Nieuw Dorifel-virus richt nog geen schade aan in Nederland

Voor zover bekend heeft een onlangs gesignaleerde variant van de Dorifel-malware nog geen schade aangericht in Nederland. Het NCSC en beveiligingsonderzoeker Mark Loman hebben nog geen Nederlandse infecties waargenomen.

"Er zijn momenteel geen noemenswaardige Dorifel-infecties in Nederland", laat beveiligingsonderzoeker Mark Loman van SurfRight weten. "Hier en daar is er nog een oude infectie uit augustus." De eerste versie van Dorifel verscheen in die maand; toen werden diverse Nederlandse overheidsinstellingen besmet, waaronder ministeries en provincies.

Vorige week verscheen een nieuwe, meer hardnekkige versie, maar die lijkt dus nog geen schade te hebben aangericht. Het Nationaal Cyber Security Centrum bevestigt dat beeld. "Wij hebben geen meldingen ontvangen van besmettingen in Nederland", zegt woordvoerster Mary-Jo van de Velde.

In andere landen deden zich wel nieuwe infecties voor, waaronder in Rusland. Dat betekent volgens beveiligingsonderzoeker Loman dat de malware nu ook op andere manieren werd verspreid dan gedacht. Aanvankelijk werd Dorifel verspreid via het Citadel-botnet, maar, aldus Loman: "Dat werkt niet op systemen met een Russische taalinstelling". Hij denkt dat Dorifel via exploit-kits wordt verspreid, die gebruikers bijvoorbeeld via de browser kunnen infecteren.

Loman denkt dat de maker van Dorifel 'doorlopend' bezig is met het verbeteren van de malware. "Het is wachten totdat de aanvaller met weer een nieuwe variant op de proppen komt en het virus weer langs de virusscanners weet te glippen", zegt hij. De onlangs ontdekte variant van Dorifel, die moeilijker te detecteren en te verwijderen is, wordt inmiddels beter herkend. 19 van 42 geteste antiviruspakketten herkennen de variant, tegen 8 afgelopen donderdag.

De nieuwe versie van het Dorifel-virus lijkt wel gericht op Nederlanders; het virus toont een waarschuwing die zogenaamd van Buma/Stemra en de politie afkomstig is, waarin wordt gemeld dat gebruikers illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bepaalde bestanden.

De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.

Inmiddels zouden er zes versies van Dorifel in omloop zijn. Opvallend is dat domeinen die door Dorifel worden gebruikt, volgens Loman zijn geregistreerd door dezelfde personen die eerder deze maand de malware op Telegraaf.nl verspreidden. Dat betekent dat de domeinnamen zijn geregistreerd door dezelfde persoon die 'domeinnamen voor andere boefjes registreert', in de woorden van Loman, of dat dezelfde groep achter beide aanvallen zit.

Door Joost Schellevis

Redacteur

Feedback • 02-10-2012 11:1314

02-10-2012 • 11:13

14 Linkedin

Lees meer

Website Leeuwarder Courant serveert malware Nieuws van 19 mei 2014
Overheid wil cybersecuritybeleid meer richten op risicogebaseerde benadering Nieuws van 28 oktober 2013
Nederlandse staatsveiligheid was in gevaar bij tien cyberaanvallen in 2010 Nieuws van 28 oktober 2013
HitManPro Alert 2-tool van SurfRight scant browser op malware Nieuws van 3 juli 2013
Dorifel-virus verspreidt zich via Facebook Chat Nieuws van 30 maart 2013
Minister ontkent weinig te hebben gedaan tegen cyberaanval Nieuws van 15 februari 2013
'Overheid deed weinig met kennis over grote cyberaanval' Nieuws van 14 februari 2013
Cisco: onlineadvertenties zijn groter beveiligingsrisico dan porno Nieuws van 31 januari 2013
NCSC moet netwerken overheid 24/7 gaan monitoren - update Nieuws van 22 januari 2013
Cooler Master haalt Nederlandse website offline na hack - update Nieuws van 2 januari 2013
Pobelka-botnet bracht interne netwerkstructuren in kaart Nieuws van 24 december 2012
Pobelka-botnet bracht interne netwerkstructuren in kaart Nieuws van 23 december 2012
Nieuwe versie Dorifel-virus gesignaleerd Nieuws van 27 september 2012
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen Nieuws van 23 september 2012
Virus trof ook ministerie van Economische Zaken Nieuws van 14 augustus 2012
Bankgegevens aangetroffen op nieuwe Dorifel-servers Nieuws van 14 augustus 2012
ING: impact Dorifel-virus bleef beperkt tot tientallen klanten - update Nieuws van 13 augustus 2012
Domeinnamen Dorifel-botnet offline gehaald Nieuws van 13 augustus 2012
Nederlandse bankgegevens gevonden op 'masterserver' Dorifel-virus Nieuws van 12 augustus 2012
Overheid: virusuitbraak onder controle Nieuws van 10 augustus 2012
Nieuw virus infecteert ook ministerie Nieuws van 9 augustus 2012
Provincies en universiteiten besmet met nieuw virus - update 2 Nieuws van 9 augustus 2012
Meer producten en artikelen
Politiek en recht Beveiliging Nederland

Reacties (14)

-Moderatie-faq
14
14
10
3
1
3
Wijzig sortering
Rigs
2 oktober 2012 11:14
voor de zekerheid toch de firewall op werk aangepast:

De malware gebruikt de volgende IP-adressen/domeinnamen

91.220.35.61
oianowifna.ru
greatnewidea1.ru
greatnewidea12.ru
www.organizasyonservisi.com (gehackt domein)
unionfilesexchnges.su

edit update:

open-consulting-company.com
yerty90.com (37.230.112.38)
zalil.ru (194.63.142.66)

[Reactie gewijzigd door Rigs op 2 oktober 2012 11:26]

mr_fragle
2 oktober 2012 11:28
Eergisteren besmet geraakt met Dorifel virus. Geen idee of het om een nieuwe of oude variant gaat. Door middel van de "Kaspersky rescue disk 10" heb ik het virus kunnen verwijderen. Daarna nog met Malwarebytes eroverheen gegaan, en dat bleek voldoende.

