Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 72, views: 46.065 •

De Dorifel-cryptomalware zou zich via de chatfunctie van Facebook verspreiden. Gebruikers krijgen een link voorgeschoteld onder het voorwendsel dat ze foto's te zien krijgen. De link leidt echter naar een pagina die de malware installeert, waarna de link wordt doorgestuurd naar vrienden.

De kwaadaardige links worden via Facebook Chat verspreid met daarbij de tekst 'Your photos? LOL'. Wie de chatfunctie niet geactiveerd heeft, krijgt de link als bericht in de map Overige. De link leidt naar een site die er uitziet als een Facebook-pagina en die de melding geeft dat een app geïnstalleerd moet worden om de content te zien. De automatische download haalt echter Trojan-Dropper.Win32.Dorifel binnen, die vervolgens meer malware het systeem binnensmokkelt, onder andere om bankgegevens te stelen.

Ook wordt na installatie de link verder verspreid via de vriendenlijst van het slachtoffer. De verspreiding werd ontdekt door de Oostenrijkste site Mimikama, die Facebook-gebruikers waarschuwt voor kwalijke praktijken omtrent het sociale netwerk. Dorifel hield vorig jaar vooral in Nederland huis en toen verliep de verspreiding vooral via het Citadel-botnet. De malware gijzelt onder andere Office-documenten. Recent bijgewerkte antivirussoftware zou de malware moeten herkennen.

Nep Facebook app downloaden

Kaspersky Dorifel

Reacties (72)

http://ip.robtex.com/188.190.99.252.html , komt bekend voor dat ip, ah ja, dat datacenter in Ukraine, vorige week al op de bloklijst gezet.

Valt me mee dat ze nog niet op spamhaus staan... :) ...
Gewoon geen java en flash installeren, en niet als beheerder werken,

Leer dat nu eens mensen..

[Reactie gewijzigd door Thc_Nbl op 30 maart 2013 13:37]

Gewoon geen java en flash installeren, en niet als beheerder werken,

Leer dat nu eens mensen..
geen internet-verbinding hebben helpt ook |:(

er is veel meer gewone content die je mist, dan die paar exploits en virussen die er misbruik van maken.

je moet goed opletten bij vreemde links of boodschappen, maar voor niet IT'ers blijft dit moeilijk om te analyseren wat wel en niet schadelijk is.
Vooral niet als beheerder werken, ik denk dat THC_NBL dat bedoelde.
Helpt, maar geeft verder geen enkele garantie hoor; er zijn zat local privilege escalations mogelijk via Java, Flash, Adobe Reader, McAfee of andere veel voorkomende software, waardoor het voor malware effectief niet uitmaakt of je nou als beheerder draait of niet.

Gewoon Java uit in de Browser, Geen Acrobat Reader gebruiken maar een alternatief als Nitro of Foxit voor PDF (= niet 100%, maar wel stukken veiliger) en Flash net zo consequent updaten las je Windows ...
Of gewoon Firefox gebruiken voor PDFs. Heel de renderer is geschreven in Javascript, waar het veel moeilijker is om uit de veilige sandbox te ontsnappen.
@Dasiro:
Overdrijven is ook een vak. Bij mij staan Java en Flash standaard uit en ik heb niet het idee dat ik zoveel mis. Al die uitbundige schreeuwerige reclame hoeft van mij niet.

Als ik toch ergens flash nodig heb op een website - meestal voor een video - dan kan ik het betreffende flash object met 1 klik toestaan. Natuurlijk staan vaak bezochte websites gewoon op een whitelist - en met dank aan html 5 is flash bovendien steeds minder belangrijk.

Van Java heb ik persoonlijk nog nooit wat gemerkt. Op welke actuele - niet werk gerelateerde - website wordt Java nog gebruikt? Ik ben werkelijk nieuwsgierig.

Overigens, als je echt veilig bezig wilt zijn dan schakel je ook JavaScript uit (ivm XSS risico's), maar zeker tegenwoordig hou je dan niet veel meer van het internet over.
Hmm als ik me niet vergis is het een backdoor die dan de malware installeert. Hij instaleert oa dat mutatie virus en keyloggers. Maar dat weet ik niet zeker. Maar ik dacht dat er een rootkit werd geinstaleerd En iedereen weet dat rootkits moeilijk te verwijderen zijn.

