Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 87 reacties

Er is een nieuwe versie gesignaleerd van het Dorifel-virus, dat vorige maand schade aanrichtte bij een aantal organisaties in Nederland, waaronder ministeries en provincies. De nieuwe versie van het virus is moeilijk te detecteren.

Het nieuwe Dorifel-virus is ontdekt door beveiligingsonderzoeker Mark Loman, ceo bij Surfright. De nieuwe versie is versleuteld, in tegenstelling tot het originele virus. Daardoor is het moeilijker te herkennen voor virusscanners; slechts 3 van 42 geteste virusscanners zouden de nieuwe versie herkennen. Volgens Loman heeft het virus op elke pc die het infecteert een andere hash; dat maakt het lastig voor antivirusbedrijven om definities uit te brengen waarmee de malware wordt gedetecteerd.

Circa twintig minuten na installatie downloadt de nieuwe versie van Dorifel volgens Loman een rootkit die verwijdering verder bemoeilijkt. Ook wordt ransomware gedownload. Gebruikers krijgen een venster te zien dat zogenaamd van Buma/Stemra afkomstig is, waarin wordt gemeld dat ze illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bestanden.

De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.

Volgens Loman heeft de ontwikkelaar van de malware zijn code opgeschoond en wordt er nu bijvoorbeeld minder vaak gecommuniceerd met de command-and-control-server, die de malware nieuwe instructies kan sturen. Die instructies zitten in de nieuwe versie verstopt in een afbeelding van Mohammed Ali.

Hoeveel mensen al zijn besmet met de nieuwe Dorifel-versie, is onduidelijk. "Ik heb het Nationaal Cyber Security Centrum er al over ingelicht", zegt Loman. Hij onderzoekt nog of er in Nederland infecties zijn. Woordvoerster Mary-Jo van de Velde van het NCSC zegt dat er nog geen meldingen binnen zijn gekomen over besmette pc's bij de overheid.

Beveiligingssoftware die Lomans bedrijf heeft ontwikkeld, HitmanPro, kan de malware verwijderen. Eerder dook al een nieuwe versie van de malware op in de Verenigde Staten. Volgens beveiligingsbedrijf Digital Investigation is het aan te raden om het ip-adres 91.220.35.61 in de firewall te blokkeren, evenals de domeinnamen open-consulting-company.com en oianowifna.ru. Die worden waarschijnlijk gebruikt om de malware te verspreiden of dienen als command-and-controlserver.

Nieuwe DorifelNieuwe Dorifel

Beelden: Mark Loman

Reacties (87)

Reactiefilter:-187084+170+214+33
Moderatie-faq Wijzig weergave
De malware gebruikt de volgende IP-adressen/domeinnamen
91.220.35.61
oianowifna.ru
greatnewidea1.ru
greatnewidea12.ru
www.organizasyonservisi.com (gehackt domein)
unionfilesexchnges.su

Ben je de pineut? Gebruik dan de volgende decrypter om je bestanden veilig te stellen.
Heb deze zojuist toegevoegd aan de kaspersky firewall, nu vraag ik me af of je naast het domein ook het IP van het domein moet blokkeren aangezien mijn anti-virus liet zien dat deze nieuwe bedreigingen een ander ip adress hebben.
Ik vraag me echt af hoeveel personen in de ransomware trappen.

Ten eerste door de vele spel-/taal-fouten. En ook de betaling die via Paysafecard verloopt.

Op een gegeven moment moet er toch wel een belletje gaan rinkelen zou je zeggen ?
Als jij je bestanden terug wilt, mag je hopen dat ze na betaling een decrypter opsturen.
Op de site van SurfRight is er echter al een decrypter beschikbaar.
http://www.surfright.nl/n...orifel-decrypter#download
Daarnaast zou ik graag willen weten welke AV ze wel heeft geblokkeerd en met welke instellingen, een bron dus.
Ik weet niet waar maar ik had ergens gelezen dat er na betaling dus helemaal niets gebeurde, bron ben ik even kwijt

Edit :

https://www.virustotal.co...dbff/analysis/1348728915/


Deze scanners detecteren de "nieuwe" variant dus

[Reactie gewijzigd door Imnoa op 27 september 2012 14:02]

Helaas is die lijst alweer verouderd: De meeste scanners hebben dagelijkse of meermaals dagelijkse updates. Best kans dus dat de mainstream scanners het ondertussen ook detecteren.
Bij moment van schrijven is 15 minuten geleden de laatste analyse geweest en slechts 6 van de 42 scanners herkennen deze nieuwe variant:

https://www.virustotal.co...91d20d92dcddbff/analysis/

Men heeft weer een groot probleem als de grote anti-virus jongens de updates niet snel doorvoeren.
in de lijst staat dat SUPERAntiSpyware al minimaal 16 dagen en emsisoft ruim een week van het virus 'afweet'. Ze hebben dit dus al eerder gevonden en er een update van kunnen uitbrengen.

