[ archief ] GripLO

[bokito74]

Nee omdat jij liever eigenwijs bent en denkt dat je het beter weet dan iemand die er dagelijks mee te maken heeft.

En uiteraard kost het geld om er iemand bij te halen, kwaliteit en service dient nu eenmaal betaald te worden simpel zat.

Dat je het een keer verwijderd hebt ole ole we gaan een feestje bouwen nogmaals 99% verwijderen is geen 100%

En ik weet dat er op geklikt wordt hetzij onbewust of niet maar met klikken kan je hem nl alleen actief maken .

Maar blijf lekker door tobberen zou ik zeggen en sla mijn advies geheel in de wind dan zul je vanzelf wel een dagvaarding krijgen van iemand die je aanklaagt voor de schade die je kan voorkomen door te luisteren naar EXPERTS.

1 iemand na je pc laten kijken ook al kost dat geld
2 je msn wachtwoord veranderen en ook naar dit zul je niet luisteren maar dat is toch echt noodzakelijk het virus is er nog niet mee weg maar dit blijft doorgaan vanaf jou msn omdat iemand anders erop zit.

Dit bewijs wordt al geleverd door de melding dat je ergens anders al online zou zijn.

Maar ja dit is het laatste wat ik aan je vuil wil maken je vertikt het toch om te luisteren

[TigerGurwl]

Nee omdat jij liever eigenwijs bent en denkt dat je het beter weet dan iemand die er dagelijks mee te maken heeft.

En uiteraard kost het geld om er iemand bij te halen, kwaliteit en service dient nu eenmaal betaald te worden simpel zat.

Dat je het een keer verwijderd hebt ole ole we gaan een feestje bouwen nogmaals 99% verwijderen is geen 100%

En ik weet dat er op geklikt wordt hetzij onbewust of niet maar met klikken kan je hem nl alleen actief maken .

Maar blijf lekker door tobberen zou ik zeggen en sla mijn advies geheel in de wind dan zul je vanzelf wel een dagvaarding krijgen van iemand die je aanklaagt voor de schade die je kan voorkomen door te luisteren naar EXPERTS.

1 iemand na je pc laten kijken ook al kost dat geld
2 je msn wachtwoord veranderen en ook naar dit zul je niet luisteren maar dat is toch echt noodzakelijk het virus is er nog niet mee weg maar dit blijft doorgaan vanaf jou msn omdat iemand anders erop zit.

Dit bewijs wordt al geleverd door de melding dat je ergens anders al online zou zijn.

Maar ja dit is het laatste wat ik aan je vuil wil maken je vertikt het toch om te luisteren

Jij zoekt hier de ruzie, ik niet

En ga maar verder in op het virus! Zolang jij ook niks erop weet om het te verwijderen, moet je ook niks meer zeggen.

Ik ben er tenminste mee bezig om het te kunnen verwijderen.

En wachtwoord veranderen hebt geen nut. Want niemand anders zit op je msn! Het virus is eenmaal zo dat hij je afmeldt en aanmeldt, dus nee, niemand anders zit op je msn. Dus geen wachtwoord veranderen. Zo'n virussen bestaan, misschien nooit geweten? Net als dat virussen je pc kunnen uitschakelen?

Doe meer onderzoek voordat je hier wat zegt met je discussies. Daarmee ben ik wel al een tijd mee bezig!


En ik heb al gezien dat je graag iemand afsnauwt. Maar bij mij ben je verkeerd. Ook in mijn eigen topic! Denk eventjes na voordat je wat zegt.

[joepie91]

Het hoeft niet altijd aan die contactpersonen te liggen. Hier zijn een paar mogelijke scenario's:

1. De persoon in kwestie heeft zijn inloggegevens ingevuld in ruil voor *iets*, wat dat dan ook mag zijn.

2. De persoon in kwestie heeft een met een virus geinfecteerde computer. Hier kan iemand niet altijd iets aan doen (sommige virussen maken gebruik van beveiligingslekken om zichzelf zonder enige interactie van de gebruiker te installeren). Het virus heeft vervolgens de (opgeslagen) inloggegevens van de betreffende computer gestolen.

In beide gevallen wordt er door een automatisch systeem (bot) ingelogd op een lijst van inloggegevens (van de 'slachtoffers') en verstuurt een link naar deze sites. De contactpersoon zelf hoeft hiervoor niet eens bij zijn computer te komen, en hoeft niet ingelogd te zijn. Er word namelijk ingelogd door een computer van één van de oplichters (meestal gaat het hier niet om één persoon, maar om een georganiseerde misdaadorganisatie).