Een eerdere poging, waarbij ik via cmd explorer starte en vervolgens malwarebyte draaide, leverde slechts tijdelijk resultaat op. Enkele minuten na een reboot (alles leek in orde) keerde de Buma/Stemra melding weer terug.

Nog even linkje naar de rescue disc:
http://support.kaspersky.com/faq/?qid=208282173

Kleine toevoeging:
Overigens bleek virus ook iconen bureau op "niet weergeven" te hebben gezet. Ik vermoed om te voorkomen dat gebruikers via toetsencombo toch nog in explorer zouden komen (net als dat taakbeheer en andere toetsencombo's niet werken).

[Reactie gewijzigd door mr_fragle op 2 oktober 2012 11:30]

earvaag
@mr_fragle2 oktober 2012 11:44
Ik kan sowieso iedereen aanraden om altijd een usb stick in de la te hebben liggen met de kaspersky rescue disc (of een andere linux distro met AV en andere handige tools). Het kan het verschil betekenen tussen nog in staat zijn om de rommel op te ruimen en windows weer werkend krijgen of het hele zootje te moeten formatteren en een dag lang bezig zijn met installaties.
Rigs
@mr_fragle2 oktober 2012 11:44
die rescue cd doet inderdaad zen werk naar behoren, ook bij het onlangs opgedoken politievirus (randsomeware) werkt deze rescue cd gewoon heel goed, 1 nadeel kan soms wel uurtje of twee duren voor een volledige scan hier op werk, moest ik deze virus thuis hebben zet ik direct een nieuwe image wegens minder lang duren en gebackupte data erna bij
Rudie_V
@mr_fragle2 oktober 2012 12:37
Ik had hetzelfde bij een vriend, anti-malware gedraaid, maar na een reboot kwam de melding toch weer terug. Daarna hitman pro gedownload en deze kon hem wel verwijderen. Dit kwam mede, door wat mij opviel, dat er nog een registry key was waar de malware vandaan werd geladen, deze werd niet opgemerkt door anti-malware. Na hitman pro was het virus eindelijk weg.
markoverklift
2 oktober 2012 11:20
Welke scanners herkennen het nieuwe Dorifel virus dan?
Pikoe
@markoverklift2 oktober 2012 11:38
Aangezien Rigs' link niet werkt, dit is de nieuwe: https://www.virustotal.co...91d20d92dcddbff/analysis/

Op het moment van ontdekken werd hij overigens ook maar door 3 herkend: https://www.virustotal.co...dbff/analysis/1348728915/

oude: https://www.virustotal.co...29889b0a6ecb32b/analysis/

bron: http://webwereld.nl/nieuw...t-door-virusscanners.html

[Reactie gewijzigd door Pikoe op 2 oktober 2012 11:42]

Rigs
@markoverklift2 oktober 2012 11:31
dit is de lijst van scanners die de eerste dorifel virus (anno begin augustus 2012) herkennen: https://www.virustotal.co...91d20d92dcddbff/analysis/

edit aangepast bedankt Pikoe !

[Reactie gewijzigd door Rigs op 2 oktober 2012 11:39]

MissileHugger
@Rigs2 oktober 2012 13:39
Alleen is de file reputation 4.8... Hoe betrouwbaar is de informatie?

Edit: Het gaat om de reputatie van het bestand/het virus begrijp ik nu?!
Mijn fout.

[Reactie gewijzigd door MissileHugger op 2 oktober 2012 13:40]

Anoniem: 330100
2 oktober 2012 11:47
Het virus verspreid zich veel via de exploit in java(nog steeds). Schakel de java plugin dus uit in alle browsers. Inmiddels heb ik de buma/stemra malware al bij 2 personen mogen verwijderen. In alle 2 gevallen ging het hier om de drive by download methode.

Update: Door kaspersky antivirus(voor mbr disinfectie) te draaien van een usb stick en door daarna in veilige modus te starten en overige bestanden via msconfig.exe uit te vinken heb ik dit probleem kunnen oplossen. De politie variant word wel correct verwijderd door de kaspersky rescue disk.

[Reactie gewijzigd door Anoniem: 330100 op 2 oktober 2012 11:53]

rsnubje
2 oktober 2012 11:58
Heb me laten vertellen dat in java 7.6 een exploit werkt die in eerdere of de laatste versie niet werkt. Dus updaten is ook geen overbodige luxe.
wanda
2 oktober 2012 12:00
Ik wil graag die rescue disc op m'n USB zetten. Moet hij dan leeg zijn of mogen de andere bestanden op m'n stick blijven staan?
mr_fragle
@wanda2 oktober 2012 12:06
Mogen best andere bestanden op staan. Echter geen andere live-distro:
http://support.kaspersky.com/faq/?qid=208286083

edit: onderstaand idd over het hoofd gezien...

[Reactie gewijzigd door mr_fragle op 2 oktober 2012 14:32]

bzerk
@mr_fragle2 oktober 2012 13:34
ehm het wordt een bootable usb stick. bestaande gegevens (en partities/filesystemen) worden dus overschreven.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee