssite. Via dat script werden mensen met een verouderde installatie van Adobe Reader en Java geïnfecteerd. In tegenstelling tot wat gisteren werd beweerd, vond de infectie niet tussen 11:30 en 12:30 plaats, maar tussen 11:30 en 13:40. Het kwaadaardige script werd uiteindelijk zelf door NU.nl gevonden en verwijderd.

Formatteren
Tijdens de aanval werd een nieuwe variant van de Sinowal Trojan geïnstalleerd. Volgens Erik Loman van het beveiligingsbedrijf Surfright, tevens maker van HitmanPro, kan nog geen enkel programma de malware verwijderen als die geïnstalleerd is. Er zou inmiddels een bètaversie van HitmanPro ontwikkeld zijn die Sinowal wel kan verwijderen. 'Die wordt nu getest', aldus Loman tegenover Security.nl. 'Zodra die klaar is wordt die beschikbaar gesteld.'

De malware infecteert de Master Boot Record (MBR) van de harde schijf, die wordt gebruikt om Windows te laden. Hierbij plaatst Sinowal een aantal 'hooks' om de harde schijf heen. Wie de MBR onderzoekt krijgt een schone versie gepresenteerd. 'Het is juist die hook die erg ingewikkeld is.' Doordat de malware zich in de MBR verstopt, is het formatteren van de harde schijf niet voldoende, aangezien de malware dan vanuit de MBR de schone Windows opnieuw kan besmetten.

'Wie kennis van zaken heeft kan vanaf een boot cd opstarten en dan het commando fix mbr draaien. Dan is het ook opgelost, aangezien vanaf de CD-rom wordt opgestart en niet vanaf de geïnfecteerde MBR', laat Loman weten. 'Veel mensen kunnen dat echter niet.'

Waakhond
De werking van de nieuwe Sinowal was gisteren al duidelijk. De rootkit is echter beschermd door een digitale waakhond, die de geïnfecteerde MBR weer terug plaatst als die door beveiligingssoftware wordt verwijderd. 'Daarom duurde de bestrijding zolang, aangezien we de waakhond moesten uitschakelen.'

Sinowal zou al sinds 2006 bestaan, maar het gaat hier om een geheel nieuwe variant. 'Wat ook interessant aan deze variant is dat de droppers een tijdcode gebruiken.' Deze code zorgt ervoor dat de malware pas na een bepaalde tijd de MBR infecteert. 'Dat doet ie op zijn eigen gemak. Hij kiest zelf wanneer hij gaat infecteren.' Daardoor kan de infectie ook pas na een paar uur plaatsvinden.

Is uw computer veilig? Laat uw computer checken door DigiProfs!

Meer nieuws? Meld u aan voor de maandelijkse nieuwsbrief van DigiProfs.

Overzicht Security Monitor

• 25-04-2012 Trojan EyeStye zorgt voor stijging malware in Nederland
• 23-04-2012 DNS-virus kan internet deze zomer verstoren
• 20-04-2012 Ook inbrekers vieren vakantie, meestal van uw geld
• 19-04-2012 Hackers misbruiken kersvers Microsoft Office-lek
• 18-04-2012 Groeiend Mac-virus besmet 800.000 computers
• 16-04-2012 Microsoft Security Essentials mist meeste malware
• 10-04-2012 Microsoft: support Vista stopt nu
• 06-04-2012 Pornosites hotspot voor computerinfectie
• 23-03-2012 'Wij ondersteunen bedrijven bij het inrichten van thuiswerkplekken'
• 15-03-2012 100.000 NU.nl bezoekers mogelijk besmet met malware
• 14-03-2012 Microsoft dicht gapend gat in Windows Remote Desktop
• 12-03-2012 Cybercriminelen leggen zich toe op internetbankieren en smartphones
• 08-03-2012 Nederlander verprutst 8% werktijd aan ICT-problemen
• 06-03-2012 ‘Je merkt niet dat het een elektrische auto is’
• 02-03-2012 Trojaans paard kan 137 banken beroven