Plaats reactie
1
Vandaag een e-mail-bericht ontvangen [op het werk]
Op uw pc is een virus of trojan actief die verbinding maakt met een server in de Oekraïne.
De verbinding met deze server is door ons afgesloten en kan niet meer benaderd worden vanuit het xxxxx netwerk.
Dit om te voorkomen dat er misbruik wordt gemaakt van xxxxx informatie.

Het betref een nieuw zogenaamde "blackhole exploit kit" die door hackers gebruikt wordt om data zoals mail adressen, wachtwoorden te achterhalen of uw pc over te nemen.
Via Google kom ik onder andere onderstaande links tegen

http://community.websense.com/blogs/sec ... t-kit.aspx" onclick="window.open(this.href);return false;

http://threatpost.com/en_us/blogs/carbe ... voc-120511" onclick="window.open(this.href);return false;

http://nl.hardware.info/extern/nieuws/2 ... xploit-kit" onclick="window.open(this.href);return false;

http://www.security.nl/artikel/39332/Aa ... a-lek.html" onclick="window.open(this.href);return false;

Mijn vraag is: of die virus / trojan grote bedrijven/netwerk aanvallen of ook kleinere prive netwerk ::)

:sorry: Wellicht hoort deze vraag bij Beveiliging & Privacy

Alvast bedankt.
met vriendelijke groet, iEscape
born to be free is the way to freedom

Afbeelding
2
iEscape schreef:Vandaag een e-mail-bericht ontvangen [op het werk]
Op uw pc is een virus of trojan actief die verbinding maakt met een server in de Oekraïne.
De verbinding met deze server is door ons afgesloten en kan niet meer benaderd worden vanuit het xxxxx netwerk.
Dit om te voorkomen dat er misbruik wordt gemaakt van xxxxx informatie.

Het betref een nieuw zogenaamde "blackhole exploit kit" die door hackers gebruikt wordt om data zoals mail adressen, wachtwoorden te achterhalen of uw pc over te nemen.
Dit is wel komisch opzich, maakt gelijk duidelijk dat de mensen die acteren op de informatie die een security bedrijf aanleverd, jouw (zakelijke) ISP, geen idee heeft wat het allemaal exact betekend. Even er vanuit gaande dat je de informatie correct hebt overgenomen.

Een Blackhole exploit kit, is eigenlijk alleen maar een website die probeert om een stukje malware (Virus/Trojan) te installeren op een systeem van een bezoeker. Deze probeert dit te doen door misbruik te maken van een aantal software kwetsbaarheden zoals fouten in browser plugins, je browser zelf of je besturingssysteem. Plugins zijn de meest voorkomende waaronder Java, Flash en PDF, maar ook media spelers zoals Windows Media Speler en Realplayer/Quicktime zijn bijvoorbeeld het doelwit.

Blackhole is op dit moment de meest voorkomende commerciele (underground) exploit kit die beschikbaar is, het is zowel beschikbaar in de vorm van een software pakket dat je op je eigen server kunt installeren, maar ook in managed vorm. Dat wil zeggen, je kunt een Blackhole instantie huren en je hoeft je geen zorgen te maken over waar deze exact gehost wordt en hoe deze bereikbaar is.

Hoe kom je nu als gewone 'internetter' op zo'n exploit kit? Eigenlijk zijn er een aantal methodes die gebruikt worden, de eerste is een veel voorkomende en dat is het aanpassen van webservers waar de aanvaller toegang toe heeft gekregen door middel van gestolen gegevens in zijn botnet (kom ik later op terug). Deze aangepaste webservers (eigenlijk aangepaste HTML, Javascript, zelfs PHP en ASP) bevatten dan op een bepaald punt een klein stukje code die de bezoeker doorverwijst naar de eerder genoemde exploit kit. Er zijn tools beschikbaar die dit automatisch doen, deze worden bijvoorbeeld 'iframers' genoemd omdat een veel gebruikte techniek het injecteren van een HTML iframe element was. In deze dagen wordt echter veelvuldig gebruik gemaakt van javascript, wiens code in matroska stijl erg geobfusceerd kan worden, zodat een virus scanner moeite heeft met het analyseren van dergelijke code. Er zijn bijvoorbeeld ook javascript crypters speciaal voor dit doel, die commercieel beschikbaar zijn, bijvoorbeeld de website crypt .im (heengaan op eigen risico) welke gemaakt is door de auteur van Blackhole en wordt gebruikt om de code elementen die bijvoorbeeld doorverwijzen naar een exploit kit te maskeren zodat een virusscanner deze niet oppikt. Zoals je op dit site kunt zien, zijn er 2 crypters beschikbaar die op het moment van schrijven allebei niet worden gedetecteerd:

Code: Selecteer alles

03.03.2012 17:32
    cryptor1
    0/35
03.03.2012 17:17
    cryptor2
    0/35
Andere methodes die gebruikt worden om bezoekers door te verwijzen zijn spam links, bijvoorbeeld valse Facebook invites, waarbij de link naar een pagina wijst waarop wordt gepoogd om de bezoeker een 'flash update' te laten installeren, maar op de achtergrond wordt de bezoeker ook nog eens doorverwezen naar een exploit kit.

Een andere tak van sport is het gebruiken van advertentie servers, uiteraard kun je advertenties plaatsen die uiteindelijk doorverwijzen naar een exploit kit. Hiervoor kunnen de aanvallers gebruik maken van gestolen creditcard gegevens die met behulp van hun botnet gestolen zijn, of gewoon op een van de vele creditcard uitwissel fora die er zijn. Met deze methode kunnen zeer getarget, bijvoorbeeld alleen Nederlandse, bezoekers gelokt worden. Een andere methode is het misbruiken van software kwetsbaarheden of gestolen accounts in populaire advertentie software, zoals OpenX. Hiermee kan er simpel een link naar een exploit kit worden ingenomen in het stukje HTML code wat een banner op een site moet plaatsen.

Een exploit kit in het algemeen is erg zichtbaar, er zijn er honderden tegelijk actief op het Internet en er worden grote hoeveelheden bezoekers naar aangetrokken. Hierdoor komen ze binnen zeer korte tijd op URL blacklists die in firewall en anti-virus producten worden gebruikt. Op bijvoorbeeld scan4you .net en virtest .com kunnen exploit kit eigenaren testen of hun exploit kit in een URL blacklist staat, hierdoor weten ze wanneer ze bijvoorbeeld van domein of IP moeten wisselen. Hierdoor wordt er dus snel gewisseld tussen domeinen, tientallen per dag, en vaak ook regelmatig van IP. URL blacklists gebruiken namelijk over het algemeen domein namen om een blokkade te doen, omdat je ook te maken hebt met shared hosting. En je wil niet hebben dat een shared hosting provider of load balancing diens compleet geblokkeerd wordt vanwege 1 exploit kit op 1 van hun klant accounts. Er wordt ook veelvuldig gebruik gemaakt van VPS systemen, deze zijn zeer snel op te zetten, met een uurtje heb je vaak al een compleet draaiende server waar je de exploit kit, of een proxy naar je exploit kit op kunt installeren, deze staan gewoon midden tussen allerlei normale servers en het blokkeren van die hosting ISP is dus ook geen optie.

Pas als een exploit kit succesvol een bezoeker geinfecteerd heeft, kan deze bezoeker zich pas echt zorgen gaan maken. Malware infecties hebben veel gevolgen zoals het lekken van allerlei wachtwoorden en andere persoonlijke en belangrijke gegevens. Maar er is dus een groot verschil tussen een bezoek aan een exploit kit, wat voor veel mensen regelmatig een keer het geval is, en ook daadwerkelijk besmet raken met malware, waarvoor je inderdaad outdated software op je systeem moet hebben, of in een trucje trappen zoals het installeren van een valse 'flash update'.

Terugkomend op je vraag, een exploit kit zelf steelt dus geen wachtwoorden, mail addressen of neemt niet direct je PC over. En het blokkeren van de site heeft wellicht een tijdelijke werking, maar is niet echt een bescherming waar je jezelf afhankelijk van wil maken. De Blackhole exploit kit is dus ook niet selectief in grote bedrijfs netwerken, kleine netwerken of gewoon iemand thuis, je moet maar net het ongeluk hebben dat je op een website komt of op een link klikt die je doorstuurd naar een exploit kit. Belangrijk is dus, update je software en maak eventueel gebruik van software die dit proces automatiseerd.
3
@ msandee,

:dank: voor jouw reactie en zeer interessante & duidelijke informatie :cool:
Ja, ik heb de informatie correct overgenomen [middels kopiëren & plakken].

Wél heb ik de ‘oplossing’ niet geplaatst, waarom . . . . . ::)
Ik vond het hele bericht in de eerste plaats ‘raar/vreemd’, en de oplossing [deels] ook.
Dat is in feite mijn reden om het bericht op dit forum te plaatsen, voor meer duidelijkheid [second opinion] voor mezelf.

Wie de zakelijke ISP is weet ik nu niet, kan volgende week wel achter komen.
met vriendelijke groet, iEscape
born to be free is the way to freedom

Afbeelding
4
msandee schreef:Dit is wel komisch opzich, maakt gelijk duidelijk dat de mensen die acteren op de informatie die een security bedrijf aanleverd, jouw (zakelijke) ISP, geen idee heeft wat het allemaal exact betekend.
U slaat werkelijk de spijker op zijn kop en wil U dan ook zeer complimenteren voor het complete bericht. Het staat namelijk in begrijpelijke taal geschreven en niks is onder de bekende stoelen of banken gestoken. :bow:

Als ik het nu allemaal zo lees dan is de blackhole exploit kit een behoorlijk gevaar op het internet en de consument is daar de dupe van?

Waarom bericht de reguliere media ons hier niet over terwijl hen ongetwijfeld weten welke gevaren er allemaal zijn. Sorry maar ik kan echt niet bevatten.
Neem mij niet kwalijk en niks ten onrechte over uw bericht, maar nu ik dit lees twijfel ik toch erg aan het veilige internet.
5
Harry schreef: U slaat werkelijk de spijker op zijn kop en wil U dan ook zeer complimenteren voor het complete bericht. Het staat namelijk in begrijpelijke taal geschreven en niks is onder de bekende stoelen of banken gestoken. :bow:
Geen probleem, ik doe het graag.
Als ik het nu allemaal zo lees dan is de blackhole exploit kit een behoorlijk gevaar op het internet en de consument is daar de dupe van?
Opzich, de echte oorzaak is dat software kwetsbaarheden een behoorlijk gevaar zijn. De exploit kits (blackhole is maar 1 van de...) maken slechts misbruik, en het resultaat kan van alles zijn... (de resultaten zie je hier regelmatig op het forum, van informatie stelende trojans tot afpersende scareware). Helaas dit is de realiteit van de dag en wij kunnen er weinig tegen doen, niet dat ik het opgeef, maar na jaren zwoegen merk ik hoe weinig impact we met z'n allen hebben en we dweilen met de kraan open.
Waarom bericht de reguliere media ons hier niet over terwijl hen ongetwijfeld weten welke gevaren er allemaal zijn. Sorry maar ik kan echt niet bevatten.
Neem mij niet kwalijk en niks ten onrechte over uw bericht, maar nu ik dit lees twijfel ik toch erg aan het veilige internet.
Goede vraag, we hebben er wel eens met journalisten over gehad, maar blijkbaar is dit alleen iets wat ons vak-gekken bezig houd en denken ze dat de gemiddelde consument het toch niet snapt... Ook omdat er geen direct slachtoffer is aan te wijzen behalve de argeloze internetter vinden ze het maar niets. Zodra het echter bijvoorbeeld een bank of andere grote instantie betreft zitten die aasgier journalisten er gelijk bovenop... Helaas zo zit de media in elkaar en daar gaan we niets aan doen.
6
@ msandee,
msandee schreef: Een Blackhole exploit kit, is eigenlijk alleen maar een website die probeert om een stukje malware (Virus/Trojan) te installeren op een systeem van een bezoeker. Deze probeert dit te doen door misbruik te maken van een aantal software kwetsbaarheden zoals fouten in browser plugins, je browser zelf of je besturingssysteem. Plugins zijn de meest voorkomende waaronder Java, Flash en PDF, maar ook media spelers zoals Windows Media Speler en Realplayer/Quicktime zijn bijvoorbeeld het doelwit.
als aanvulling, zie vooral reactie van bigmomma27, voor alle fan van Spotify :pray:
http://www.goeievraag.nl/vraag/site-betrouwbaar.179798" onclick="window.open(this.href);return false;
msandee schreef: Pas als een exploit kit succesvol een bezoeker geinfecteerd heeft, kan deze bezoeker zich pas echt zorgen gaan maken. Malware infecties hebben veel gevolgen zoals het lekken van allerlei wachtwoorden en andere persoonlijke en belangrijke gegevens. Maar er is dus een groot verschil tussen een bezoek aan een exploit kit, wat voor veel mensen regelmatig een keer het geval is, en ook daadwerkelijk besmet raken met malware, waarvoor je inderdaad outdated software op je systeem moet hebben, of in een trucje trappen zoals het installeren van een valse 'flash update'.
ook mogelijk via e-mail bijlage ::) zie Summary: The Infection Flow -> screenshot http://blog.imperva.com/2011/12/deconst ... t-kit.html" onclick="window.open(this.href);return false;
met vriendelijke groet, iEscape
born to be free is the way to freedom

Afbeelding
7
msandee schreef:Opzich, de echte oorzaak is dat software kwetsbaarheden een behoorlijk gevaar zijn. De exploit kits (blackhole is maar 1 van de...) maken slechts misbruik, en het resultaat kan van alles zijn... (de resultaten zie je hier regelmatig op het forum, van informatie stelende trojans tot afpersende scareware). Helaas dit is de realiteit van de dag en wij kunnen er weinig tegen doen, niet dat ik het opgeef, maar na jaren zwoegen merk ik hoe weinig impact we met z'n allen hebben en we dweilen met de kraan open.
Ik lees hier een gedeelde mening als; 1) Niets tegen kunnen doen 2) Niet willen opgeven en als conclusie dat het dweilen met de kraan open is.
Nu vraag ik mij dan werkelijk af waar het schort en hoe wij als gebruiker er tussen staan?
msandee schreef:Goede vraag, we hebben er wel eens met journalisten over gehad, maar blijkbaar is dit alleen iets wat ons vak-gekken bezig houd en denken ze dat de gemiddelde consument het toch niet snapt... Ook omdat er geen direct slachtoffer is aan te wijzen behalve de argeloze internetter vinden ze het maar niets. Zodra het echter bijvoorbeeld een bank of andere grote instantie betreft zitten die aasgier journalisten er gelijk bovenop... Helaas zo zit de media in elkaar en daar gaan we niets aan doen.
Mag ik hier op antwoorden met goede vraag / goed antwoord?
Ik begrijp de gehele kennisgeving alsmede de vak-gekken die U aangeeft, Maar die vak-gekken, laat ik het even afgekort profs noemen zie je maar bar weinig?
1) Bij de KPN is er een probleem 2)In de media is er veel aandacht 3)Speculatie / geruchten en dat is 1+2=3(onroer) http://www.pcwebplus.nl/phpbb/viewtopic ... 213&t=5863" onclick="window.open(this.href);return false;
msandee schreef:Opzich, de echte oorzaak is dat software kwetsbaarheden een behoorlijk gevaar zijn.
Terugkomend op bovenstaande, is dit geheel dan voornamelijk te verwijten aan de gebruiker als ik het goed begrijp. Die een achterstallige een computer heeft?
8
Harry schreef:Waarom bericht de reguliere media ons hier niet over terwijl hen ongetwijfeld weten welke gevaren er allemaal zijn. Sorry maar ik kan echt niet bevatten.
msandee schreef:Goede vraag, we hebben er wel eens met journalisten over gehad, maar blijkbaar is dit alleen iets wat ons vak-gekken bezig houd en denken ze dat de gemiddelde consument het toch niet snapt... Ook omdat er geen direct slachtoffer is aan te wijzen behalve de argeloze internetter vinden ze het maar niets. Zodra het echter bijvoorbeeld een bank of andere grote instantie betreft zitten die aasgier journalisten er gelijk bovenop...
Harry schreef:1) Bij de KPN is er een probleem 2)In de media is er veel aandacht 3)Speculatie / geruchten en dat is 1+2=3(onroer) viewtopic.php?f=213&t=5863
In (quote 3) geef je nu al eigenlijk antwoord op je eigen vraag in (quote 1) naar aanleiding van het antwoord van msandee in (quote 2). Om deze reden worden naar mijn mening vaak dan ook bepaalde zaken binnenskamers gehouden om een negatief effect en aansluitend het verstrekken van verkeerde of niet sluitende informatie te voorkomen.
De KPN die je als voorbeeld geeft is natuurlijk niet echt een goed voorbeeld in dit geval en ik denk zelf dat er genoeg door de media bericht wordt als het om problemen gaat die gebruikers kunnen duperen en zeker op het internet. Soms is het allemaal niet zo (high-tech) maar daar zit je als gebruiker ook niet op te wachten, de gemiddelde Nederlander wil namelijk IMHO informatie in begrijpelijke taal voorgeschoteld krijgen. :P
Harry schreef:Nu vraag ik mij dan werkelijk af waar het schort en hoe wij als gebruiker er tussen staan?
Ik denk niet dat er ergens iets (schort), het internet heeft net zoals de real-life wereld een donkere / duistere kant. In real-life kan de Politie ook niet 24/7 (all-over-the-place) misdrijven voorkomen en de bevolking beschermen. Op het internet is dit idem-dito en moet je als eind-gebruiker altijd op je hoede zijn en zorgen voor een goede beveiliging en vooral belangrijk is het zorgen dat je geïnstalleerde software up-to-date is en dan voornamelijk Java, Flash, Browser(s) en geïnstalleerde add-ons / plugins etc.
Zoals (msandee) al terecht schrijft is het 'dweilen met de kraan open' en daar zal niets aan veranderen ook al zet je nog zo'n groot (cyberleger) in die 24/7 actief is.
If it ain't broken, don't fix it
9
msandee schreef:Een Blackhole exploit kit, is eigenlijk alleen maar een website die probeert om een stukje malware (Virus/Trojan) te installeren op een systeem van een bezoeker. Deze probeert dit te doen door misbruik te maken van een aantal software kwetsbaarheden zoals fouten in browser plugins, je browser zelf of je besturingssysteem. Plugins zijn de meest voorkomende waaronder Java, Flash en PDF, maar ook media spelers zoals Windows Media Speler en Realplayer/Quicktime zijn bijvoorbeeld het doelwit.
Als het alleen een website is hoe kan AVG dan bij mij elke keer Exploit Blackhole Exploit blokkeren als ik geen websites of browsers heb geopend?
Spybot en Malwarebytes vinden niks maar AVG blijft meldingen geven vooral als ik de computer net aan heb gezet?
11
Het kunnen zoals eerder gesteld cached files zijn, of files in de download folder. Die blijven daar staan, en waarschijnlijk had je virusscanner op het moment dat je de exploit kit bezocht nog geen detectie... pas toen de detectie werd toegevoegd aan je scanner sloeg hij ineens alarm (te laat uiteraard, maar in het kader, beter laat dan nooit...) ;)

