Google DNS onbetrouwbaar - trojan horse ?

[fredo66]

Laatst had ik een geval waarbij de gebruiker van een oudere win xp pc met sp3, av panda in the cloud en win updates auto besmet werd met het beruchte politie virus.
Je krijgt dan een zwart scherm met daarop de mededeling dat je computer geblokkeerd is door de fed politie , je ip adres betaalgegevens etc.

Bij iedere herstart terug het blokkeringsscherm. De eigenaar van de pc surfde net voor de besmetting visueel werd naar de url depiraatbaai.be En de besmetting vindt plaats nog voor je zelfs maar een zoekopdracht kan intypen. Zijn dns stond op google dns (omdat de providers anders deze url omleiden).

Met opstart in veilig modus en anti-malware bytes snelle scan werd de besmetting gevonden en verwijderd. Er werd ook nog eens volledig gescand met mbam en daarna ook nog eens met panda. De computer functioneerde daarna terug normaal.

Gisteren surfde de man nog eens naar depiraatbaai.be, zelfde scenario. We doen terug hetzelfde schoonmaakscenario en ik wijzigde daarna zijn dns naar open dns.
We surfen daarop naar depiraatbaai.be en de computer blijft verder normaal functioneren

[Patje]

Heeft toch niks met dns te maken...

[ Post made via mobile device ]

[thepretorian]

Die beruchte trojan komt binnen via Flash, Java enzo, ook meegemaakt enkele weken geleden door gewoon op Youtube te surfen.
Update eens je softwares na dat je hem verwijderd hebt. Ik gebruik zelf ook de DNS van Google, geen problemen hier na de updates.

[iceke]

Het is een pest, iedereen heeft er blijkbaar last van.
1.Runtimes uptodate houden : Nitite.com
2.Browsers uptodate houden : Via help -> about
3.Browser addons deleten : firefox = shift indrukken ie = extra internetopties - geavanceerd - Herstellen
4.windows uptodate houden : via windows update
5.andere programma's updaten : secunia.com
6.host file aanpassen : http://www.hosts-file.net/
7. regelmatig combofix er eens laten over gaan : www.bleepingcomputer.com
8. Regelmatig eens scannen met malwarebytes : http://www.malwarebytes.org/
9. En een degelijke virusscanner natuurlijk ( enkel dit helpt echt niet, heb deze besmetting al gezien met panda, essentials, gdata, avast & avg)

[meon]

Dat virus/trojan komt binnen via de reclame op TPB, dus een adblock doet in dit geval de meeste wonderen.
De Google DNS'en laten TPB gewoon door, die van je provider niet, dus daar zou het verschil zich kunnen bevinden.

[iceke]

Hehehe, zie je nu dat Sabam toch nog voor iets goed is

[fredo66]

Dat virus/trojan komt binnen via de reclame op TPB, dus een adblock doet in dit geval de meeste wonderen.
De Google DNS'en laten TPB gewoon door, die van je provider niet, dus daar zou het verschil zich kunnen bevinden.

Ik dacht ook al in die richting. Maar dat wil dan dus zeggen dat opendns veiliger (en dus beter) is dan google dns ...

[ubremoved_539]

Maar dat wil dan dus zeggen dat opendns veiliger (en dus beter) is dan google dns ...

Nee... want dit is geen DNS issue (trouwens via OpenDNS ga je ook de sites resolven waar die malware op staat volgens mij).

De regel is gewoon... hoe meer je naar illegale dingen gaat zoeken... hoe meer kans je hebt rommel op je PC te krijgen.

[fredo66]

Feit blijft dat de besmetting alleen plaats vond bij gebruik van google dns en niet bij gebruik van opendns ...

[ubremoved_539]

Feit blijft dat de besmetting alleen plaats vond bij gebruik van google dns en niet bij gebruik van opendns ...

Dat weet jij niet... ondertussen kan er al een andere reclame banner staan (zelfs op identiek hetzelfde moment vanaf zelfs dezelfde PC zou er een andere kunnen staan)... je maakt dus de verkeerde veronderstellingen.

[fredo66]

2x foutieve banners via google dns en via opendns geen probleem.

Ondertussen deed ik wat opzoekwerk, op de site van sophos beveiligingssoftware staat de infectie ook beschreven. 1 vd commentaren : via googledns ...
Toeval kan altijd maar ik vind het vreemd.

[iceke]

goh, had je nu hier geschreven, met Chrome of met Firefox of met Internet Explorer... had je ook wel posts gevonden van gelijkaardige gevallen.
Ik snap niet goed waarom je de dns hierbij wil betrekken ??

[meon]

Goh, Google DNS geeft voor zover ik weet onbeperkt alles door.
Je provider heeft beperkingen, opgelegd door de rechtbank (denk aan TPB en die pedopartij-site of wat was het)
OpenDNS doet aan "malware and botnet"-protection: http://www.opendns.com/malware-botnet wat in dit geval denk ik wel geholpen zou hebben.

[iceke]

Oke, maar dan is de titel misleidend, 't is hier precies de Story

[Trojan]

Ik heb destijds ook lang OpenDNS gebruikt, maar het begon me serieus tegen te steken dat ik bij elke 404 een "reclame" pagina te zien kreeg van OpenDNS, en dat zinde me niet. En dan kwam google, een aangezien ik al zo'n superfan van het eerste uur ben was de keuze snel gemaakt.

[iceke]

Ik heb laatst een netgear router geïnstalleerd met opendns filtering, en dat werkt zeer goed blijkbaar. Daar kan je de redirect naar een eigen afbeelding (of was het webpage) leiden.