Ze zullen misschien niet meteen de link naar het dorifel-virus gelegd hebben, maar als er al overeenkomsten gevonden zijn, waarom niet eerder door 1 van de 3 antivirusmakers?

Nu ben ik niet bekend met deze 2 AV programma's, maar vind dit wel vreemd.
wellicht kan tweakers eens met de tijd meegaan en in de berichtgeving even vermelden om welk platform het gaat?

zeker in een tijd dat windows alles behalve de standaard meer is..

als ik op een autosite zit en er komen berichten langs als "nieuw probleem met remsysteem gevonden" dan wordt daar ook bij verteld om welk type/model auto het gaat..

of is dit nou echt een hele rare vraag van mij en had ik moeten begrijpen dat als het woord virus valt dat het dus enkel maar om 1 enkel platform KAN gaan?
Klopt, platform zou erbij horen.
Maar in 99,8% van de gevallen gaat het om Windows.
Nee, dit is geen grap, bron halfjaarverslag Gdata: http://www.gdata.nl/uploads/media/GData_MWR_1_2012_EN.pdf
Platforms: >>Windows rules!<<
Computer programs are written for certain operating systems or work environments. This also applies to malware. Windows has had a large and growing share here for years; and things are no different in the first half of 2012. Malware for Windows3 has increased its share by another 0.2% to 99.8%. Most new malware still appears in the Windows environment. Malware on websites is currently in third place. Here, however, the signature-based count does not allow us to draw any clear conclusions regarding the number of new malware programs. Most of the web scripts have been and still are detected using generic signatures; hence, there is no need for new signatures that would appear as "new" in the statistics. The situation for mobile platforms and malware for Apple computers is similar. Here, the numbers in the "Risk monitor" section, page 9, are much more conclusive as they are based on actual attacks.
Hoewel Mac ook een risico begint te vormen:
In February 2012, the first variants of Mac malware Flashback were discovered. These variants exploit vulnerabilities in Java to infect users when visiting a website without the users noticing this.
Among other things, the malware integrated infected Macs into a botnet. In April, it was reported that more than 600,000 Mac computers – mostly those with the Snow Leopard operating system – were infected. For the first time ever, Apple published a special tool for removing the malware. Hence, malware has definitely arrived in the Mac universe.
En helaas Android ook natuurlijk:
Android malware: when is the deluge going to arrive?
Different values can be used to count Android malware. One method of counting is based on the analysis of the number of new malicious files. In the first half of 2012, a total of 25,611 new malicious files arrived in the G Data SecurityLabs. Unfortunately, it is difficult to map the time distribution of the individual samples because we do not have the exact date on which the file was registered for the first time for each sample.8 Figure 3 shows the distribution of samples that could be clearly assigned to a date.
The files that could not be clearly assigned to a date usually come from collections that include malicious files from an extended period. If you evenly distribute these files to the preceding months9, this results in the distribution in Figure 4. According to this calculation, the number of new Android malware is increasing continuously.
Based on signatures, the individual files can be assigned to certain families and their variants. The 25,611 malicious files can be mapped to 737 malware variants. The 737 malware variants are based on 217 malware families, 80 of which appeared in the last six months.
als het er niet bij staat is het gegarandeerd voor windows, virusuitbraken op OSX worden zeker vermeld vanwege de extra nieuwswaarde en een artikel over het eerste virus dat zich masaal verspreid onder linux computers moet nog geschreven worden.
Het opschonen van de computer is een fluitje van een cent.
Start de computer op in een account van een andere gebruker, of in de veilige modus.
Voer hier een viruscan uit met microsoft sicurity essentials en verwijder de aangetroffen bestanden.
Echter blijkt dit in de praktijk niet voldoende te zijn. Omdat de nieuwe Dorifel virussen over een rootkit beschikken :Y)

