Captain Kirk

Naast de problemen met een update voor Exchange veroorzaken deze maand ook andere updates voor problemen bij Windowsgebruikers, zo laat Microsoft weten. Het gaat om update KB3004394 voor het Windows Root Certificate Programma in Windows, dat op frauduleuze rootcertificaten controleert. Microsoft waarschuwt dat er na de installatie zich problemen kunnen voordoen, waaronder de mogelijkheid om in de toekomst updates te installeren. Ook zou Windows Defender niet meer werken en zou het op sommige computers niet meer mogelijk zijn om Windowsupdates te verwijderen. De problemen spelen bij gebruikers van Windows 7 Service Pack 1 (SP1) en Windows Server 2008 R2 SP1. Gebruikers krijgen verschillende adviezen van Microsoft. Wie de update nog niet heeft geinstalleerd wordt afgeraden dit te doen totdat er een nieuwe versie beschikbaar is. Wie de update heeft geïnstalleerd maar de computer nog niet heeft herstart, wordt geadviseerd om het herstarten van de computer uit te stellen. Voor gebruikers waar de update al wel is geïnstalleerd en de computer is herstart heeft Microsoft een nieuwe update uitgebracht (KB3024777) die update KB3004394 verwijdert. Verder laat de softwaregigant weten dat er een probleem is ontdekt met een beveiligingsupdate voor Microsoft Office 2010. Gebruikers krijgen een foutmelding als ze een Forms3 control of object aan een Office-document toevoegen of wanneer de eigenschappen van een control worden aangepast. Er zou inmiddels een onderzoek lopen en er wordt op korte termijn een oplossing verwacht. Eerder deze week besloot Microsoft wegens problemen een update voor Exchange Server 2010 terug te trekken. De update veroorzaakte een probleem waardoor Outlook geen verbinding met Exchange kan maken. Inmiddels heeft Microsoft de update gepatcht en wordt die weer opnieuw aangeboden. Het is nu al een aantal maanden op rij dat updates van Microsoft problemen veroorzaken. bron: security.nl

De makers van een Trojaans paard dat speciaal is ontwikkeld om geld van bankrekeningen te stelen hebben een nieuwe variant uitgebracht die I2P gebruikt om met besmette computers te communiceren. I2P staat voor Invisible Internet Project (I2P) en is een netwerklaag waardoor applicaties berichten veilig en pseudo-anoniem met elkaar kunnen uitwisselen. Volgens beveiligingsbedrijf PhishMe dat de nieuwe variant ontdekte kan I2P worden gezien als een "veiligere versie van Tor". Zo is de ware DNS-bestemming standaard afgeschermd en beschikt het over peer-to-peer-eigenschappen, waarbij elke IP2-node als exitnode kan fungeren. Bij het Tor-netwerk moeten servers specifiek als exitnode worden ingesteld. In het geval van de Dyre banking Trojan, ook bekend als Dyreza, biedt I2P de aanvallers een apart communicatiekanaal wat lastig te analyseren en te detecteren is. Toch staan beheerders niet machteloos zegt analist Ronnie Tokazowski. Het is namelijk mogelijk om I2P op het top-level domein (.i2p) af te vangen en daarmee de verspreiding te stoppen en eventueel IP2-verkeer van het netwerk onschadelijk te maken. bron: security.nl

Microsoft heeft Windowsgebruikers gewaarschuwd voor een kwaadaardige spamaanval waarbij wordt geprobeerd om ontvangers met malware te infecteren. In het bericht, met het onderwerp "Payment report - importan", wordt gesteld dat de ontvanger van de e-mail een bedrag van 35.000 dollar heeft ontvangen. Meer details zouden in de meegestuurde zip-bijlage zijn te vinden. De zip-bijlage bevat een scr-bestand met een pdf-icoon. Doordat Windows standaard de bestandsextensie niet weergeeft zouden gebruikers kunnen denken dat het om een pdf-document gaat. Afhankelijk van de ingestelde weergave van mappen laat Windows toch zien dat het een screensaver is. Als de bijlage wordt geopend raakt de computer met de Upatre-downloader geïnfecteerd. Deze downloader kan vervolgens weer andere kwaadaardige software downloaden. Volgens Microsoft zou de malware vooral op consumenten- en bedrijfscomputers in Noord-Amerika zijn gezien. bron: security.nl