Maar een andere reden kan zijn dat er signatures gemaakt zijn voor een component wat helemaal niets met blackhole te maken heeft, bijvoorbeeld een onderdeel van een trojan wat steeds tevoorschijn komt, gedetecteerd en verwijderd wordt.

Ik heb geen concreet voorbeeld daarvan, ik denk dat het ook niet dat is in dit geval, maar bijvoorbeeld exploits van andere exploit kits worden steevast ook als 'blackhole' of 'blacole' gedetecteerd. De mensen die de signatures maken hoeven niet perse kennis te hebben van hoe alles in elkaar zit, dat is zelfs meer regel dan uitzondering, anders zou het allemaal veel geld kosten... en zeg nou zelf, signatures maken is net lopende band werk, dat heb je snel gezien dus logisch dat daar niet de beste mensen aan werken over het algemeen :)

Zonder het concreet te maken met wat logfiles/file locaties e.d. is het lastig om exact uit te leggen hoe het zit :)
12
msandee schreef:Zonder het concreet te maken met wat logfiles/file locaties e.d. is het lastig om exact uit te leggen hoe het zit
Dit is wat er in het scherm van AVG staat ik weet niet of je hier iets aan hebt?
threat detected!
file name: C:\Documents and Settings\All Users\Local Settings\Temp\hrfgughfds.exe
threat name: Exploit Blackhole Exploit Kit (type 1889)
process name: C:\Windows\explorer.exe
Ik heb al een stuk of drie keer systeemherstel gedaan en dan lijkt het even weg te zijn maar na een keer opnieuw opstarten komt AVG weer met die meldingen.
14
Bedankt Maxstar maar ik had op aanraden al Hitmapro gebruikt en het probleem is nu verholpen.
Ik ga toch maar een andere virusscanner gebruiken dan AVG.
Suggesties zijn welkom.

Fijn weekend en dank jullie wel allemaal. :dank:
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “Beveiligingssoftware (algemeen)”