Referentie: https://www.virustotal.co...dbff/analysis/1348728915/

[Reactie gewijzigd door Unflux op 27 september 2012 14:36]

Die scan is van de ZeroAccess trojan met 'rootkit' beveiliging. De detectie van Dorifel zelf was dinsdagavond 8/42 (alleen generieke detectie vanwege de encryptie): https://www.virustotal.co...91eedc256c91889/analysis/
slechts 3 van 42 geteste virusscanners zouden de nieuwe versie herkennen.
Welke zijn dit dan? Ben benieuwd of ik met Kaspersky pure 2.0 hier tegen beveiligd ben...
Erg goede vraag, helaas is VirusTotal GEEN goede referentie pagina omdat zij alleen een command line engine gebruiken en dus geen DPI.

Sophosen Symantec zouden volgens de laatste info ook deze nieuwste variant moeten onderscheppen.

Zie onderstaand voor mijn argument dat VirusTotal geen referentiesite is:

VirusTotal for antivirus/URL scanner testing
At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:

VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.
These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea. The Prevx team also made an entry in their blog discussing the matter
Wat een lol mensen nog steeds hebben in het maken en verspreiden van virussen ontgaat me nog steeds, maar okay. Hier is zo te zien weer iemand bezig met geld te proberen te verdienen met ransomware.

Hoop dat onze viruskillers weer snel een update krijgen want hier zit je weer niet op te wachten...
Maar hier trap je toch nooit in? Kijk een naar dat Nederlands.... Ik krijg phishing berichten die beter zijn.
Het bericht is lachwekkend slecht, maar op het moment dat je dat ziet is het al te laat. Slecht geschreven of niet, je PC is gegijzeld.

Ik ben wel benieuwd welke 3 AV producten dit versie al herkenden. Dat wordt helaas niet vermeld.
Als je twee of meerdere monitoren hebt, kun je er onderuit komen wanneer je icoontjes op je andere schermen hebt staan waarmee je bij een alternatief process kill programma kan komen. Want de andere schermen dan het primaire scherm worden niet geblocked ;-). Het startmenu is hidden en sommige toesentbord combinaties staan uit.

Ik heb hem ook een keer gehad, de eerste versie dan (weet niet precies hoe). Computer gelijk uitgezet. Opgestart met tweede partitie. Rare bestanden weggegooid. Opnieuw opstarten en klaar. Vergeet vooral niet de temp directory te legen.

Toen ik het voor de eerste keer zag dacht ik meteen: "Yer right", buma-stemra en politie. En als dat zo zou zijn dan zouden ze dat nooit zo op deze manier kunnen doen (want het is chantage om je computer te vergrendelen voor iets zoals dit). Ik dacht eerst dat het een browser venster was maar dat bleek dus niet zo te zijn.

Maar wel uiterst vervelend die virussen, niet alleen irritant maar kost ook de nodige tijd. Je krijgt er echt knok-neigingen van.
Dit virus hijacked waarschijnlijk het explorer.exe proces (dat is tenminste wat ik een tijdje geleden heb gezien bij de Belgische variant) en valt makkelijk weg te halen door op te starten met een DOS prompt (niet in veilige modus, daar heb je nog steeds explorer!) en te scannen met Microsoft Safety Scanner (portable scanner van microsoft). Een rondje Malwarebytes erover gooien kan ook geen kwaad :)
Bedankt voor al deze nuttige tips. Toch wil ik nog even mijn duit in het spreekwoordelijke zakje doen. "Never let an infected system scan itself." is wat ik ooit van mijn ICT leraar heb geleerd en als het een hardnekkig root-kit virus betreft is dit absoluut waar. Wat dan wel te doen? Ik zet 99,9% in op tools als rescue bootable cd's en/of USB sticks. Je boot dan 100% clean met b.v. Kapsersky rescue op een USB. Download de nieuwste definities en je kunt scannen op een 'bevroren' OS dat root-kits buitenspel zet (tenzij deze in de BIOS zitten).
Ook kun je met een ander OS op een 2e partitie of andere HD je geïnfecteerde systeem scannen.
(Ik noem 1 smaak hierboven, is geen reclame er zijn er nog veel meer hoor! Allen te vinden op http://antivirus.startpagina.nl/ het gaat erom dat je een scan doet buiten het geïnfecteerde systeem om. En ja, check de USB/cd die je hebt gemaakt een week later ook nog maar eens om te kijken of je niet per ongeluk een zero-day hebt meegepakt. Liefst op een USB stick die je hardwarematig op 'read only' kunt zetten)
Ik raad een DVD/CD aan over een USB-stick. Dit omdat een virus eventueel een USB-stick kan infecteren. Een virus kan ook actief worden door een ander OS, al is die kans niet heel groot. Denk bijvoorbeeld aan de bug met icoontjes van bestanden, als die ook op Linux zou werken. Of een virus dat zich nesteld in het BIOS of in hardware.
Het probleem met het virus is dat scanner van buitenaf niet helpt, tenminste op de computer die ik moest fixen hielp het niet Je kan bijvoorbeeld booten met mini-windows XP (hirens boot cd), alles scannen zo veel je wil, zo veel mogelijk bestanden verwijderen die je wil, en dit virus zou nog steeds aanwezig zijn. De belgische variant is best hardnekkig! Het register wordt niet gescant als je het van buitenaf doet, dus het virus zal zich gewoon herstellen tenzij je het register van de originele windows toch nog kan benaderen en scannen :)