Cybercriminelen hebben een gratis ssl-certificaat van online dienstverlener CloudFlare gebruikt om internetters malware te laten downloaden. De aanval begint met een e-mail die van LogMeIn afkomstig lijkt. Volgens het bericht heeft de ontvanger nog een rekening openstaan. De link in de e-mail lijkt naar logmein.com te wijzen, maar wijst in werkelijkheid naar een zip-bestand op een ander domein. Dit domein gebruikt echter een geldig ssl-certificaat, waardoor internetgebruikers zouden kunnen denken dat het om een legitieme website en download gaat, aldus Jerome Segura van anti-virusbedrijf Malwarebytes. Verder onderzoek wees uit dat het om een ssl-certificaat van CloudFlare gaat. Het bedrijf biedt sinds september aan zowel betalende als gratis klanten gratis ssl-certificaten aan. "Het is niet de eerste keer dat cybercriminelen van CloudFlare gebruik maken en dit geval is niet heel verrassend. Door een vals gevoel van veiligheid te geven, het HTTPS-slotje, zijn gebruikers eerder geneigd om door te gaan en het kwaadaardige bestand te downloaden", merkt Segura op. Het zip-bestand is in werkelijkheid een Trojaans paard. Inmiddels waarschuwt CloudFlare gebruikers die het bestand willen downloaden dat het om een vermoedelijke phishingsite gaat. bron: security.nl

Virusscanners en internet security suites weten malware die ze detecteren niet altijd volledig van besmette computers te verwijderen, zo blijkt uit een onderzoek van het Oostenrijkse testorgaan AV-Comparatives. Voor het onderzoek werden 30 willekeurige malware-exemplaren gebruikt die aan verschillende voorwaarden moesten voldoen. Zo moesten de virusscanners de malware-dropper detecteren, moest de malware wijdverbreid zijn en mocht het geen vernietigende malware zijn, zodat de virusscanners de infectie ook daadwerkelijk konden herstellen. Vervolgens werden de virusscanners beoordeeld op het verwijderen van de malware. Daarbij werd er onder andere gekeken naar het achterlaten van uitvoerbare bestanden, MBR- of registeraanpassingen, aangepaste host-bestanden en programma's die door de malware waren uitgeschakeld en na de desinfectie nog steeds niet werkten, zoals Windows Taakbeheer en de Windows Registereditor. Ook werden de pakketten beoordeeld op de eenvoud waarmee de malware werd verwijderd, zoals het verwijderen in normale modus, veilige modus, via een rescue disk of het bellen van de helpdesk om de infectie ongedaan te maken. Uiteindelijk konden de virusscanners maximaal 100 punten scoren. AVG en Bitdefender zetten met 88 punten de hoogste score neer, maar weten in één geval de malware helemaal niet te verwijderen. AhnLab, Sophos en ThreatTrack komen met respectievelijk 68, 70 en 70 punten als slechtste uit de bus. bron: security.nl

Het Duitse anti-virusbedrijf G Data heeft een gratis tool gelanceerd waarmee IT-managers en experts de spionagemalware Regin van computers kunnen verwijderen. Regin werd vorige week door verschillende anti-virusbedrijven onthuld en leidde zelfs tot Kamervragen van D66. De spionagemalware is ontwikkeld om vertrouwelijke informatie te stelen en daarbij onopgemerkt te blijven. Eén onderzoeker noemde Regin zelfs geavanceerder dan Stuxnet. Hoe de malware zich precies verspreidt is nog altijd een raadsel, maar slachtoffers van de malware zijn onder andere in België, Duitsland, Rusland, Iran en Saoedi-Arabië aangetroffen. De tool van G Data is eigenlijk een script dat onafhankelijk van eventueel geïnstalleerde beveiligingssoftware bestanden kan detecteren die Regin op geïnfecteerde systemen maakt en gebruikt. Het script detecteert virtuele bestandsystemen waarin de spionagemalware gestolen gegevens opslaat en zal gebruikers in dit geval waarschuwen. Om het script te kunnen uitvoeren is wel de aanwezigheid van Python vereist. De virusbestrijder benadrukt dat het script specifiek is ontwikkeld voor IT-managers en experts. bron: security.nl

Netwerkgigant Cisco waarschuwt gebruikers van Windows XP voor een lek in het besturingssysteem waarvoor geen patch meer verschijnt, maar waardoor aanvallers via een USB-stick volledige controle over de computer kunnen krijgen. De kwetsbaarheid bevindt zich in de FAT32-schijfpartitiedriver. In oktober patchte Microsoft de kwetsbaarheid in Windows Server 2003, Windows Vista en Server 2008. Windows XP met Service Pack 3 is echter ook kwetsbaar, stelt Marcin Noga van Cisco. Omdat XP niet meer door Microsoft wordt ondersteund krijgen gebruikers echter geen updates meer. Om het lek te misbruiken zou een aanvaller een kwaadaardige usb-stick met een misvormde FAT32-partitie op een kwetsbaar systeem moeten aansluiten. Het probleem wordt veroorzaakt door kwetsbare code in de FastFAT.sys driver en kan via een misvormde FAT32 bootsector op een USB-stick worden aangevallen. De USB-stick zal in dit geval een "pool overflow" veroorzaken waardoor een aanvaller zijn rechten kan verhogen en systeembeheerderrechten kan krijgen. Volgens Noga is het lek lastig aan te vallen, maar moet het daarom niet worden genegeerd. "Deze kwetsbaarheid is duidelijk een serieus probleem voor gebruikers die nog steeds Windows XP gebruiken. Helaas zal het lek niet worden gepatcht omdat Windows XP geen ondersteuning meer krijgt. Daarom zullen gebruikers naar een nieuwere Windowsversie moeten upgraden als ze tegen dit specifieke lek beschermd willen zijn", aldus de onderzoeker. Eerder waarschuwde ook Trend Micro voor deze specifieke kwetsbaarheid, maar meldde toen niet dat ook XP-gebruikers risico lopen. bron: security.nl