Ik heb even uitgezocht of de verklaring van een "affiliatesysteem" uberhaupt mogelijk is. In de broncode van de pagina is niets te zien wat op een affiliatecode zou kunnen duiden (de unieke code die wordt gebruikt om een bepaalde affiliate oftewel doorverkoper te identificeren). Er wordt wel direct verwezen naar een Flash-animatie (de eigenlijke site) op de server van GripLO. Dit betekent dat er nog twee mogelijkheden zijn om de affiliate te identificeren:
* Aan de hand van de domeinnaam die is gebruikt
* Aan de hand van ?mn=xxxx wat aan het einde van elke spam-URL staat.

Ik heb zelf een aantal van deze berichten ontvangen van een contactpersoon. Dit waren de volgende berichten:
-> ooi! hoe gaat het? ik heb net hier op http://www.eenlaptopgratis.nl/?mn=6817 gratis een Laptop gewonnen echt gaaf moet je ook eens proberen!!
-> ooi! hoe gaat het? ik heb net hier op http://www.hierjeprijs.com/?mn=8175 gratis een Laptop gewonnen echt gaaf moet je ook eens proberen!!

Aan deze berichten is te zien dat er verschillende domeinnamen worden gebruikt. Aangezien deze domeinen zeer snel worden gewisseld, en de oude domeinen worden geblokkeerd, is de identificatie aan de hand van een domeinnaam gewoonweg onmogelijk. Waarom? Als er daadwerkelijk zo vaak (elke 1 of 2 dagen) van domein veranderd wordt, had dit op moeten vallen bij de administratieve/technische afdeling van GripLO. Ieder zichzelf respecterend affiliate-systeem heeft een beveiliging die automatisch ingrijpt wanneer het domein te vaak veranderd wordt (dit moet immers ook aan het interne systeem doorgegeven worden, zodat deze weet waar de bezoekers vandaan komen).

De enige optie die overblijft is de ?mn=xxxx. Ik heb geprobeerd de mn-code van hierjeprijs.com (wat niet meer bestaat) te combineren met het domein van eenlaptopgratis.nl, en ik krijg een andere advertentie (van GloMobi) dan ik daarvoor kreeg. Dit zou dus betekenen dat de mn-codes per domein verschillend zijn, en dat dus ook aan de hand van deze codes de affiliate niet geidentificeerd kan worden.

Er zijn altijd mensen die zeggen: "En als ze zich nou elke 2 dagen opnieuw aanmelden met een nieuwe account en een nieuw domein?". Er zijn 2 simpele redenen waarom dit zeer onwaarschijnlijk is:
1. Oplichters zijn lui. Ze doen niet voor niets aan oplichting, ze willen op een makkelijke manier geld verdienen. En dat betekent dus niet iedere 2 dagen een papierwinkel invullen.
2. Het kost te veel. Ze zouden elke 2 dagen een nieuwe bankrekening moeten hebben, een nieuw adres (waarschijnlijk een katvanger), en een volledig nieuwe identiteit.

Dan rest er maar één conclusie: GripLO licht waarschijnlijk de boel op, en het hele verhaal met de affiliates (een veelgebruikte smoes door dit soort oplichters) klopt waarschijnlijk van geen kanten. De enige andere verklaring zou zijn dat GripLO geen enkel beveiligingsmechanisme heeft tegen oplichtende affiliates, en dat ze zelf ook geen oogje in het zeil houden. Wat ze vrijwel net zo schuldig zou maken als wanneer ze zelf de boel tillen.

Voor de verdere complotzoekers: De advertentie geeft aan aangeboden te zijn door een bedrijf in Hong Kong, en bij andere mn-codes wordt onder andere gesproken over een Maleisisch bedrijf, en worden de kosten uitgedrukt in Chinese Yuan.

EDIT: Wat je ertegen kunt doen: Wachtwoord veranderen. En een goede virusscan draaien. Er is een goede kans dat veel mensen waarvan hun account ongewild gebruikt wordt, helemaal geen virus hebben, maar gewoon hun inloggegevens ergens hebben ingevuld. Maar het is altijd beter om zeker te zijn. Voor iedereen die geen (goede) virusscanner heeft: www.avast.com, een behoorlijk goede anti-virus. Verder raad ik (uit persoonlijke ervaring) mensen met Norton of Norman aan om ook over te stappen naar Avast, aangezien Norton en Norman dit soort data-stelende virussen vaak over het hoofd zien.