In safe mode kon je ook niets doen (hieronder wordt vermeld dat je simpelweg de task manager kan starten, wat natuurlijk niet kon bij het virus dat ik tegenkwam). Je kon niets op die computer. Na het herstellen van het virus bleek dat dit virus absoluut alles had uitgeschakeld dat niet nodig was om het systeem stabiel te draaien en een waarschuwing weer te geven op het scherm. We spreken hier over een Windows XP met een stuk of 10 processen :) Zelfs na het opschonen van het systeem was de computer eigenlijk niets waard. Best hardnekkig dit virus.

[Reactie gewijzigd door HuRRaCaNe op 28 september 2012 00:47]

Je kan er heel makkelijk omheen komen, je doet CRTL+ALT+DELETE, andere gebruiker en vervolgens sluit je Windows af. Dat afsluiten wordt geblokkeerd door Windows omdat het geforceerd moet worden. Dat annuleer je en je logt weer in. Dan krijg je gewoon je desktop en (flash)scan je even met MalwareBytes en HitmanPro. Heb het al bij meerdere pc`s op deze manier opgelost.
en wat doe je dan vervolgens met de bestanden die ondertussen versleuteld zijn?
Ik denk dat je in de war bent namelijk met andere randsomware dat ik ook al meerdere keren heb gevonden en heb verwijderd, en dus niet te maken hebt gehad met het dorifel-virus dat ook daadwerkelijk bestanden versleuteld...
Als je een volledige en beetje recente backup hebt is het weinig schokkend
Zelfs in het beste geval, waarin je meerdere point-in-time backups bijhoudt, zul je nog altijd moeten gaan uitzoeken wanneer de infectie heeft plaatsgevonden, anders herstel je die vrolijk opnieuw met de backup.

Daarnaast is het aantal thuisgebruikers met een sluitende backupstrategie natuurlijk beperkt. En als ik de schrijver van Dorifel was zorgde ik er in ieder geval voor al je bestaande backups te besmetten, voor het geval je gebruik maakt van de standaard Windows backup en de backups niet verplaatst naar een offline medium zodra ze gemaakt zijn (disclaimer: ik heb geen idee of Dorifel zelf dat doet, maar ik neem aan van niet).

Met andere woorden, beetje makkelijk.
Helaas slachtoffer geworden van dit virus vorige week vrijdag. F-secure rescue CD kon na een scan van 4 uur geen oplossing bieden. AVG rescue CD detecteerde het virus en verwijderde het na een 2 uur durende scan.