Altijd opletten met zomaar rare links. Nooit openen tenzij je aan het chatten bent en je vraagt wat dat is. Als de andere zegt. ''wat bedoel je ik heb niks gestuurd'' of hij reageert niet dan weet je hoe laat het is.
OS X... Wil niet zeggen dan je geen last van virussen kan hebben, maar het zijn er zeker minder :-)
Dan gaat het argument van dasiro nog meer op:
er is veel meer gewone content die je mist, dan die paar exploits en virussen die er misbruik van maken.
Ik denk dat als je gewoon nadenkt en geen Java geinstalleerd hebt, je al heel ver komt. Daarnaast kan een uptodate virusscanner ook geen kwaad als Windows-gebruiker (wat ik overigens niet ben).

Zoveel drive-by-downloads en andere exploits worden tegenwoordig niet meer gebruikt. Er is n exploit die zelfs niet door de beste virusscanner gedicht kan worden en dat is de gebruiker zelf.

Social engineering wordt geloof ik hier ook gebruikt - mensen halen het bestand zelf binnen en starten het ook zelf op. Dan kan dat irritante Windows UAC nog zo'n mooi glimmend schermpje laten zien, als de gebruiker gelooft dat het nodig is, dan zal hij/zij het toestaan ...

Misschien hebben we naast alcoholvoorlichting over een paar jaar wel malwarevoorlichting op de basisscholen - of in de bejaardehuizen :+.
Och die mythe weer. Draai al 10+ jaar nu zonder virus scanner, geen enkel probleem gehad. Ligt gewoon aan wat je doet. Tegen gebruikers domheid is geen virusscanner bestand.

De enige reden dat OSX numeriek minder virussen heeft is omdat het marktaandeel op het randje van verwaarloosbaar zit (7%?). Ik denk dat pound for pound windows een stuk veiliger is dan OSX als de cijfers gelijk getrokken worden.

Veiligheid omdat niemand het interessant vind om een virus voor je platform te maken is natuurlijk geen veiligheid. Apple heeft in het verleden vaak hoog uit de boom geblazen dat het virus proof was, die claim hebben ze ondertussen maar stilletjes gedumpt na de issues de laatste jaren.

Maar goed, de beste virus scanner is natuurlijk een goed beschermd netwerk met een gebruiker die goed weet wat de do's en don'ts zijn.
Je hebt helemaal gelijk, maar ik denk niet dat Mebus het anders bedoelde. :)
De enige reden dat OSX numeriek minder virussen heeft is omdat het marktaandeel op het randje van verwaarloosbaar zit (7%?). Ik denk dat pound for pound windows een stuk veiliger is dan OSX als de cijfers gelijk getrokken worden.
Dat zijn wat aannames die jij net zo min hard kan maken als ik het tegendeel. We zullen trouwens eens zien of je 7% nog steeds zo verwaarloosbaar vind op het moment dat het 7% van je salaris is wat je in moet leveren ;)

Feit is in elk geval dat ik me voorlopig in 10 jaar OSX gebruik nog nooit druk heb hoeven maken om malware, waar dat de afgelopen 10 jaar met windows wel wat anders was. Wat de reden daarvan is vind ik onderaan de streep niet eens zo belangrijk. Het heeft me tot nu toe domweg bergen tijd aan systeemonderhoud bespaard.

[Reactie gewijzigd door edwingr op 30 maart 2013 17:41]

Alleen jammer dat Imac en die rommel allemaal zwaar overpriced is. Voor een Imac prof kan ik 2 ystemen van bouwen op Linux net zo veilig en ik heb 2 voor de prijs van 1
Alleen dan draai je, en dat zeg je zelf al 'Linux'. Je moet het zien als, 'je kan een Porsche rijden of een Golf R32'. De R32 heeft meer vermogen, is goedkoper ... maar het blijft een Golf. Als je het geld er niet voor over hebt dan is een Mac niet voor jou ... net als dat een Porsche niet voor iedereen is. Niet iedereen kijkt alleen naar pure CPU/GPU snelheid ... voor sommigen is esthetiek ook een belangrijk onderdeel.

