Antivirus 2009: binnen via een website

[gbon]

Beste forum-leden,

Gistermiddag en vannacht bezig geweest met het verwijderen van Antivirus 2009 op Vista. Onderzoek wijst erop dat ik deze rogue-melding krijg na het maken van een favoriet naar de site hxxp://www.dave-verdooner.net/ . Als je de link intypt in de adres-balk van IE7, dan is er geen probleem. Ga je er naartoe via een favorie (in mijn geval een bladwijzer in de link-gadget van iGoogle, dan krijg je de Antivirus 2009 meldingen. Ziet er betrouwbaar uit, heb zelf AVG en dacht dus dat er een update uitgevoerd werd: no way! Als ik nu de favoriet aanklik, dan komt de melding weer terug.

Kan iemand 'ns kijken wat er precies aan de hand is met die website, is mijn pc mss nog steeds besmet?
Ik heb de handmatige schoonmaakacties in registry, program files etc uitgevoerd, daarna scans met housecall, nod32 en AVG zelf.

Alvast bedankt!

Worteltje.

 

[Ellasar]

Ik heb even de link aangepast, we willen natuurlijk niet dat als dat de boosdoener is iemand anders besmet word he (ik vermoed van niet maar voor de zekerheid)
Daarnaast even je een eigen plekkie gegeven aangezien je sinds 2006 lid bent wist je natuurlijk ook allang dat inbreken op andermans topic niet toegestaan is

Kun jij eens kijken of
http://www.helpmij.nl/forum/showpost.php?p=2534902&postcount=2

op jou van toepassing is?

 

[gbon]

Hoi Ellasar,

Bedankt voor je aanpassing.
Redenen om in dit topic te plaatsen was, dat ik het altijd lastig vind als je op een zoekterm tig discussie-threads terugvindt, dit topic volgens aanbrenger opgelost was en ik denk dat haar probleem mss opgelost is, maar deze rogue meer aandacht verdient. Er gebeuren nog steeds gekke dingen met Antivirus 2009 en dit moet uitgezocht worden.

Enfin, genoemde GO.GOOGLE.COM Malware is niet van toepassing maar mss is het een nog niet ontdekt lek in mijn pc of die genoemde website.

Groet, Worteltje.

 

[lightframe]

gbon, de oorzaak zat niet in je eigen systeem. Na het installeren van het aangeboden bestand had je natuurlijk wél een probleem.

Wat is er gebeurt?
De "boeven" hebben toegang gekregen tot de server (niet voorzien van de noodzakelijke updates) waar de website op staat en hebben het .htaccess bestand aangepast. Meer hoeven ze niet aan te passen. Maar in de meeste gevallen zetten ze nog allerlei zoekwoorden c.q. verborgen spamlinks op de website.

Deze manier wordt steeds vaker gebruikt om bezoekers van een website te infecteren.
In 99,99% van de gevallen weet de eigenaar van de website hier echt helemaal niets van, dus kijk die er ook niet op aan. Natuurlijk is het wel handig om hem/haar even in te lichten.


In het .htaccess bestand wordt aangegeven dat wanneer een bezoeker van de website via Google (of andere zoekmachine) op de website beland, dan wordt die bezoeker automatisch doorgestuurd (302 redirect) naar ....vul maar wat in.

In dit geval naar een website met zo'n foute virusscanner die je laat zien dat je systeem is geïnfecteerd.Wat je ook aanklikt, je krijgt een bestand aangeboden.

Detectie is op dit moment beroerd, slechts 5 van de 39 virusscanners op www.virustotal.com detecteren malware in het bestand.

Zie rapport: http://www.virustotal.com/analisis/fe34f03e669e1015d080ddd83f9accb4




De bewuste redirects in het .htaccess bestand (wanneer de bezoeker via een zoekmachine op de site komt)

Dit geeft alwéér aan dat een verhaaltje als "ik bezoek alleen betrouwbare websites, ik heb geen virusscanner nodig" echt niet meer kan in deze tijd. Je kunt gewoon niets meer vertrouwen.

 

[gbon]

Lightframe bedankt!

In het geval van deze website, het werk wat erop staat is van een overleden genealoog, die zeer veel vrijwilligerswerk heeft gedaan. Anderen hebben dat voortgezet hier en dat is alleen maar te prijzen. Ik kijk niemand hierop aan, maar ben blij dat het probleem wat duidelijker is. Ik zal de eigenaar proberen te informeren.

Nogmaals bedankt, Worteltje

PS met welke reporting-tool heb je dit onderzoek gedaan? Ik wil het ook voor m'n eigen ws wel'ns testen.