En inderdaad het bericht is slecht geschreven, maar als het ziet kun je je computer dus al niet meer in. Hier was het trouwens een "u heeft kinderporno gedownload of verspreid, betaal 100,00" versie, maar zoals hier aangegeven en niet zoals een maand geleden.
Als ik zie hoe slecht het Nederlands is van de gemiddelde Nederlanders (zie alleen maar de comments op bijvoorbeeld www.telegraaf.nl) dan denk ik dat veel mensen het geeneens doorhebben dat het slecht Nederlands is....
Ik ken meerdere mensen die in een vorige versie zijn getrapt. Die leek hier erg op (zelfde schermindeling etc.), maar gaf een melding dat er kinderporno op de computer zou staan. De betrokken personen hebben hiervan aangifte gedaan bij de politie. De politie gaf hen aan dat er al redelijk wat aangiften lagen. Ik ga er bovendien vanuit dat niet iedereen hier aangifte van zal doen, aangezien het toch wel beschamend is als je hier in trapt.
Ik heb hem laatst verwijderd bij iemand door op te starten in safe mode en met ccleaner er voor gezorgd dat ie niet opstartte, echter als hij na 20 minuten al dingen doet die die de vorige keer niet deed zal het wel moeilijker worden!
gewoon combofix, hijackthis, malwarebytes, superantispyware en roguefix en klaar is kees :)
Ik had een soortgelijke virus een paar maanden terug - in dat geval kreeg ik een pop-up waarschuwing van de Franse staat (waar ik woon), en gezien hier *wel* wettelijke maatregelen worden uitgevoerd tegen downloaders (kuch...) was dat toch even schrikken!

Ik kan je vertellen dat dat niet zo 1, 2, 3 te verwijderen was en ook ik gebruikte meerdere tools (in safe mode en vanaf boot CD) om te proberen het op te sporen. Uiteindelijk bleek het in één of ander system file te zijn verborgen en moest ik met de hand de originele bestand uit de system restore laten halen (wat met scheduling tijdens reboot moest gebeuren - heb veel moeten leren die dag). Kostte een uur of twee in totaal.

Het scheen een erg nieuwe virus te zijn waar weinig info over was / tools tegen te vinden waren. Klinkt bijna alsof dit gewoon de Nederlandse versie van is (toendertijd was "mijn" virus alleen in Frankrijk en Duitsland gesignaleerd).

Ik was nogal pissig omdat ik helemaal niets fouts deed - ik gebruik Opera en block alle ads die ik tegen kom (ook als ze erg in de code worden genesteld). Ik surfte helemaal niet roekeloos toen dit ineens op-popte - was bezig een image search van Google door te bladeren, dus de trojan zat op een site of ad die in de achtergrond werd geladen toen Google de foto zelf liet zien. Was al geen fan van nieuw-style Google Images, waarom niet eerst alleen de foto laten zien zoals vroeger? AVG merkte er ook helemaal niets van... heb je zo'n virus scanner, doet 'ie het ook niet! :(

[Reactie gewijzigd door MossMan op 27 september 2012 17:47]

dat zijn geen actieve scanners hé, maar gewoon executables zoals elk geinstalleerd programma ... sommige moeten zelfs niet eens geïnstalleerd zijn ...
Dit virus is niet ontwikkeld voor de lol, maar puur om mensen geld te onttrekken. Zit waarschijnlijk een criminele organisatie achter en ze hebben het dus goed aangepakt.
Inderdaad... extra reden om de daders aan te pakken. Follow the money lijkt me.

Is het eigenlijk niet mogelijk de organisatie paysafecard deels verantwoordelijk te houden. Als hun dienstverlening dit soort misbruik mogelijk maakt, overtreden ze denk ik wel de "Wet identificatie bij dienstverlening".
De tijd van voor de lol virussen schrijven is allang voorbij. Dit is ook geen smakeloze grap, maar een smakeloze truc.
Het verbaast mij eigenlijk dat er zo weinig virussen zijn die je hele serverbased My Documents folder en alle server based shared folders encrypten, waarna je het wachtwoord kan kopen van de virusmaker. Met een goede backend kun je prima per-user wachtwoorden bijhouden zodat één wachtwoord niet meteen alle data van alle geinfecteerden unlockt.
Iemand alweer een lijstje host servers waar die onzin van binnengeharkt wordt? Kan dat i.i.g. dicht in bedrijfsfirewalls.
Een ouder lijstje alweer ( 15 augustus)
Maar dit is het enige wat ik zo snel kon vinden

184.22.246.252
158.255.211.28
184.22.102.202
184.22.103.202
184.82.107.86
184.82.162.163
bank-auth.org
reslove-dns.com
wesaf341.org
windows-update-server.com
xertgfd.ru


Kleine kans dat deze ip's nogsteeds gebruikt worden maar blokkeren kan geen kwaad denk ik
Op de site van Surfright staan nieuwere adressen (zie link van Soldaatje hierboven):

91.220.35.61
oianowifna.ru
greatnewidea1.ru
greatnewidea12.ru
www[punt]organizasyonservisi[punt]com
unionfilesexchnges.su

Edit: url niet-aanklikbaar gemaakt.