[bokito74]

Avast ziet dit ook over het hoofd.

Er is maar 1 manier voor dit probleem dat is per direct het WW wijzigen en in veilige modus op virussen en spyware scannen.

Kijk ook even in msconfig wat er mee opstart, kom je exe bestanden tegen met een rare naam per direct uitschakelen.

In het geval van dit virus klik je er wel degelijk op, ik zou het ook graag anders zien maar het is nu eenmaal met dit virus zo.

Uiteraard hoeft na het klikken de pc niet meer aan te staan dan zijn de gegevens al gejat

[joepie91]

Avast ziet dit ook over het hoofd.

Er is maar 1 manier voor dit probleem dat is per direct het WW wijzigen en in veilige modus op virussen en spyware scannen.

Kijk ook even in msconfig wat er mee opstart, kom je exe bestanden tegen met een rare naam per direct uitschakelen.

In het geval van dit virus klik je er wel degelijk op, ik zou het ook graag anders zien maar het is nu eenmaal met dit virus zo.

Uiteraard hoeft na het klikken de pc niet meer aan te staan dan zijn de gegevens al gejat

Het klikken op de link zorgt er niet voor dat je geinfecteerd wordt. Dat komt waarschijnlijk ergens anders vandaan. Goede kans dat er *ergens* iemand een exploit (beveiligingslek) heeft dat hij gebruikt om computers te infecteren. En voor hetzelfde geld, gaat het sowieso niet om een virus, maar om een truukje zoals de Illegaaltje-site toe heeft gepast: mensen vragen om hun inloggegevens in ruil voor toegang tot "hacktools". Dit heeft een kennis van mij behoorlijk wat problemen opgeleverd.

Wat betreft het uitschakelen van opstartende programma's: je kunt ook even met behulp van http://free.antivirus.com/hijackthis/ een lijstje laten maken, en die naar mij PMen. Dan kan ik even kijken of er iets vreemds tussen staat (het lijkt me niet handig deze hier te posten, aangezien het hier toch over het oplichtingsaspect gaat, en niet over het oplossen van problemen).

Ik zei trouwens niet dat Avast deze wel herkent, ik heb alleen de ervaring dat Avast wel meer van dit soort dingen herkent (in het geval van een virus of exploit). En Avast scoort op dit gebied nog altijd stukken beter dan Norton of Norman. Ik weet uberhaupt niet hoe GripLO aan de gegevens komt, dus ik zal niet beweren dat met Avast alles opgelost is.

[bokito74]

Beste Joep,

Ik heb dit al getest op een stuk of 20 systemen omdat ik uiteraard ook wil weten wat er achter zit.
Klik je niet gebeurt er tot nog toe niks.

Getest na 24 uur aanlaten staan op het betreffende scherm maar niet klikken, bij de andere helft wel klikken.

Conclusie na 24 uur de geklikte pc's werd allemaal dezelfde trojans en spyware gevonden in de veilige modus na een scan.

Op de andere compleet niks.

Ik praat hier over 20 identieke systemen, 10 met vista en 10 met xp
Systemen zijn allemaal hagelnieuw en alleen voor dit doel voorzien van alle updates zonder andere software op msn de laatste versie na.

Vanaf pc's welke we wisten dat ze geinfecteerd waren lieten we adressen toevoegen die we alleen voor dit doel zouden gebruiken.

Ik mag dan toch concluderen dat het een virus is welke echt pas actief wordt tijdens een menselijke handeling.
Anders zou de andere helft ook geïnfecteerd moeten zijn

Het klikken op de link zorgt er niet voor dat je geinfecteerd wordt. Dat komt waarschijnlijk ergens anders vandaan. Goede kans dat er *ergens* iemand een exploit (beveiligingslek) heeft dat hij gebruikt om computers te infecteren. En voor hetzelfde geld, gaat het sowieso niet om een virus, maar om een truukje zoals de Illegaaltje-site toe heeft gepast: mensen vragen om hun inloggegevens in ruil voor toegang tot "hacktools". Dit heeft een kennis van mij behoorlijk wat problemen opgeleverd.