 

[lightframe]

gbon, zoiets als die aangepaste .htaccess is makkelijk te controleren via deze website;

http://www.unmaskparasites.com/

Ook een normale redirect die onschuldig kan zijn zal worden aangegeven, maar in dit geval is wel duidelijk te zien dat het geen onschuldige links zijn waar je naartoe wordt gestuurd.


p.s. Ik had al een mailtje gestuurd naar het e-mail adres dat op die website van dave-verdooner.net bij contact staat vermeld.

 

[lightframe]

Kleine update;

Het schijnt dat ze niet het .htaccess bestand aanpassen maar een bestaand javascript op de website.

Resultaat is echter hetzelfde.

 

[beseda]

Beste,
ik heb ook een dergelijke besmetting opgelopen. Virusscanners en Ad-aware vinden niets op het systeem maar de pop-ups blijven verschijnen. Wat kan ik er aan doen om hier vanaf te komen?
Alvast bedankt.

 

[lightframe]

beseda, heb je Malwarebytes' Anti-Malware al geprobeerd?

Uitleg en downloadlinks vindt je hier.

 

[gbon]

En wat kunnen gebruikers doen als zo'n site als wxxxw.dave-verdooner.net de besmetting laat blijven bestaan?
Ik bedoel, er wordt gereageerd dat het ons probleem is, terwijl hun site gehacked is.

 

[lightframe]

En wat kunnen gebruikers doen als zo'n site als wxxxw.dave-verdooner.net de besmetting laat blijven bestaan?
Ik bedoel, er wordt gereageerd dat het ons probleem is, terwijl hun site gehacked is.

Zorgen voor een goede beveiliging en niet in die nep waarschuwingen trappen waarin vermeld wordt dat je computer besmet is en je huppeldepup moet downloaden.

Er zijn echt veel en veel meer websites besmet. Beetje beter opletten en niet alles vertrouwen kan echt geen kwaad.

 

[gbon]

Oké daar ben ik het helemaal mee eens. Je kan er dus niks tegen doen.:evil:

 

[peer]

In deze draad worden wijze dingen gezegd en goede raadgevingen gegeven. Doet mij denken aan een uitspraak van Held (hoofdbeheerder), ooit eens gedaan tijdens een gezellige Helpmijdag, die mij altijd is bijgebleven. Het was iets in de trant van: "De beste computerbeveiliging ben je zelf".

Ik zelf zal niet snel een dergelijk bestandje dat om installatie vraagt en van een willekeurige website komt, downloaden. Heb die altijd angstvallig genegeerd en tot nu toe heb ik al sinds 1992 (mijn eerste PC thuis) nooit problemen gehad met virussen en zo... maar ook ik ben mij bewust dat dit nog geen garantie voor de toekomst geeft... Ook ik kan er vroeg of laat intrappen...

 

[gbon]

Tja Peer2, het wordt steeds geraffineerder. In dit geval is de site volstrekt betrouwbaar, kwam er geen andere site in beeld en alleen een window met AVG-info (is toevallig ook mijn antivirusprogramma). In een gestresste situatie drukte ik per ongeluk op die OK knop (zoals ik al sinds 1989 doe), en daar was het leed al geschied.

Groet, Gerrit.

 

[peer]

Beste Gerrit,
Dat is ook precies wat ik bedoel. Waarschuwingen van je eigen antivirussoftware komen niet zomaar binnen in een willekeurige website... Die komen op vanuit het programma zelf via de statusbalk of zo... Tenminste dat denk ik en daarom ga ik altijd angstvallig om degelijke zaken heen, vooral wanneer gevraagd wordt om vanuit een dergelijke popup iets te installeren.

Ik heb twee dochters die al vanaf een jaar of 4 (nu zijn ze 16 en 18) met de computer omgingen. Ook die hebben nooit iets binnengehaald. Heb ze van kleins af aan ingeprent dat, wat er ook gebeurt en waar ze ook mee bezig waren, altijd "Peer" waarschuwen wanneer er een popup komt. Ook wanneer het om onschuldige online spelletjes ging. Wanneer ik er niet was deden ze niets en klikten nergens meer op tot ik thuis was. Ook zij hebben het met de paplepel binnengekregen en daar heb ik nu nog profijt van.... (en zij dus ook...)

 

[beseda]

Nee, die Malware-bytes Anti-malware kende ik niet en had ik dus ook niet gedraaid. Inmiddels heb ik hiermee het systeem gescand en zijn er twintig besmettingen verwijderd. Voorlopig lijkt deze opschoonactie afdoende te zijn geweest want tot nu toe blijven de pop-ups weg. En hopenlijk blijft dat ook zo.
Heel erg bedankt voor de goede tip!

 

[Sasper]

Download het programma malwarebytes anti malware. Doe Snelle scan en verwijder allee gesecteerde.

 

[Ellasar]

Late reactie waarbij de poster al een oplossing aangaf....
daarom gesloten