[Patje]

Doe ook maar eens een testje of je DNS malware op uw pc hebt of niet.

http://www.hln.be/hln/nl/4125/Internet/ ... juli.dhtml

http://www.dcwg.org/detect/
Groene achtergrond = OK

[ubremoved_15739]

[Trojan]

Om te beginnen moeten mensen maar eens leren werken met een gewoon user profiel ipv standaard administrator. Het zal al een hoop rommel weghouden. Een mentaliteitsweiziging is dringend nodig, random klikken is dus uit den boze.

En als je de lat een beetje hoger wil leggen kan je bepaalde settings vastleggen met een policy (die enkel admins kunnen weizigen (duh)), zoals bv netwerksettings.

[meon]

Ik kreeg m'n laptop van't werk met Win7's UAC (user account control) stond uit. (local admin). Ik vroeg aan de systeembeheerders: waarom zetten jullie dat uit? "Ah, dat doen wij altijd".

*Zucht*

[iceke]

Die denken, als ze toch blindelings klikken kunnen we ze evengoed dat werk besparen
(maar, werkt dit eigenlijk wel met dit soort malware ? uac op hoogste niveau en niet als administrator ingelogd zijn ?)

[Trojan]

Als het een KMO is kan ik dat perfect verstaan, daar weten ze niet beter. Bij een groot bedrijf, enterprise niveau (+250 workstations), is het tijd om die sysadmins buiten te zetten en deftig volk aan te nemen.

[meon]

Mja, "don't sysadmin the sysadmin" eh.
UAC heeft z'n bestaansreden, ik heb die van mij op "low" staan.
En ja, bij de helft van m'n tools moet ik m'n account elevaten eer ze werken, maar dat vind ik normaal. Anderen vinden dat blijkbaar vervelend.

[iceke]

Als het een KMO is kan ik dat perfect verstaan...

Maar dat een leek zijn pc niet dichttimmert en alles maar eerst moet lezen voor hij op agree of ok drukt snap je niet

Vroeger was het simpel, open geen programma's die je niet vertrouwd, maar nu ? Elke week vinden ze wel een ander trucje uit.
Ik snap best dat de fun er snel af is wanneer je volledig beveiligd wil zijn...

[fredo66]

Doe ook maar eens een testje of je DNS malware op uw pc hebt of niet.

http://www.hln.be/hln/nl/4125/Internet/ ... juli.dhtml

http://www.dcwg.org/detect/
Groene achtergrond = OK

Goede tip en ik las dit ondertussen ook al. Maar het is niet op mijn pc hé.

[fredo66]

Oke, maar dan is de titel misleidend, 't is hier precies de Story

Er staat een vraagteken achter de zin. Als je dus leestekens leest zie ik niet in waarom dit misleidend zou zijn.

Het is dus mijn veronderstelling waarbij ik meer ervaren personen vraag waarom de besmetting wel plaats vond via google dns en niet via opendns.

Ik plaatste de oproep dan ook om daarover duidelijkheid te scheppen.
Jammer dat sommige reacties zich beperken tot 'heeft niets te maken met dns' zonder er dan een aannemelijke verklaring voor te hebben.

De verklaring van Meon (opendns filtert, googledns niet) zal waarschijnlijk tot op heden de beste verklaring zijn.

[fredo66]

Om te beginnen moeten mensen maar eens leren werken met een gewoon user profiel ipv standaard administrator.

Bij windows xp schreef ik ? Ik betwijfel of je vroeger zelf op je thuispc onder xp ooit werkte met een beperkte account ?

Het is namelijk in praktijk onwerkbaar. Ik deed dit vroeger zelf ook eens volgens het boekje. Meer dan de helft van de programma's functioneerden gewoon niet zonder administratoraccount. En voor de kleinste wijziging moest je inloggen als administrator. Nogmaals, onwerkbaar.

[iceke]

@freddo
Je stelt dan ook geen enkele vraag in je bericht, enkel in je titel.
Soit, het blijft een verkeerde vraagstelling, uiteindelijk heeft dit niks met google dns te maken. (je had evengoed kunnen schrijven telenet dns/belgacom dns/...enz.)

[Patje]

Oke, maar dan is de titel misleidend, 't is hier precies de Story

Er staat een vraagteken achter de zin. Als je dus leestekens leest zie ik niet in waarom dit misleidend zou zijn.

Het is dus mijn veronderstelling waarbij ik meer ervaren personen vraag waarom de besmetting wel plaats vond via google dns en niet via opendns.

Ik plaatste de oproep dan ook om daarover duidelijkheid te scheppen.
Jammer dat sommige reacties zich beperken tot 'heeft niets te maken met dns' zonder er dan een aannemelijke verklaring voor te hebben.

De verklaring van Meon (opendns filtert, googledns niet) zal waarschijnlijk tot op heden de beste verklaring zijn.

Je kon de besmetting evengoed oplopen met een belgacom of telenet dns, maw DNS zit hier voor niets tussen .... en zeker als je op sites zoals TPB gaat rondneuzen, zit vol met virussen en malware ! Opendns filtert mss wel maar niet in die zin dat het malware, trojan blokkeert toch ( opendns is geen antivirus)
Er kon op het moment evengoed een andere DNS ingesteld geweest zijn en dan ging je deze ook in vraag stellen ....

btw die reactie kwam van mij 'Heeft niks met DNS te maken' (gemaakt in de lunchpauze op het werk, had niet meer tijd om er nog iets aan toe te voegen) dat hebben anderen intussen al gedaan, maar je wil het blijkbaar niet begrijpen!

[iceke]

Tijd om je scanner eens te testen ? surf naar tvnzb.com, een goeie scanner houdt de shit van deze geinfecteerde website tegen... een slechte niet