[Reactie gewijzigd door HerrPino op 31 maart 2013 13:45]

Ik vind de reactie van Vegettokai persoonlijk 3 keer niets, om Apple als rommel te bestempelen. Toch heb ik nu een HP EliteBook 6930p, die door veel MacBook (pro) gebruikers om mij heen gezien word als erg esthetisch verantwoord. Nu draai ik Linux Mint 14 vanaf SSD, in combinatie met een 8 GB. De totale investering die ik gedaan heb, 369 voor de laptop, 160 voor de ssd en 60 voor het RAM. In deze combinatie is hij vrijwel net zo snel als een ultrabook/macbook.
Och die mythe weer. Draai al 10+ jaar nu zonder virus scanner, geen enkel probleem gehad. Ligt gewoon aan wat je doet. Tegen gebruikers domheid is geen virusscanner bestand.
Die mentaliteit moet echt weg. Het kan misschien zijn dat jij alert genoeg bent om alles te ontwijken, maar de meeste mensen echt niet. Ik draai wel een virusscanner, maar buiten als ik iets verdacht laat scannen klaagt hij ook niet.

Ik moet regelmatig mensen helpen die zogezegd geen virusscanner nodig hebben. Ok, niet bepaald de doelgroep die op Tweakers komt, maar wel dat type mensen dat denkt er veel over te weten maar in praktijk valt dat toch dik tegen.

Virussen gaan niet zeggen wanneer ze op een systeem zitten, virussen moeten gevonden worden. Net zoals met sommige echte ziektes kan het soms enorm lang duren voor je de effecten merkt (account gehacked, bankrekening leeg, etc). Als je HIV, kanker of een andere aandoening hebt die in het dagelijkse leven geen acuut gevaar vormt ga je dat ook niet merken tot je eens iets voor hebt. Wil je er op tijd bij zijn moet je naar de dokter gaan en je laten testen. Met computer infecties is dat net zo. Je kan jaren besmet zijn als deel van een botnet zonder iets te merken. Pas als je scant kan je (relatief) zeker zijn dat je echt veilig zit.
Gewoon je computer uit laten staan en je bent ook helemaal veilig...
Gewoon geen computer in huis halen en je bent nog veiliger...

('Zalig zijn de digibeten' - Jules Deelder)

[Reactie gewijzigd door oja op 31 maart 2013 07:12]

Lijkt me toch dat Facebook hier wel actie tegen gaat ondernemen? Het is voor hen redelijk simpel om dit er uit te filteren gok ik zo?

Het zal vast niet de eerste, danwel de laatste keer zijn dat zoiets gebeurd.

Stiekem ben ik zelf toch altijd wel blij om Ubuntu op mijn PC's te draaien, heb ik geen last van dit soort spul. Wel klik ik vaak expres om te zien wt ze nu eigenlijk allemaal proberen.
Wat is daar raar aan? Ik wil weten hoe het werkt en ben me van te voren bewust dat het geen legitieme foto's zijn.

Al die exploits zijn echter op Windows gericht en zijn dus niet schadelijk voor een Linux PC.

Ik vind het gewoon boeiend om te zien wat ze proberen aan te richten. Daar kan je alleen maar van leren.
Ik vind het persoonlijk erg naef om maar te denken dat je veilig bent als je op een Linux kernel draait. Er komen zat exploits voorbij die zich richten op Linux, alleen zie je die niet zo snel op tweakers.net.

Dit lijstje hier laat toch wel zien waar de meeste exploits te vinden zijn. Wil je 100% veilig zijn bij het browsen of bij het draaien van software, zou ik gebruik maken van sandboxie. Persoonlijk net eventjes getest en helemaal geen schade geleden.