[jor]

Ik praat hier over 20 identieke systemen, 10 met vista en 10 met xp
Systemen zijn allemaal hagelnieuw en alleen voor dit doel voorzien van alle updates zonder andere software op msn de laatste versie na.

Vanaf pc's welke we wisten dat ze geinfecteerd waren lieten we adressen toevoegen die we alleen voor dit doel zouden gebruiken.

Ik mag dan toch concluderen dat het een virus is welke echt pas actief wordt tijdens een menselijke handeling.
Anders zou de andere helft ook geïnfecteerd moeten zijn

Dat lijkt mij in ieder geval wel,de kans dat dit niet zo is word zo wel heel klein. Knap getest trouwens.

[bokito74]

Dank u

Je moet wat als heel veel klanten dagelijks komen met precies hetzelfde he.
En allemaal was het hetzelfde verhaal ik heb niet geklikt.

Vandaar dat ik hier ook heilig overtuigd ben dat er dus wel degelijk op geklikt is.
Uiteraard kan iedereen het eens mis hebben ik ook maar 20 systemen liegen niet lijkt me zo

[joepie91]

Goede test inderdaad.

Ik moet even een kleine rectificatie plaatsen over mijn eerste post: ik heb over het hoofd gezien dat het domein waarnaar je verwezen wordt, niet rechtstreeks linkt naar de GripLO-pagina, maar een iframe bevat. In dat iframe bevindt zich de daadwerkelijke GripLO-pagina, waar inderdaad een affiliatenummer in staat.
Ik blijf het vreemd vinden dat er nergens iets over GripLO te vinden is, terwijl ze zeggen honderden affiliates te hebben. Bovendien wordt er constant verwezen naar Maleisie, Hong Kong, Cyprus, etc. Ik ga in ieder geval nieuwe domeinnamen in de gaten houden, om te kijken of daar dezelfde affiliate-ID word gebruikt. En een mailtje sturen naar GripLO met affiliatenummer e.d., om te kijken wat dat uithaalt.

En ik heb hier een virtual machine draaien, dus ik zal eens met Wireshark gaan kijken wat het doet. (kijken welke gegevens er verzonden worden, voor de niet-technische mensen)

Hoe denk je overigens dat dat virus geinstalleerd word? Ik kan in de broncode niets vinden. In ieder geval niet van het affiliate-domein. Als er dus een virus geinstalleerd wordt (wat via het Flash-bestand op de GripLO-site zou moeten gebeuren) is het alsnog GripLO die daar verantwoordelijk is, en niet de affiliate.

[bokito74]

Laat het maar weten ben benieuwd.

Ga nu ff naar eens spoedklus bij een klant BSOD.
En dan is het paniek he

[joepie91]

Een log van Wireshark laat geen communicatie zien, behalve dan de aangevraagde pagina, en de 2 frames die er op staan. Overigens is swfobject_modified.js niet meer beschikbaar, misschien zat het daar in. Maar als het daar ook niet in zit, is er dus geen mogelijkheid dat de pagina mensen geinfecteerd heeft... Vreemd.

[TigerGurwl]

Luisteren doe ik niet, omdat hij de mensen zelf schuld geeft en ik hier gewoon zie wat gebeurt en hoe het virus erin trekt. Niet doordat de mensen erop klikken in ieder geval. Dat is een feit! Maar als iemand door blijft zetten dat het hun eigen schuld is, moet hij het maar geloven! Maar ik weet dat dit niet zo is.

En ik zal me niet tot zijn niveau verlagen met zijn gescheld. Ik ben wel iets volwassener in dat en zeker op forums!

Ik zeg alleen dat het niet de mensen zelf schuld zijn en dat het geen nut heeft om je wachtwoord te veranderen, omdat iemand op je msn zit! Het is het virus zelf.

En ik ben al heel de week bezig om te kijken of ik het wel eraf krijg. Dus wel degelijk naar een oplossing op zoek!


Enigste wat die persoon toont, is onvolwassenheid. En heb al gezien dat hij dat bij iedereen doet!

[bokito74]

2x 10 pc's tonen je ongelijk aan met diverse testen en nog ben je eigenwijs.

Ik zeg dit niet voor de gein, net weer een klant gehad met precies hetzelfde alleen deze was gewoonweg eerlijk dat ze zelf niet geklikt had maar er zaten meer mensen op de pc dus klikken was dus goed mogelijk.