[Reactie gewijzigd door xgnoom op 27 september 2012 16:54]

En kunnen we wat halen uit het tweede screenshot?
Bij een bekende die ook zo'n 'boete' moest betalen omdat hij illegaal gedownload zou hebben was het simpel opgelost: Reboot in veilige modus en met system restore een weekje teruggaan.
Is niet in alle gevallen de optie. In sommige gevallen werd een extra partitie aangemaakt. Die wordt door een system restore niet ongedaan gemaakt.
Bij een bekende die ook zo'n 'boete' moest betalen omdat hij illegaal gedownload zou hebben was het simpel opgelost: Reboot in veilige modus en met system restore een weekje teruggaan.
Naast wat Bartmanz zegt kennen we natuurlijk allemaal wel de virus meldingen in [b]C:\System Volume Information[/b] oftewel het gedeelte waar systeemherstel van Windows zich bevind, als dit ook geinfecteerd is wat 9 van de 10x gebeurd heeft systeemherstel ook niet zoveel zin...

Overigens vind ik het inderdaad jammer dat Tweakers wel aangeeft dat 3 scanners dit virus opmerken maar vervolgens niet zeggen welke dat zijn.
Wat me nu nog steeds onduidelijk is,
welk beveiligings- gat gebruikt dit virus (en de vorige versies)
om in 1e instantie binnen te komen (java, ie lek ??)

en waarom is dit lek nu nog niet gedicht dan ?
Collen dat is vrij eenvoudig. Nieuwe malware probeert er alles aan te doen om binnen computer systemen te komen. 1 + 1 = 2. Ze gebruiken dus de laatste exploits om hun taak te voltooien. Je kunt dus denken aan de laatste Java / IE / Flash / Adobe exploits, want de zojuist genoemde exploits worden bijna door alle malware misbruikt.

Deze exploits zitten dus ook in bijna alle exploit packs.

Een antwoord op je laatste vraag kun je zelf wel invullen lijkt me?

[Reactie gewijzigd door Unflux op 27 september 2012 14:44]

Deze family (buma/stemra & politie meldingen) die komt vaak binnen via Java dus altijd zorgen dat die geupdate is!

P.S.
De fabrikant kan het lek wel dichten maar dan moeten mensen de update ook nog eens installeren natuurlijk

[Reactie gewijzigd door Leo1010 op 27 september 2012 19:32]

Snel die afbeelding van de site halen? Als antivirus en firewall producten op zijn minst de afbeelding blokkeren scheelt al een hoop ellende lijkt mij... Heb je geen communicatie met de C&C en kan je hem verwijderen
Ja dat helpt echt heel erg veel en dan natuurlijk ook alle andere afbeeldingen op het internet blokkeren en oh ook alle andere bestanden want het kost in totaal wel 2 seconde om de commando's in een ander document of bestand te verstoppen.

Denk je nu echt dat het virus zo geschreven is dat het zo dood eenvoudig te stoppen zal zijn? Sorry maar iemand die een virus als dit schrijft (duidelijk de Nederlandse taal niet beheerst dat dan weer niet) heeft voldoende verstand van zaken om niet zo'n domme fout te maken.
Ga er maar van uit dat het deze keer dit bestand is maar dat het net zo makkelijk met iedere andere afbeelding kan omdat de opdrachten in bepaalde bytes staan en zo lang het bestand maar minimaal een x aantal bytes bevat maakt het niet uit welk bestand gebruikt wordt. De commando's worden bijvoorbeeld gevormd door iedere tiende byte samen te voegen of zo iets.

Hoe dan ook als de hash telkens anders is dan is het erg lastig om uit te vinden of een bestand wel of niet het virus is en zul je een stuk meer werk moeten verzetten om hier zeker van te kunnen zijn. Maar als het virus (zo als nu het geval is) eenmaal gevonden is dan is het veel al een kwestie van dagen voor dat de meeste virus scanners het ver genoeg ontleed hebben om het hoe dan ook altijd te kunnen herkennen.
Dat begrijp ik ook wel maar op het moment dat je deze afbeelding blokkeert heb je toch wel even de tijd om het virus te verwijderen omdat dit virus minder vaak met de C&C communiceert.. De vorige versie gebruikte ook maar 1 afbeelding (correct me if I'm wrong).

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True