Het Tsjechische anti-virusbedrijf Avast heeft consumenten met een goedkope router gewaarschuwd om IPv6 uit te schakelen, anders kunnen kwaadwillenden mogelijk toegang tot het netwerk krijgen. Het probleem ontstaat als IPv6 zowel op de router als bij de internetprovider staat ingeschakeld, maar er geen IPv6-firewall wordt gebruikt. "Dat houdt in dat iedereen op internet toegang tot apparaten op het netwerk kan krijgen", zegt Lisandro Carmona. Het gaat bijvoorbeeld dan om printers en netwerkschijven. Volgens Carmona ligt het probleem bij kleine routers die geen IPv6-firewalling aan kunnen. Een goed werkende IPv6-firewall zou de nodige rekenkracht en geheugen vereisen. "Het is dan ook geen verrassing dat veel van de goedkope routers deze functionaliteit missen of dat die niet goed werkt." Carmona adviseert consumenten met een goedkope router dan ook om IPv6 uit te schakelen. In de meeste gevallen zou dit geen gevolgen moeten hebben, tenzij bepaalde diensten IPv6 vereisen. In dat geval is het advies om naar een betere router te upgraden. Steeds meer internetproviders voeren Internet Protocol versie 6 in of hebben dit al gedaan. IPv6 is de opvolger van IPv4 dat nu de standaard is. Het Internet Protocol is het communicatieprotocol dat wordt gebruikt om systemen op netwerken te identificeren en hun locatie te bepalen. Het voordeel van IPv6 is dat er veel meer adressen beschikbaar zijn en het protocol features biedt die niet in IPv4 aanwezig zijn. bron: security.nl

Lastig om zo maar even te bepalen wat dan de oorzaak is. Je zal stap voor stap alle componenten af moeten gaan. Heb je misschien bij de laatste schoonmaak een van de componenten verkeerd aangeraakt of misschien niet goed aangesloten? Ik zou in jouw geval, en gezien dat je aangeeft aardig bekwaam te zijn, de componenten stuk voor stuk nalopen en controleren of alles goed en stevig aangesloten is. Beginnend bij de voeding, geheugenbanken, fans, etc. Geeft de computer een of meerdere biebjes bij het opstarten? De meeste moederborden geven hiermee bijvoorbeeld aan wat er mis is. Het zal een zoektocht worden.

Gezien je naam ga ik er vanuit dat je de pc veel voor gamen gebruikt? Hierdoor denk ik het eerste aan stof of problemen met de koeling. Je pc is beveiligd tegen oververhitting. Zodra een onderdeel te warm wordt, schakelt de pc zichzelf uit. Maak de kast eens open en kijk hoe het staat met het stof. Kijk ook of alle fans wel vrij kunnen draaien. Wanneer je de kast open maakt, zorg er dan eerst voor dat je alle stroom van de pc hebt gehaald.

Het "defacen" van websites komt al jaren voor, maar recentelijk worden gedefacete websites voor meer gebruikt dan alleen het verspreiden van een boodschap. Bij een defacement weten aanvallers toegang tot een website te krijgen en laten daar meestal een politiek getinte boodschap achter. Onderzoekers van Zscaler hebben onlangs verschillende gedefacete websites aangetroffen die naast een boodschap ook een verwijzing naar een exploitkit bevatte. Deze exploitkit maakt misbruik van een 19-jaar oud Windowslek dat Microsoft op 11 november van dit jaar patchte. De kwetsbaarheid kan echter alleen via Internet Explorer worden aangevallen. De exploit waar de gedefacete websites naar wijzen werkt daarbij alleen tegen ongepatchte 32-bit versies van IE. De exploitcyclus stopt als een bezoeker een 64-bit Windowsversie, geen Windows of geen Internet Explorer gebruikt. Volgens analist Chris Mannon is het opvallend dat hacktivisten nu van exploits gebruik maken, aangezien deze groepen meestal meer geïnteresseerd zijn in het verstoren van bedrijven en overheidsinstanties, dan het aanvallen van eindgebruikers. bron: security.nl