[Reactie gewijzigd door vali op 30 maart 2013 14:14]

100 % veilig is onmogelijk en dat lijstje dat je aanhaalt is nou niet direct een goed argument tegen Linux (scroll bijvoorbeeld maar eens naar beneden en kijk naar de Vendors).

Verder is dit dus gewoon weer een aanval waar er al zoveel van zijn: Social Enginering.
Het is jammer dat dit gewoon erg moeilijk blijkt om tegen te gaan, hoe "veilig" je platform ook is.
100 % veilig is onmogelijk en dat lijstje dat je aanhaalt is nou niet direct een goed argument tegen Linux (scroll bijvoorbeeld maar eens naar beneden en kijk naar de Vendors).
Het is in ieder geval veiliger dan gebruik maken van browser die rechtstreeks met de hardware kan communiceren(natuurlijk heeft een browser ook een sandbox, maar Pwn2Own-competitie laat zien dat ze daar gemakkelijk doorheen breken), tevens doelde ik op Windows gebruikers met het programma. Geen idee of hij er voor Linux is.

Het Social Enginering verhaal is zeer makkelijk tegen te gaan, gewoon goede verstand. Maak gebruik van een goede spamfilter en niet domweg gegevens weggeven via de telelefoon, zo moeilijk is dat toch niet?
100 % veilig is onmogelijk en dat lijstje dat je aanhaalt is nou niet direct een goed argument tegen Linux (scroll bijvoorbeeld maar eens naar beneden en kijk naar de Vendors).
We hadden hier toch over een OS, dan moet je wel naar je juiste gegevens kijken. Microsoft staat in het totaal inderdaad hoger (als je naar beneden scrolt), maar dat komt doordat alles bij elkaar opgeteld is en verre weg meer software oplossingen aanbiedt dan het Linux foundation,.

[Reactie gewijzigd door vali op 30 maart 2013 15:06]

Wat is daar raar aan? Ik wil weten hoe het werkt en ben me van te voren bewust dat het geen legitieme foto's zijn.

Al die exploits zijn echter op Windows gericht en zijn dus niet schadelijk voor een Linux PC.
Totdat er ooit eens eentje gaat komen die op Ubuntu gericht is waardoor jij doelbewust de hele wereld gaat onderspammen.
Volgens mij is het niet meer dan een spamlink naar een website met content waar alleen achterlijke mensen in trappen en die toevallig niet op een blocklist oid staat. Zoiezo loop je volgens mij nogal achter met je Windows-updates als die Dorifel trojan nu nog werkt. Ik gebruik geen Windows maar het lijkt me sterk dat dat nog niet geregeld is.
Volgens mij is het niet meer dan een spamlink naar een website met content waar alleen achterlijke mensen in trappen en die toevallig niet op een blocklist oid staat.
Je hebt geen Facebook? Je wilt niet weten hoeveel bagger daar moedwillig aangeklikt wordt door mensen. Profileview scams bijvoorbeeld. Het wordt immers gepost door een bekende! |:(
Vergeet niet dat een enorm groot deel van de mensen die op Facebook zitten nauwelijks een andere browser op kunnen starten, laat staan iets van beveiliging weten.

Van Dorifel bestonden nogal wat varianten, het zou me niets verbazen als dit een update is. Anders zouden ze wel een andere geprobeert hebben. (Of dit loopt al een hele tijd en wordt nu pas opgemerkt.)
goed zo, lekker de onnozele uithangen.. ook linux is niet vrij van zijn exploits..
Nee maar er zijn zoveel redenen om Windows en Microsoft te weren. Dat maken die paar Linux exploits echt wel goed
Klopt. Maar de reactie van SuperDre was op het bericht van Snow_King. Die klikt onder Linux bewust op verdachte links om te zien wat er gebeurt. Tja, en dan zal je maar net n van die weinige Linux-exploits te pakken hebben....
Waarom richten ze zich niet op de mobiele apps als ze toch bankfraude willen plegen. Ik weet niet hoeveel mensen ik zie die lopen te zwaaien met hun handige bank-app en dan vervolgens hun toestel los laten rondslingeren.

ps: gelukkig heb ik geen facebook.
Ik heb rekeningen bij 3 verschillende banken, en bij elk van hun mobiele applicaties dien je altijd je kaartlezer te gebruiken als je naar een nieuwe bankrekening wil overschrijven. Je kan enkel met je paswoord naar een reeds toegelaten rekening nummer storten.

