Nu.nl gehackt en verspreidt rootkit-virus via Java-exploit (UPDATE)

Tomas 14 maart 2012 2 Bron: Nu.nl, Security.nl, Twitter
Via de populaire nieuwssite Nu.nl is er een uur lang malware verspreidt. Na een hack van het content management system, kortweg CMS, wist een stukje code in de JavaScript-bestand te plaatsen waardoor er malware uit India werd geladen.

De kwaadaardige code maakte gebruik van een verouderde Java-versie. Er werd een neppe updatemelding getoond en als mensen toestemming gaven, werd de Sinowal-rootkit geïnstalleerd. Volgens beveiligingsbedrijf SurfRight zijn er sowieso al tientallen meldingen van infecties op bedrijfsnetwerken. Alle bekende anti-virustools, zoals AntiVir, Avast, AVG, McAfee, Security Essentials, NOD32 en TrendMicro waren kansloos tegenover de rootkit. Wel gaven verscheidene virusscanners een melding van de verdachte redirect naar de Indiase server.

De rootkit infecteert het MBR, het Master Boot Record. Het MBR is onder andere verantwoordelijk voor het dual-boot-menu op systemen met meerdere besturingssystemen. Terwijl het MBR zijn werk doet, is de virusscanner nog niet actief. Gezien de Secure Boot-functionaliteit van Windows 8, die het MBR extra beschermt, zijn alleen gebruikers van Windows 8, Linux en Mac OS waarschijnlijk niet geïnfecteerd.

Je kunt jezelf controleren op de rootkit door een kijkje te nemen in de systeembestanden van Windows. Voor Windows XP ga je naar C:\Documents and Settings\je gebruikersnaam\Application Data. Zorg dat “Verborgen bestanden, mappen en stations weergeven’ staat aangevinkt en ‘Beveiligde besturingssysteembestanden verbergen’ staat uitgevinkt in de mapopties van je Windows Verkenner. Staan er EXE-bestanden met een naam van een stuk of zes tekens, dan heb je de rootkit opgelopen. Voor Windows 7 en Vista gelden dezelfde stappen, maar dan moet je in C:\Gebruikers\je gebruikersnaam\AppData\Roaming kijken.

De Sinowal-malware wordt vooral gebruikt om bankgegevens te stelen en om andere virussen en trojans te installeren. Als je de afgelopen uren een bezoek hebt gebracht aan Nu.nl, adviseren wij je om een aantal (gratis) rootkittools als TDDSKiler, HouseCall en GMER te draaien. Nadat de rootkit is verwijderd, is het handig om nog even Malwarebytes Anti-Malware te laten lopen om gedownloade rotzooi te verwijderen. Probeer de mogelijkheden tot verbinding met internet, gezien de downloads van andere malware, zo beperkt mogelijk te houden.

Volgens Nu.nl is de website inmiddels weer veilig.

De exploit in werking, foto van Erik Loman

2 Reacties »

  1. LUUD18 14 maart 2012 at 17:42 - Reply

    Wat voor nut het heeft om deze site te hacken? Vind hackersgroepen zoals anonymous super maar een nieuwssite hacken vind ik echt triest

  2. maussie95 14 maart 2012 at 19:13 - Reply

    Hahaha, wie heeft er een rootkit van de BePpers?

Laat een reactie achter »