Nieuw Dorifel-virus richt nog geen schade aan in Nederland

Voor zover bekend heeft een onlangs gesignaleerde variant van de Dorifel-malware nog geen schade aangericht in Nederland. Het NCSC en beveiligingsonderzoeker Mark Loman hebben nog geen Nederlandse infecties waargenomen.

Malware"Er zijn momenteel geen noemenswaardige Dorifel-infecties in Nederland", laat beveiligingsonderzoeker Mark Loman van SurfRight weten. "Hier en daar is er nog een oude infectie uit augustus." De eerste versie van Dorifel verscheen in die maand; toen werden diverse Nederlandse overheidsinstellingen besmet, waaronder ministeries en provincies.

Vorige week verscheen een nieuwe, meer hardnekkige versie, maar die lijkt dus nog geen schade te hebben aangericht. Het Nationaal Cyber Security Centrum bevestigt dat beeld. "Wij hebben geen meldingen ontvangen van besmettingen in Nederland", zegt woordvoerster Mary-Jo van de Velde.

In andere landen deden zich wel nieuwe infecties voor, waaronder in Rusland. Dat betekent volgens beveiligingsonderzoeker Loman dat de malware nu ook op andere manieren werd verspreid dan gedacht. Aanvankelijk werd Dorifel verspreid via het Citadel-botnet, maar, aldus Loman: "Dat werkt niet op systemen met een Russische taalinstelling". Hij denkt dat Dorifel via exploit-kits wordt verspreid, die gebruikers bijvoorbeeld via de browser kunnen infecteren.

Loman denkt dat de maker van Dorifel 'doorlopend' bezig is met het verbeteren van de malware. "Het is wachten totdat de aanvaller met weer een nieuwe variant op de proppen komt en het virus weer langs de virusscanners weet te glippen", zegt hij. De onlangs ontdekte variant van Dorifel, die moeilijker te detecteren en te verwijderen is, wordt inmiddels beter herkend. 19 van 42 geteste antiviruspakketten herkennen de variant, tegen 8 afgelopen donderdag.

De nieuwe versie van het Dorifel-virus lijkt wel gericht op Nederlanders; het virus toont een waarschuwing die zogenaamd van Buma/Stemra en de politie afkomstig is, waarin wordt gemeld dat gebruikers illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bepaalde bestanden.

De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.

Inmiddels zouden er zes versies van Dorifel in omloop zijn. Opvallend is dat domeinen die door Dorifel worden gebruikt, volgens Loman zijn geregistreerd door dezelfde personen die eerder deze maand de malware op Telegraaf.nl verspreidden. Dat betekent dat de domeinnamen zijn geregistreerd door dezelfde persoon die 'domeinnamen voor andere boefjes registreert', in de woorden van Loman, of dat dezelfde groep achter beide aanvallen zit.

Door Joost Schellevis

Redacteur

02-10-2012 • 11:13

14

Lees meer

Reacties (14)

14
14
10
3
1
3
Wijzig sortering
voor de zekerheid toch de firewall op werk aangepast:

De malware gebruikt de volgende IP-adressen/domeinnamen

91.220.35.61
oianowifna.ru
greatnewidea1.ru
greatnewidea12.ru
www.organizasyonservisi.com (gehackt domein)
unionfilesexchnges.su

edit update:

open-consulting-company.com
yerty90.com (37.230.112.38)
zalil.ru (194.63.142.66)

[Reactie gewijzigd door Rigs op 22 juli 2024 19:26]

Eergisteren besmet geraakt met Dorifel virus. Geen idee of het om een nieuwe of oude variant gaat. Door middel van de "Kaspersky rescue disk 10" heb ik het virus kunnen verwijderen. Daarna nog met Malwarebytes eroverheen gegaan, en dat bleek voldoende.

Een eerdere poging, waarbij ik via cmd explorer starte en vervolgens malwarebyte draaide, leverde slechts tijdelijk resultaat op. Enkele minuten na een reboot (alles leek in orde) keerde de Buma/Stemra melding weer terug.