Lijkt me dus helemaal niet interessant voor fraudeurs, vermits ze sowieso de kaartleer moeten kraken, en zich dan beter maar op de desktop websites richten indien ze dat klaarkrijgen.
Sowieso logt de Rabobank app op Android me direct uit zodra ik de app verlaat. zelfs als iets anders even de focus pakt (of het scherm uit gaat).
Nee, zolang er nog mensen zijn die klakkeloos overal op klikken...

Ik gebruik Windows en heb werkelijk nooit last van virussen. Eens in de maand een scan doen, maar die vindt nooit wat. Volgende keer dus niet zomaar wat posten.
Klakkeloos overal op klikken moet kunnen, zolang je maar geen Admin bent. Als het goed is kan je dan hoogstens je eigen userdata + persoonlijke configuratie van je programma's kwijtraken. Een trojan als Dorifel is kansloos bij een OS die gebruikerspermissies correct handhaaft en een beetje in de gaten houdt wat er aan processen draait die internet nodig hebben.
Dat verhaal gaat alleen op als er geen exploits zitten in je systeem. Privilege escalation komt te vaak voor om zomaar overal op te klikken.

Onder jouw account kan bijv op een netwerk erg veel data beschadigen als jij en anderen daar toegang toe hebben vanuit je werk. Nooit zomaar ergens op klikken dus!
Klakkeloos overal op klikken moet kunnen, zolang je maar geen Admin bent. Als het goed is kan je dan hoogstens je eigen userdata + persoonlijke configuratie van je programma's kwijtraken. Een trojan als Dorifel is kansloos bij een OS die gebruikerspermissies correct handhaaft en een beetje in de gaten houdt wat er aan processen draait die internet nodig hebben.
Leuke theorie, maar ondertussen besmet je al je vrienden en kennissen vanuit jouw userdata.

En bij mij is prio 1 toch echt mijn userdata en niet of een bestandje van MS wel 100% correct is.
Een beetje gezond verstand en een up to date AV en je hebt nergens last van.
Vooral die eerste zorgt ervoor je nauwelijks virussen krijgt. Up-to-date AV is alleen voor de hele zeldzame gevallen.
Zo zie je maar dat de gebruiker meestal het zwakste punt van de beveiliging is. Af en toe snap ik niet hoe mensen in dit soort vallen trappen. Altijd even nadenken voordat je een link opent. Helemaal als er verder niets bij vermeld is of in dit geval niet in je native language geschreven is. Dan moeten er sowieso al enkele belletjes gaan rinkelen.

Het lijkt er wel op dat gezond verstand tegenwoordig een stuk zeldzamer is.

[Reactie gewijzigd door Furydante op 30 maart 2013 14:03]

nou, dat van die 'niet in je native gecshreven taal' vindt ik natuurlijk onzin, genoeg sites die niet in jouw taal zijn..
Ik heb het helemaal nergens over websites? Het gaat hier over het aanbieden van een link door middel van de chat. Bepaalde virussen misbruiken de chat-functionaliteit om links naar personen uit de contactlijst te versturen. Deze links navigeren de onoplettende gebruikers vervolgens naar onveilige sites die als doel hebben om de virussen verder te verspreiden.

Het gaat mij dus om het bericht zelf. Hoeveel contactpersonen heb jij die vanuit het niets een link versturen? Is het zoveel moeite om even een gesprekje aan te knopen om te kijken of hij daadwerkelijk de afzender is?

En dit account is toch eigendom van een bekende? Je hebt toch bepaalde verwachtingen aan hoe deze jou benaderen? Een buitenlandse taal valt hierbij meteen op. Dit zijn dus allemaal manieren om common sense toe te passen die problemen voorkomen.

Je zou overigens wel een punt hebben als je een bericht in je native language zou ontvangen. Echter, de vertaling laat dan vaak te wensen over.
Ja als je je computer niet aanzet wordt je ook niet geinfecteerd Thc_Nbl.......