Meer dan 23.000 websites zijn slachtoffer van de CryptoPHP-backdoor geworden die zich via illegale plug-ins voor contentmanagementsystemen (cms) zoals WordPress, Joomla en Drupal verspreidt. Het gaat hierbij om betaalde plug-ins die zo zijn aangepast dat ze geen licentiesleutel meer vereisen en daardoor gratis kunnen worden gebruikt. Deze zogeheten "nulled scripts" zijn vergelijkbaar met illegale software. In het geval van CryptoPHP ging het om duizenden plug-ins en thema's die van een backdoor waren voorzien waardoor een aanvaller toegang tot de webserver kan krijgen. Vorige week kwam het Delftse beveiligingsbedrijf Fox-IT met een rapport (PDF) over CryptoPHP. In eerste instantie kon nog niet worden gezegd hoeveel websites er met de backdoor besmet waren. Onderzoekers slaagden erin om de Command & Control-domeinen van CryptoPHP in handen te krijgen en konden zo zien hoeveel websites er verbinding probeerden te maken. In totaal werden 23.693 IP-adressen waargenomen. Beveiligingsonderzoeker Yonathan Klijnsma van Fox-IT merkt op dat deze aantallen geen duidelijk beeld geven, omdat de webservers die met de domeinen verbinding maakten vaak "shared hosting" omgevingen waren, waarbij tenminste één of meerdere websites van een backdoor waren voorzien. "Dit houdt in dat het aantal getroffen websites hoger zal zijn." Voor beheerders zijn er nu twee Python-scripts gemaakt waarmee het mogelijk is om de aanwezigheid van CryptoPHP te detecteren. In het geval de backdoor wordt aangetroffen krijgen beheerders het advies om het cms opnieuw te installeren. bron: security.nl

Eigenaren van Windows 8.1 die een virusscanner of Internet Security Suite zoeken kunnen het beste voor Avira of Kaspersky Lab kiezen, zo blijkt uit een nieuwe test van het Duitse testorgaan AV-Test. In totaal werden 24 anti-viruspakketten voor consumenten met elkaar vergeleken. Tijdens de test werd naar 'real world' scenario's zoals bescherming, gebruik en prestaties gekeken. Microsoft Windows Defender fungeerde als basislijn. In totaal konden de 24 pakketten voor elke categorie 6 punten scoren, oftewel 18 punten in totaal. Voor de bescherming werd gekeken naar de bescherming tegen zero-day malware-aanvallen en detectie van malware uit de laatste vier weken. De 'Performance' test bestond uit de impact van de virusscanner op de werking van de computer, bijvoorbeeld bij het bezoeken van websites, het downloaden, installeren en draaien van software en het kopiëren van data. Als laatste werd de bruikbaarheid beoordeeld, zoals het onterecht waarschuwen voor legitieme software en websites. Test Als het om de detectie van malware gaat halen Avira, Kaspersky, Bitdefender, Symantec, Trend Micro, Comodo, G Data, F-Secure, Panda Free en Ahnlab de maximale score van 6 punten. Windows Defender blijft als enige op 0 punten steken. Bij de detectie van zero-day malware in september en oktober komt de virusscanner niet verder dan gemiddeld 70%. Als het gaat om de detectie van veelvoorkomende malware van de laatste vier weken wordt er een gemiddelde score van 80% gehaald. De beste scanners weten voor beide onderdelen een score van 100% te halen. Op het gebied van systeembelasting zijn er minder scanners die een perfecte score binnenslepen. Alleen Avira, Kaspersky Lab, Bitdefender en Kingsoft weten 6 punten te scoren. Windows Defender blijft met een score van 4,5 in de middenmoot hangen. Alleen op het gebied van 'false positives', het onterecht detecteren van schone software als besmet, haalt Microsoft virusscanner de maximale 6 punten. Dat doen echter ook veel andere scanners. Uiteindelijk zijn het Avira en Kaspersky Lab die alle 18 punten halen. Alleen Windows Defender en ThreatTrack lopen de certificering van AV-Test mis. Die wordt namelijk alleen uitgedeeld aan producten met minimaal 10 punten en de vereiste dat er in elke categorie tenminste 1 punt is gehaald. Hieronder het volledige overzicht. bron:security.nl

Maak je thuis gebruik van een draadloos netwerk en zijn zowel de pc als je smartphone hiermee verbonden? Probeer dan eens de ap Wifi File transfer Je start de ap en krijgt een IP-adres. Dit adres vul je in in je browser en hierna kun je de inhoud van je telefoon bekijken, onderdelen als bijvoorbeeld foto's up- en downloaden. Ik gebruik het geregeld ook met een Samsung Smartphone en het werkt prettig.