Je weet dat het niet zo is, daarom ben je al een week aan het tobben.
Je kan er binnen een uurtje vanaf zijn afhankelijk hoelang de scan duurt in de veilige modus en je ww veranderen per direct.

[Bericht aangepast door Moderator (op de man spelen)]

[Mistrrro]

Hmmm, eerlijk gezegd werkt dat met je paswoord veranderen wel op msn heb er al genoeg zo geholpen die het hebben veranderd op messenger et voila geen spam meer. Maar dat is mijn ervaring dus in ieder geval bedankt voor die tip bokito.

[bokito74]

Hmmm, eerlijk gezegd werkt dat met je paswoord veranderen wel op msn heb er al genoeg zo geholpen die het hebben veranderd op messenger et voila geen spam meer. Maar dat is mijn ervaring dus in ieder geval bedankt voor die tip bokito.

Geen dank.
Vergeet hem in veilige modus ook niet te scannen nog he.

[jor]

Maar dat is mijn ervaring dus in ieder geval bedankt voor die tip bokito.

Complimenten voor het uitzoeken bokito74 .

[bokito74]

Geen probleem.
Als je dagelijks veel van deze gevallen krijgt zul je iets moeten doen he

[D2Freak30]

Luisteren doe ik niet, omdat hij de mensen zelf schuld geeft en ik hier gewoon zie wat gebeurt en hoe het virus erin trekt. Niet doordat de mensen erop klikken in ieder geval. Dat is een feit! Maar als iemand door blijft zetten dat het hun eigen schuld is, moet hij het maar geloven! Maar ik weet dat dit niet zo is.

En ik zal me niet tot zijn niveau verlagen met zijn gescheld. Ik ben wel iets volwassener in dat en zeker op forums!

Ik zeg alleen dat het niet de mensen zelf schuld zijn en dat het geen nut heeft om je wachtwoord te veranderen, omdat iemand op je msn zit! Het is het virus zelf.

En ik ben al heel de week bezig om te kijken of ik het wel eraf krijg. Dus wel degelijk naar een oplossing op zoek!


Enigste wat die persoon toont, is onvolwassenheid. En heb al gezien dat hij dat bij iedereen doet!

Ik kan je alleen maar groot gelijk geven. Bokito meent overal verstand van te hebben maar heeft dat niet. hij vergeet dat er voor het binnenhengelen van virussen geen interactie van de gebruiker meer nodig is (ik noem b.v. het blaster virus dat werkt door zichzelf te broadcasten).
In sommige gevallen is het dus zo dat je zonder dat je er iets aan kunt doen al een virus te pakken kunt krijgen. Aangezien we niet weten om welk virus het gaat, schreeuwt bokito weer om niks.

[bokito74]

In sommige gevallen is het dus zo dat je zonder dat je er iets aan kunt doen al een virus te pakken kunt krijgen. Aangezien we niet weten om welk virus het gaat, schreeuwt bokito weer om niks.

Nee jongen ik weet het niet, ik weet welk virus er via msn gaat dus praat geen onzin.
Altijd zit er menselijke interactie tussen hoe je het ook keert of draait, hetzij door direct erop te klikken hetzij door het openen van een programma noem maar op.

Ik praat hier uit flinke ervaring en niet van horen zeggen maar zelf testen

[D2Freak30]

In sommige gevallen is het dus zo dat je zonder dat je er iets aan kunt doen al een virus te pakken kunt krijgen. Aangezien we niet weten om welk virus het gaat, schreeuwt bokito weer om niks.

Nee jongen ik weet het niet, ik weet welk virus er via msn gaat dus praat geen onzin.
Altijd zit er menselijke interactie tussen hoe je het ook keert of draait, hetzij door direct erop te klikken hetzij door het openen van een programma noem maar op.

Ik praat hier uit flinke ervaring en niet van horen zeggen maar zelf testen

Heb je mijn baas al gesproken? Oh, om je even uit je natte droom te helpen, een stukje over het blaster virus:

The worm spread by exploiting a buffer overflow discovered by the Polish hacking group [4] Last Stage of Delirium in the DCOM RPC service on the affected operating systems, for which a patch had been released one month earlier in MS03-026 and later in MS03-039. This allowed the worm to spread without users opening attachments simply by spamming itself to large numbers of random IP addresses. Four versions have been detected in the wild

Oftewel, als je engels kunt, wat ik betwijfel, er is geen interactie nodig, tenzij je de pc aanzetten als interactie beschouwt.