Laten we eerlijk zijn het is een fail van facebook. Aangezien het op hun site gebeurt.

Normaal als iemand een dienst aanbied die niet goed werkt of bijeffecten heeft is die leverancier aansprakelijk.
Ja want Facebook moet elke link die gepost word scannen en blokkeren indien het naar malware leid?
Het gaat om een link met daar achter een nagebouwde facebook lay-out en heeft dus niets te maken met het wel of niet werken van de dienst die facebook aanbied.
Euuhhh... ja?

Een blacklist aanleggen met bekende domeinen die vieze dingen verspreiden. Als een platform met bijna een miljard gebruikers (waaronder honderden miljoenen "idioten" op technisch vlak) heeft een bepaalde verantwoordelijkheid. Net zoals gmail het niet toelaat om .exe bestandjes te versturen en Google zelf in Chrome of in hun zoekresultaten je grote waarschuwingen toont wanneer er iets louche met een site is.

Wettelijk zijn ze nergens toe verplicht, maar moreel wel. Als er via jou systeem miljoenen mensen besmet raken is dat toch echt wel gedeeltelijk jouw verantwoordelijkheid. Zelfs al tonen ze een kleine waarschuwing, ze moeten iets doen...
Bij mijn weten benoem ik nergens drastische maatregels als het niet gebruiken van de computer of diensten. Ik plaats enkel de opmerking dat je door het toepassen van common sense een heel eind kan komen op het gebied van veiligheid. Niets meer, niets minder.

Je kunt Facebook exploiten. Nou en? Lekker makkelijk om met je vingertje te wijzen. Ik heb zo'n vermoeden dat dit met vrijwel alle vergelijkbare diensten mogelijk is. Dat deze dienst nou toevallig een dusdanig grote gebruikersgroep heeft dat dit bericht nieuwswaardig maakt, is een heel ander verhaal. Vroeger zagen we dit toch ook bij MSN?

Natuurlijk zal de leverancier dit tegen proberen te gaan. Maar de leverancier aansprakelijk stellen? Dan kunnen we net zo goed alle diensten opdoeken die ons ondersteunen bij de uitwisseling van informatie. Ik weet namelijk 100% zeker dat torrentsites grote aantallen virussen bevatten en mailclients gebruikt worden voor het versturen van spam en virussen.
Ik vraag me af: Ik werk voornamelijk onder Linux (fedora 18 bedole ik!) Als ik dan de link aanklik. Stuurt hij dan de zooi door naar mijn vriendenlijst gelijk of gebruikt hij het Windows besturingssyteem en stuurt het daarna door?

[Reactie gewijzigd door rob12424 op 30 maart 2013 15:17]

Fedora Core is al een tijdje EOL? Ik zou als eerste maar upgraden naar een OS dat nog updates krijgt.
of je gelijk heb weet ik niet, maar vind zn vraag wel een goeie. als het doorsturen van die zooi via facebook zelf gebeurt zonder dat windows er tussen in zit zou het op een linux of osx bak nog altijd door gestuurd worden naar vrienden op facebook.
Lijkt me niet: Trojan-Dropper.Win32.Dorifel
Win32 :+
Er gaat ook een plaatje rond met het bericht dat Faecebook (yep incl. typefout in het plaatje/titel) een zwarte uitvoering heeft. Gebruikers die hier op klikken verspreiden dit bericht ook weer door via hun eigen vriendenboek.
Ik heb van een aantal gebruikers begrepen dat dit ook een virus is, ik weet niet of dit hetzelfde virus is, maar goed het is stom om zo naief te zijn online.
en uiteindelijk is het hier toch nog steeds de gebruiker die het probleem is, want die malware kan alleen geinstalleerd worden als de gebruiker er toestemming voor geeft. en DAT kan dus op elk OS...-
Klopt. tegen trojans is niks bestand behalve die mensen geen beheerders-rechten geven.

Maar het is een groot verschil of het een drive-by infectie is of een programma dat je zelf moet installeren.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Microsoft Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013