Een van de oorzaken zou inderdaad de koeling kunnen zijn. In jouw geval draait misschien de fan door stof niet meer goed. Stof in de pc kan ervoor zorgen dat de pc niet meer goed werkt. Hier kun je lezen hoe je je pc van binnen schoon kunt maken: koppel alle stekkers van de pc af haal de kast van de pc af maak even voor een tiental tellen met je hand contact met de aarde door even bijvoorbeeld de radiator van de CV beet te paken. Hierdoor raak je statisch ontladen (anders kunnen delen van de pc kapot gaan) blaas met de blaaskant van je stofzuiger of met een busje perslucht (te verkrijgen bij bijvoorbeeld fotozaken of electronica specialisten) de pc goed schoon. Pas wel op dat je geen onderdelen aanraakt. Zorg dat je ook de voeding goed schoon blaast. Je hoeft hiervoor de voeding niet te demonteren, alleen even doorblazen is genoeg! zorg dat de koeling van de processor goed schoongeblazen wordt maar kom niet aan de processor of de koeling! plaats de behuizing van de kast weer terug en sluit de pc weer aan.

Je zou via de diagnosesite van Dell eens kunnen kijken of daar een test enig antwoord geeft. Je kunt een aparte test voor het keyboard selecteren.

Cybercriminelen hebben een exploit voor een recent gepatcht lek in alle versies van Windows sinds Windows 95 aan een exploitkit toegevoegd. Het gaat om CVE-2014-6332 die op dinsdag 11 november door Microsoft werd gepatcht. De kwetsbaarheid was aanwezig in IE3.0 op Windows 95 tot en met IE11 op de previewversie van Windows 10 en zorgt ervoor dat een aanvaller volledige controle over het systeem kan krijgen. De kwetsbaarheid in Windows Object Linking and Embedding (OLE) werd veroorzaakt door de manier waarop IE met geheugenobjecten omging. Onderzoekers van IBM ontdekten het probleem in mei van dit jaar en waarschuwden vervolgens Microsoft, dat deze maand met een update kwam. Verder onderzoek wees echter uit dat de kwetsbare code al in Windows 95 aanwezig was en via Internet Explorer 3.0 op afstand kon worden aangevallen. Vorige week rapporteerde beveiligingsbedrijf ESET dat het een exploit voor het lek op een populaire Bulgaarse website had ontdekt. Beveiligingsonderzoeker 'Kafeine' van het blog Malware Don't Need Coffee laat weten dat de exploit inmiddels ook aan de Sweet Orange exploitkit is toegevoegd. Dat houdt in dat het lek op grote schaal via gehackte en kwaadaardige websites als besmette advertenties kan worden aangevallen. Windowsgebruikers die de updates van november hebben geïnstalleerd zijn echter niet kwetsbaar. Gebruikers en organisaties die de update nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. bron: security.nl