Nog even linkje naar de rescue disc:
http://support.kaspersky.com/faq/?qid=208282173

Kleine toevoeging:
Overigens bleek virus ook iconen bureau op "niet weergeven" te hebben gezet. Ik vermoed om te voorkomen dat gebruikers via toetsencombo toch nog in explorer zouden komen (net als dat taakbeheer en andere toetsencombo's niet werken).

[Reactie gewijzigd door mr_fragle op 22 juli 2024 19:26]

Ik kan sowieso iedereen aanraden om altijd een usb stick in de la te hebben liggen met de kaspersky rescue disc (of een andere linux distro met AV en andere handige tools). Het kan het verschil betekenen tussen nog in staat zijn om de rommel op te ruimen en windows weer werkend krijgen of het hele zootje te moeten formatteren en een dag lang bezig zijn met installaties.
die rescue cd doet inderdaad zen werk naar behoren, ook bij het onlangs opgedoken politievirus (randsomeware) werkt deze rescue cd gewoon heel goed, 1 nadeel kan soms wel uurtje of twee duren voor een volledige scan hier op werk, moest ik deze virus thuis hebben zet ik direct een nieuwe image wegens minder lang duren en gebackupte data erna bij
Ik had hetzelfde bij een vriend, anti-malware gedraaid, maar na een reboot kwam de melding toch weer terug. Daarna hitman pro gedownload en deze kon hem wel verwijderen. Dit kwam mede, door wat mij opviel, dat er nog een registry key was waar de malware vandaan werd geladen, deze werd niet opgemerkt door anti-malware. Na hitman pro was het virus eindelijk weg.
Welke scanners herkennen het nieuwe Dorifel virus dan?
Aangezien Rigs' link niet werkt, dit is de nieuwe: https://www.virustotal.co...91d20d92dcddbff/analysis/

Op het moment van ontdekken werd hij overigens ook maar door 3 herkend: https://www.virustotal.co...dbff/analysis/1348728915/

oude: https://www.virustotal.co...29889b0a6ecb32b/analysis/

bron: http://webwereld.nl/nieuw...t-door-virusscanners.html

[Reactie gewijzigd door Pikoe op 22 juli 2024 19:26]

dit is de lijst van scanners die de eerste dorifel virus (anno begin augustus 2012) herkennen: https://www.virustotal.co...91d20d92dcddbff/analysis/

edit aangepast bedankt Pikoe !

[Reactie gewijzigd door Rigs op 22 juli 2024 19:26]

Alleen is de file reputation 4.8... Hoe betrouwbaar is de informatie?

Edit: Het gaat om de reputatie van het bestand/het virus begrijp ik nu?!
Mijn fout.

[Reactie gewijzigd door MissileHugger op 22 juli 2024 19:26]

Anoniem: 330100 2 oktober 2012 11:47
Het virus verspreid zich veel via de exploit in java(nog steeds). Schakel de java plugin dus uit in alle browsers. Inmiddels heb ik de buma/stemra malware al bij 2 personen mogen verwijderen. In alle 2 gevallen ging het hier om de drive by download methode.

Update: Door kaspersky antivirus(voor mbr disinfectie) te draaien van een usb stick en door daarna in veilige modus te starten en overige bestanden via msconfig.exe uit te vinken heb ik dit probleem kunnen oplossen. De politie variant word wel correct verwijderd door de kaspersky rescue disk.

[Reactie gewijzigd door Anoniem: 330100 op 22 juli 2024 19:26]

rsnubje Testlabcoördinator 2 oktober 2012 11:58
Heb me laten vertellen dat in java 7.6 een exploit werkt die in eerdere of de laatste versie niet werkt. Dus updaten is ook geen overbodige luxe.
Ik wil graag die rescue disc op m'n USB zetten. Moet hij dan leeg zijn of mogen de andere bestanden op m'n stick blijven staan?
Mogen best andere bestanden op staan. Echter geen andere live-distro:
http://support.kaspersky.com/faq/?qid=208286083

edit: onderstaand idd over het hoofd gezien...

[Reactie gewijzigd door mr_fragle op 22 juli 2024 19:26]

ehm het wordt een bootable usb stick. bestaande gegevens (en partities/filesystemen) worden dus overschreven.

Op dit item kan niet meer gereageerd worden.