Op woensdag 14 maart is de website www.nu.nl gehackt. Hebt u de site tussen 10:30 en 13:45 bezocht, dan kan uw systeem besmet zijn geraakt met een variant van de ‘Sinowal’ malware.

De hacker heeft misbruik gemaakt van een tot dan toe nog onbekende kwetsbaarheid in het Content Management System (CMS) van nu.nl. Hierbij heeft de site enige tijd geprobeerd de computers van de bezoekers te besmetten met malware.

Bent u kwetsbaar?
Alleen systemen die Windows gebruiken en een verouderde versie van Java of Adobe Reader waren kwetsbaar. U kunt zelf controleren of uw systeem kwetsbaar is op: http://sijmen.ruwhof.net/js/nu.nl-infectietest/

Wat doet Sinowal?
De Sinowal malware is in staat om financiële gegevens van uw systeem te achterhalen, wachtwoorden te stelen en sessies voor online bankieren te kapen. Gelukkig lijkt het erop dat de versie die op nu.nl heeft gestaan niet goed werkt en er geen gegevens doorgespeeld worden. Desondanks raden wij u aan om uw systemen te controleren op infectie.

Check uw systemen
Controleer uw systemen op infectie met behulp van Hitman Pro: http://www.surfright.nl/nl/hitmanpro/. Deze versie is speciaal aangepast om de Sinowal variant die op nu.nl stond te herkennen. U kunt uw systeem éénmalig opschonen zonder het product af te nemen.

Meer informatie
De website van het Nationaal Cyber Security Centre: https://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Virussen+en+wormen/WD-2012-025+Nieuwssite+NU.nl+verspreidde+malware.html

Een uitgebreidere analyse kunt u vinden in het rapport van het beveiligingsbedrijf Fox-IT:
http://blog.fox-it.com/2012/03/16/post-mortem-report-on-the-sinowallnu-nl-incident/

Jacques Schuurman

Jacques is Security Officer bij XS4ALL

Deel dit:

Reacties

  1. Unless you take timе to go through the files meticulously, уou ωill not discoveг the ρrobable errors that are on your own plan
    and mіght wіnd up ρaying out in
    the enԁ. Whіle driving, thе oωneг is alsο reѕponsible foг thе security
    of the fellow pasѕengеrs. Damage due
    to natural сalamіties likе earthquake, fiгe,
    floοd, hurricane, landslidе, lightning, inundatiοn аnԁ many morе are сovered by the poliсy.

  2. Beste eigenaar van: xs4all.nl,
    Het programma, welke in het filmpje te zien is, mag u gratis aan uw bezoekers weggeven.
    Zo kunt u uw bezoekers een zeer handige tool aanreiken
    en heeft u een mooie manier om uw e-mail lijst te maken.

    Ga hiervoor naar de website die in het filmpje te zien is en download de bestanden.

    (voor Mac en PC)

    http://www.youtube.com/watch?v=5NejM_NxfqM

    Met vriendelijke Groet,

    Frans

  3. Don van Riet says:

    Met Hitmanpro 3.x heb ik wat mindere ervaringen (er blijft altijd wat van achter na gebruik en soms levert hij systeemcrashes op). Op een andere PC hier in huis heb ik de Kaspersky-scanner voor Nu.nl “TDSSKiller.exe” succesvol ingezet om Sinowal daarop te verwijderen. Toen deze scanner hem vond werd ook MS security Essentials alsnog “wakker” op deze bedreiging. Overigens komen er twee zaken tegelijk via Sinowal op de PC te staan: een Trojan en de malware zelf om de bankgegevens te stelen.

  4. Ron says:

    Je moet dan wel even de software laten weten dat deze sites en software veilig zijn
    Alles werkt perfect en uiteraard was mijn systeem al geheel up to date dus geen centje pijn :)

  5. Erik Loman says:

    F-secure geeft een false positive op onze 32-bit download. We hebben inmiddels contact opgenomen met F-secure.

    Onze download site is Safe:
    http://browsingprotection.f-secure.com/swp/result?url=http%3A%2F%2Ffiles.surfright.nl&lang=ENG

    Ik heb de download ook beschikbaar gemaakt op deze locaties:

    http://dl.surfright.nl/HitmanPro36.exe
    http://dl.surfright.nl/HitmanPro36_x64.exe

  6. E. Elstrodt says:

    L.S.,

    Omstreeks de tijd dat de hack plaats vond van Nu.nl detecteerde F-Secure bij mijn PC (XP) een virus.
    Voor het eerst sinds jaren weer. Ik ben niet op Nu.nl geweest en was een beetje verbaasd.
    F-Sec. heeft de virus gewist (historie = 12 bestanden (??)).

    De test van Sijmen zegt dat mijn systeem veilig is. Iets verder lees ik dat de sw c.q. website van Surfrite, die ik ook maar eens wilde proberen, volgens F-Secure een onveilige site is. Heb dus geen actie (meer) ondernomen.
    Ben niet de enige, zo te lezen.

    Mijn vraag: hoe kan dat?!

  7. hen says:

    Link werkt dus niet,:-(((

  8. Cees says:

    Ook de link naar de systeemtest werkt niet.
    kan de server op sijmen.ruwhof.net niet vinden.

    Dit soort zaken ben ik niet gewend van xs4all

  9. Cees says:

    Grappig. Als ik naar de site ga van hitmanpro via bovenstaande link en het bestand wil downloaden geeft F-secure een melding dat je deze site niet moet bezoeken.
    Schadelijke website geblokkeerd.

  10. Gerben says:

    Helaas geeft F-Secure nu aan dat de site waarnaar dit artikel linkt onveilig is. Twijfel: downloaden en tegen F-Secure ingaan of afwachten tot F-Secure zelf iets doet aan Sinowal?