Onderzoekers hebben een geavanceerde spionagetool ontdekt die al zeker sinds 2008 actief is, maar hoe de malware zich verspreidt is nog altijd een raadsel. De tool wordt door Symantec Regin genoemd en is ontwikkeld om informatie van aangevallen organisaties te verzamelen. Eenmaal actief kan de malware screenshots maken, wachtwoorden stelen, netwerkverkeer monitoren en informatie over processen en geheugengebruik verzamelen. Ook kan het naar verwijderde bestanden op een besmette computer zoeken en die herstellen. De ontwikkelaars van Regin hebben de malware zo ontwikkeld dat die allerlei modules ondersteunt. Onderzoekers ontdekten bijvoorbeeld een module om het netwerkverkeer van Microsoft Internet Information Services (IIS) webservers te onderscheppen. Een andere module was gemaakt om verkeer van basisstationscontrollers voor mobiele telefoons te verzamelen, terwijl een derde module in staat was om e-mail van Exchange-databases te parsen. Regin zou allerlei maatregelen nemen om niet te worden ontdekt, waarbij waardevolle informatie die de malware aantreft niet naar de harde schijf wordt geschreven. Zo gebruikt de spionagetool versleutelde virtuele bestandssysteembestanden om databestanden in op te slaan. Volgens Symantec verschilt Regin van andere zogeheten "Advanced Persistent Threats" (APTs) omdat deze categorie vaak intellectueel eigendom probeert te stelen, terwijl Regin is ontwikkeld om aangevallen organisaties of individuen continu te monitoren. Infecties werden zowel bij individuen als organisaties aangetroffen, waaronder in België en Oostenrijk. Wie de malware heeft ontwikkeld is onbekend, maar het Finse anti-virusbedrijf F-Secure denkt niet dat Regin uit China of Rusland afkomstig is. bron: security.nl Aanvulling: Het zeer geavanceerde spionagevirus Regin dat vandaag werd geopenbaard is door de Amerikaanse en Britse inlichtingendiensten ontwikkeld. Dat beweert het Delftse beveiligingsbedrijf Fox-IT, dat de malware bij de Belgische telecomaanbieder Belgacom aantrof en verwijderde. CTO Ronald Prins stelt tegenover The Intercept had het "de meest geavanceerde malware" was die hij ooit had gezien. "Na het analyseren van deze malware en naar de eerder gepubliceerde Snowden-documenten te kijken, ben ik ervan overtuigd dat Regin wordt gebruikt door de Britse en Amerikaanse inlichtingendiensten", merkt Prins op. Collega Erik de Jong vertelt tegenover BNR dat de technische analyse en informatie van Snowden naar de Amerikanen en Britten wijzen. "Het zijn puzzelstukjes die heel mooi in elkaar passen." Belgacom wil niet bevestigen dat het door de Regin-malware was getroffen. In de komende weken zal The Intercept meer details over Regin publiceren, alsmede de infiltratie bij Belgacom. Het gaat hier om een onderzoek dat samen met de Belgische krant de Standaard en het NRC Handelsblad zal worden uitgevoerd. Om het onderzoek naar de malware te helpen heeft de website exemplaren van Regin in een zip-bestand verzameld die het nu aanbiedt. Aanvulling 28 november 2014: Regin-malwaouder en geavanceerder dan Stuxnet De Regin-malware die deze week door verschillende anti-virusbedrijven werd onthuld is volgens één van de onderzoekers ouder en geavanceerder dan Stuxnet, de malware die werd ingezet om de uraniumverrijkingscentrale in het Iraanse Natanz te saboteren. Ondanks alle aandacht voor de complexiteit van Regin is er ook kritiek op de anti-virusbedrijven, alsmede de inlichtingendiensten die de malware zouden gebruiken. Regin is volgens Symantec al sinds 2008 in gebruik, terwijl Kaspersky Lab zelfs een compilatiedatum van 2003 voorbij zag komen. De malware gebruikt allerlei technieken om detectie te voorkomen. Zo is het nog altijd onbekend hoe Regin computers infecteert. "Regin staat op eenzame hoogte. Het is zeker complexer dan Stuxnet en Flame als het gaat om het ontwerp van het platform, functionaliteit en flexibiliteit", zegt Costin Raiu, onderzoeksdirecteur bij Kaspersky. Volgens Raiu is Regin ook compacter. Een volledige Flame-infectie bedraagt 20MB. Regin is ongeveer 8MB groot, waaronder het virtuele bestandssysteem dat het gebruikt om waardevolle data op te slaan. "Ik denk dat Regin waarschijnlijk ouder is dan Stuxnet en Flame en geavanceerder", zegt de onderzoeker tegenover Dark Reading. Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte. Het Finse F-Secure ontdekte Regin al in het begin van 2009 op de Windowsserver van een Noord-Europese klant. Ook zou in dat jaar een onderdeel van Regin via de online virusscanwebsite VirusTotal zijn gecontroleerd. Toch publiceerden Symantec en Kaspersky deze week pas hun rapporten en kwam ook F-Secure met een eigen analyse. "Anti-virusbedrijven houden staatsmalware jaren geheim en proberen vervolgens voor marketingdoeleinden als eerste de scoop te hebben", zegt beveiligingsonderzoeker Claudio Guarnieri. Hij merkt op dat beveiligingsaanbieders zeker al sinds 2011 van Regin wisten. De onderzoeker zou zelf al maanden met een onderzoek naar de malware bezig zijn en zich nu in de afrondende fase bevinden. "Interessante timing", zegt hij over de publicaties die deze week verschenen. Als reden voor de trage reactie verklaart Symantec tegenover The Register dat de malware zeer complex is en de onderzoekers eerst niet wisten waar ze mee te maken hadden. Daarnaast was het één van de vele malware-exemplaren die de virusbestrijder elke dag voorbij ziet komen. Ook zijn er wereldwijd niet veel Regin-infecties bekend, waardoor de malware in de luwte kon blijven opereren. Het Delftse beveiligingsbedrijf Fox-IT liet deze week weten dat Regin door de Amerikaanse inlichtingendienst NSA en Britse inlichtingendienst GCHQ is ontwikkeld. Daardoor is er ook sprake van een juridisch component, stelt Eric King, adjunct-directeur van privacyorganisatie Privacy International. Volgens King is er geen instantie in Groot-Brittannië die de bevoegdheid heeft om het gebruik van spionagesoftware zoals Regin toe te staan, waarbij wordt voldaan aan de voorwaarden van het Europees hof voor de Rechten van de Mens. Dat zou inhouden dat de GCHQ bij het inzetten van Regin illegaal bezig is geweest, aldus King. bron: security.nl

Er is een update voor het extreem populaire contentmanagementsysteem (CMS) WordPress verschenen die meerdere lekken verhelpt. Zo zijn er drie cross-site scripting (XSS)-problemen verholpen waardoor een auteur of medewerker van een WordPress-site de volledige website kon overnemen. Ook is er een cross-site request forgery (XSRF)-probleem opgelost waardoor een gebruiker kon worden misleid om zijn wachtwoord te wijzigen. Daarnaast behoort ook een probleem tot het verleden waardoor het mogelijk was om een Denial of Service op de website te veroorzaken bij het controleren van wachtwoorden en is het niet meer mogelijk om een hash collision-aanval uit te voeren op de accounts van gebruikers die sinds 2008 niet meer waren ingelogd. WordPress 4.0.1 bevat verder verschillende beveiligingsverbeteringen tegen server-side request forgery-aanvallen en maakt voortaan links in wachtwoordresetmails ongeldig als de gebruiker zijn wachtwoord herinnert, inlogt en zijn e-mailadres wijzigt. De update kan via het WordPress-dashboard worden geïnstalleerd en is te downloaden via WordPress.org. Bijna 27 miljoen websites op internet gebruiken WordPress als CMS. bron: security.nl

