Gebruikers van AVG moeten oppassen voor een foutieve waarschuwing. Sinds dit weekend zorgt een update van het programma ervoor dat het Windows-bestand user32.dll ten onrechte als Trojaans paard wordt gemarkeerd.

De bewuste melding geeft weer dat het virus PSW.banker4.APSA is gevonden. Door het .dll-bestand te verwijderen blijft Windows vervolgens in een lus herstarten, waardoor het zelfs niet mogelijk is om in veilige modus met de computer te werken.

Volgens Jonathan Flietstra, hoofd van AVG Nederland, zijn alle Windows-versies kwetsbaar en lopen ook zakelijke (betalende) gebruikers van de antivirussoftware een risico. “Bij ons staat de telefoon roodgloeiend”, klinkt het. “Mensen beseffen ook niet dat er iets mis is met hun antivirus omdat het probleem pas opduikt bij het herstarten.”

Handmatig terugzetten
AVG heeft intussen een nieuwe update ( versie 270.9.0/1778) uitgestuurd om te voorkomen dat het probleem zich verder verspreidt. Wie user32.dll al heeft verwijderd en in de opstartlus blijft, moet iets omslachtiger te werk gaan en het bestand handmatig terugzetten.

Gevorderde gebruikers kunnen dit doen met behulp van de Windows installatie-cd, waarop het bewuste .dll-bestand is terug te vinden. Deze moet gekopieerd worden naar de map windows\system32\ op uw computer. Dat kopiëren kan door het bestand op een USB-stick te plaatsen en de computer met behulp van een live-cd met Linux op te starten.

Sites als Digg, Facebook, Hotmail Newsweek en MSNBC blijken ongewild malware aan te bieden via malafide Flash-advertenties. De malware treft alle grote browsermerken onder Linux, Mac OS X én Windows.
Volgens sommige bronnen zouden de malafide banners op talloze grote sites zijn opgedoken.

Surfers die op een pagina met een malafide banner terechtkomen en op een banner klikken, zien hun klembord gekaapt worden. Concreet wil dit zeggen dat een URL zich nestelt op het klembord. Het verwijderen lukt niet, zelfs niet als u een ander stuk tekst selecteert en kopieert.

Uiteraard verwijst de URL naar een website met nog meer malware, deze keer vermomd als antivirussoftware.
Wellicht hopen de hackers dat slachtoffers bij een volgende plakactie – al dan niet abusievelijk – zullen klikken op de URL die dan verschijnt.

Fabrikant Adobe van zijn kant spreekt nog over een “mogelijk” probleem met Flash, maar blijft verder op de vlakte. “Momenteel onderzoeken we potentiële oplossingen voor deze kwestie. We zullen klanten binnenkort updaten als we meer informatie hebben om te geven”, valt bij Adobe te lezen.

Beveiligingsbedrijf Intego meldt het bestaan van een Trojan die Apple-computers kan kapen. Het onding is vermomd als een pokerspel en moet uitgevoerd worden om een Mac over te nemen. Het is een van de zeldzame gevallen van malware voor Mac OS X.

OSX.Trojan.PokerStealer is een als spel vermomde Trojan, verpakt in een zipbestand van 65 KB. Als PokerStealer wordt uitgevoerd, wordt achter de schermen SSH geactiveerd (waardoor er extern kan worden ingelogd op een Mac). Tegelijkertijd wordt de gebruikersnaam en de hash van het wachtwoord naar een server gestuurd. Een hacker heeft deze gegevens nodig om via SSH in te loggen. 

Wel moet de gebruiker eerst zijn wachtwoord invoeren. Om hem zover te krijgen, toont PokerStealer een venster waarin gewag wordt gemaakt van een corrupt configuratiebestand. Het invullen van het wachtwoord zou nodig zijn om het probleem op te lossen. In werkelijkheid geeft dit de Trojan vrij spel.

Zodra een aanvaller via SSH toegang heeft tot een Mac, kan hij ongestoord bestanden aanpassen en verwijderen.