Er een valse e-mail onder Nederlandse internetgebruikers verspreid die zogenaamd van Bol.com afkomstig leek, maar in werkelijkheid ransomware bevatte, zo heeft Bol.com laten weten. De e-mail ging over een vermeende bestelling bij de webwinkel. Ontvangers van het bericht zouden meer informatie in de meegestuurde zip-bijlage kunnen vinden. De bijlage bevat ransomware die bestanden op de computer versleutelt, zo blijkt uit berichtgeving door XGN.nl en het ANP. Verschillende mensen die de e-mail ontvingen openden die ook en raakten zo besmet. De e-mails werden verstuurd vanaf het adres klantenservice@bol.com. "Wij sturen nooit mails vanuit dat adres, mensen kunnen het daaraan herkennen. Bovendien is de bijlage een zip-bestand. Zulke bestanden versturen wij nooit", aldus een woordvoerster. bron: security.nl

Een ransomware-variant die bestanden via een opensourceprogramma versleutelt gebruikt vervolgens een tool van Microsoft om de onversleutelde originele bestanden permanent te wissen. Het gaat om de Ransomcrypt-ransomware die in augustus voor het eerst werd ontdekt en zich op Russisch sprekende gebruikers richtte. De nieuwste variant heeft het echter op Engelstalige gebruikers voorzien. Ransomcrypt verspreidt zich via e-mails met als bijlage een zip-bestand. Het zip-bestand lijkt een Word-document te bevatten, maar dit is in werkelijkheid een JavaScript-bestand. Als de gebruikt dit bestand opent worden verschillende programma's gedownload, namelijk het opensourceprogramma GnuPG voor het versleutelen van bestanden, Microsoft SDelete voor het permanent wissen van de originele bestanden, een Windows commandscript dat de encryptie uitvoert en een bericht voor de gebruiker achterlaat en een Adclicker Trojan die in de achtergrond continu op advertenties klikt. GnuPG is een opensource-implementatie van de OpenPGP-standaard. Bij het versleutelen van de bestanden met GnuPG bewaart de ransomware de decryptiesleutel in twee versleutelde bestanden op de computer. Om de bestanden te ontsleutelen moeten slachtoffers deze twee bestanden naar een e-mailadres sturen. De ransomwareschrijver kan deze bestanden vervolgens ontsleutelen en zo de decryptiesleutel naar het slachtoffer terugsturen, die hiermee de bestanden op zijn computer kan terugkrijgen. Volgens Lawrence Abrams van het computerforum Bleeping Computer is de Ransomcrypt zeer gevaarlijk omdat de ransomware zo mobiel is. Er wordt bijvoorbeeld geen Command & Control-server gebruikt die autoriteiten uit de lucht kunnen halen. De ransomwareschrijver hoeft slechts één encryptiesleutel bij zich te dragen voor het ontsleutelen van de decryptiesleutels van besmette computers. En deze decryptiesleutels worden weer per e-mail verstuurd. Het zou op dit moment niet mogelijk zijn om versleutelde bestanden te herstellen, tenzij slachtoffers over een back-up beschikken. Verder adviseert Abrams Symantec's Norton Script Disabler/Disabler, dat de Windows scriptinghost op computers uitschakelt, zodat JS-bestanden niet meer kunnen worden geladen. bron: security.nl

Een beveiligingslek dat Microsoft vorige week patcht en al 19 jaar in Internet Explorer aanwezig was is nu voor het eerst aangevallen. Dat melden anti-virusbedrijf ESET en onderzoeksbureau NSS Labs. De kwetsbaarheid werd veroorzaakt door de manier waarop IE met geheugenobjecten omging. Onderzoekers van IBM ontdekten het probleem in mei van dit jaar en waarschuwden vervolgens Microsoft, dat op 11 november met de update kwam. Verder onderzoek wees echter uit dat de kwetsbare code al in Windows 95 aanwezig was en via Internet Explorer 3.0 op afstand kon worden aangevallen. Via het lek is het mogelijk om zowel de Enhanced Protected Mode (EPM) sandbox van Internet Explorer 11 als de Enhanced Mitigation Experience Toolkit (EMET) beveiligingstool van Microsoft te omzeilen. Exploit Op een populaire Bulgaarse website is nu een exploit aangetroffen die van het lek misbruik maakt. Zodra gebruikers met een kwetsbare IE-versie de website bezoeken wordt er geprobeerd malware op de computer te installeren. Naast de Bulgaarse nieuwssite werd de exploit nergens anders aangetroffen, wat onderzoekers doet vermoeden dat het mogelijk om een testaanval gaat. Ook stellen de onderzoekers dat het slechts een kwestie van tijd is voordat de exploit in exploitkits zal verschijnen en het lek op grotere schaal zal worden aangevallen. Het is inmiddels het tweede lek in november dat nog geen tien dagen na het uitkomen van de update door cybercriminelen wordt aangevallen. Eerder was dit ook al het geval met een gepatcht lek in Adobe Flash Player, wat aangeeft dat internetgebruikers beschikbare updates zo snel als mogelijk moeten installeren. bron: security.nl

Er is een nieuwe beveiligingsupdate voor het contentmanagementsysteem (CMS) Drupal verschenen waarin twee lekken zijn verholpen die door de ontwikkelaars als "gemiddeld kritiek" worden omschreven. Een kwetsbaarheid in de wachtwoord-hashingfunctie van Drupal 7 zorgt ervoor dat een aanvaller een Denial of Service (DoS) kan veroorzaken waardoor de website onbereikbaar wordt. Het tweede lek treft zowel Drupal 6 als Drupal 7 en maakt het mogelijk voor een gebruiker om de sessie van een andere gebruiker te kapen. Volgens het Drupal-ontwikkelteam is deze aanval op bepaalde Drupal 7-sites mogelijk die zowel content over HTTP als HTTPS aanbieden, ook bekend als mixed-mode. Er wordt echter niet uitgesloten dat er andere aanvalsvectoren voor zowel Drupal 6 als Drupal 7 zijn. Gebruikers krijgen dan ook het advies om naar Drupal 6.34 of 7.34 te upgraden. Onlangs werd er nog een ernstig lek in het CMS gepatcht dat aanvallers zeven uur na het uitkomen al gebruikten om kwetsbare websites over te nemen. Veel Drupal-gebruikers blijken hun website niet of erg traag te upgraden, waardoor mogelijk honderdduizenden sites bij deze aanvallen gecompromitteerd zijn geraakt. Het Drupal-ontwikkelteam waarschuwde bij de aanvallen ook dat alle Drupal 7-sites die niet binnen zeven uur waren gepatcht ervan moesten uitgaan dat ze gecompromitteerd waren. Meer dan 1,1 miljoen websites draaien op Drupal. bron: security.nl

Beste Jan W., Wat bedoel je precies met "na start zwart". Bedoel je dat het scherm vanaf het aanzetten al zwart blijft of zie je eerst nog het een en ander op je scherm gebeuren en is het vanaf het startscherm zwart?

In duizenden illegale plug-ins en thema's voor de contentmanagementsystemen (CMS) WordPress, Joomla en Drupal is een backdoor ontdekt, waardoor aanvallers toegang tot de webserver krijgen. Dat meldt het Delftse beveiligingsbedrijf Fox-IT vandaag. Hoeveel websites er door de backdoor zijn getroffen kan het bedrijf niet zeggen, maar er wordt geschat dat het om een paar duizend gaat, maar mogelijk meer. CryptoPHP (PDF), zoals de backdoor wordt genoemd, werd in illegale versies van commerciële CMS-plug-ins en thema's aangetroffen. Het gaat hier om zogeheten 'nulled' scripts, vergelijkbaar met illegale software waar de licentiecontrole is verwijderd. "Kort samengevat, dit is piraterij", aldus de onderzoekers. In totaal werden erop verschillende websites die de illegale CMS-uitbreidingen aanboden zestien varianten van de backdoor ontdekt, waarvan de eerste op 25 september 2013 verscheen. Eigenschappen De malware kan zichzelf updaten en beschikt over een back-upmechanisme in het geval de controleserver van de aanvallers niet meer bereikbaar is. In dit geval krijgen de besmette webservers via e-mail instructies. Ook voegt de malware een extra beheerdersaccount aan het CMS toe. Als de backdoor wordt ontdekt en verwijderd blijven de aanvallers toch toegang houden. CryptoPHP wordt op gecompromitteerde websites en webservers gebruikt voor illegale zoekmachineoptimalisatie, ook bekend als 'Blackhat SEO'. Doordat de gecompromitteerde websites naar de websites van de aanvallers linken, verschijnen deze websites weer hoger in de resultaten van zoekmachines. In het geval webservers en websites met CryptoPHP zijn geïnfecteerd kunnen webmasters en beheerders als beste een schone installatie uitvoeren, zegt Joost Bijl van Fox-IT tegenover Security.NL. Als 'quick fix' kunnen beheerders verschillende stappen nemen, zoals het verwijderen van de link naar het bestand social.png, onbekende accounts verwijderen en het bestand social.png, aangezien dit de backdoor is. bron: security.nl