Nieuw Dorifel-virus richt nog geen schade aan in Nederland

Voor zover bekend heeft een onlangs gesignaleerde variant van de Dorifel-malware nog geen schade aangericht in Nederland. Het NCSC en beveiligingsonderzoeker Mark Loman hebben nog geen Nederlandse infecties waargenomen.

"Er zijn momenteel geen noemenswaardige Dorifel-infecties in Nederland", laat beveiligingsonderzoeker Mark Loman van SurfRight weten. "Hier en daar is er nog een oude infectie uit augustus." De eerste versie van Dorifel verscheen in die maand; toen werden diverse Nederlandse overheidsinstellingen besmet, waaronder ministeries en provincies.

Vorige week verscheen een nieuwe, meer hardnekkige versie, maar die lijkt dus nog geen schade te hebben aangericht. Het Nationaal Cyber Security Centrum bevestigt dat beeld. "Wij hebben geen meldingen ontvangen van besmettingen in Nederland", zegt woordvoerster Mary-Jo van de Velde.

In andere landen deden zich wel nieuwe infecties voor, waaronder in Rusland. Dat betekent volgens beveiligingsonderzoeker Loman dat de malware nu ook op andere manieren werd verspreid dan gedacht. Aanvankelijk werd Dorifel verspreid via het Citadel-botnet, maar, aldus Loman: "Dat werkt niet op systemen met een Russische taalinstelling". Hij denkt dat Dorifel via exploit-kits wordt verspreid, die gebruikers bijvoorbeeld via de browser kunnen infecteren.

Loman denkt dat de maker van Dorifel 'doorlopend' bezig is met het verbeteren van de malware. "Het is wachten totdat de aanvaller met weer een nieuwe variant op de proppen komt en het virus weer langs de virusscanners weet te glippen", zegt hij. De onlangs ontdekte variant van Dorifel, die moeilijker te detecteren en te verwijderen is, wordt inmiddels beter herkend. 19 van 42 geteste antiviruspakketten herkennen de variant, tegen 8 afgelopen donderdag.

De nieuwe versie van het Dorifel-virus lijkt wel gericht op Nederlanders; het virus toont een waarschuwing die zogenaamd van Buma/Stemra en de politie afkomstig is, waarin wordt gemeld dat gebruikers illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bepaalde bestanden.

De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.

Inmiddels zouden er zes versies van Dorifel in omloop zijn. Opvallend is dat domeinen die door Dorifel worden gebruikt, volgens Loman zijn geregistreerd door dezelfde personen die eerder deze maand de malware op Telegraaf.nl verspreidden. Dat betekent dat de domeinnamen zijn geregistreerd door dezelfde persoon die 'domeinnamen voor andere boefjes registreert', in de woorden van Loman, of dat dezelfde groep achter beide aanvallen zit.

Door Joost Schellevis

Redacteur

02-10-2012 • 11:13

14 Linkedin

Lees meer

Nieuwe versie Dorifel-virus gesignaleerd Nieuws van 27 september 2012
Overheid: virusuitbraak onder controle Nieuws van 10 augustus 2012
Nieuw virus infecteert ook ministerie Nieuws van 9 augustus 2012

Reacties (14)

14
14
10
3
1
3
Wijzig sortering
voor de zekerheid toch de firewall op werk aangepast:

De malware gebruikt de volgende IP-adressen/domeinnamen

91.220.35.61
oianowifna.ru
greatnewidea1.ru
greatnewidea12.ru
www.organizasyonservisi.com (gehackt domein)
unionfilesexchnges.su

edit update:

open-consulting-company.com
yerty90.com (37.230.112.38)
zalil.ru (194.63.142.66)

[Reactie gewijzigd door Rigs op 2 oktober 2012 11:26]

Eergisteren besmet geraakt met Dorifel virus. Geen idee of het om een nieuwe of oude variant gaat. Door middel van de "Kaspersky rescue disk 10" heb ik het virus kunnen verwijderen. Daarna nog met Malwarebytes eroverheen gegaan, en dat bleek voldoende.

Een eerdere poging, waarbij ik via cmd explorer starte en vervolgens malwarebyte draaide, leverde slechts tijdelijk resultaat op. Enkele minuten na een reboot (alles leek in orde) keerde de Buma/Stemra melding weer terug.

Nog even linkje naar de rescue disc:
http://support.kaspersky.com/faq/?qid=208282173

Kleine toevoeging:
Overigens bleek virus ook iconen bureau op "niet weergeven" te hebben gezet. Ik vermoed om te voorkomen dat gebruikers via toetsencombo toch nog in explorer zouden komen (net als dat taakbeheer en andere toetsencombo's niet werken).

[Reactie gewijzigd door mr_fragle op 2 oktober 2012 11:30]

Ik kan sowieso iedereen aanraden om altijd een usb stick in de la te hebben liggen met de kaspersky rescue disc (of een andere linux distro met AV en andere handige tools). Het kan het verschil betekenen tussen nog in staat zijn om de rommel op te ruimen en windows weer werkend krijgen of het hele zootje te moeten formatteren en een dag lang bezig zijn met installaties.
die rescue cd doet inderdaad zen werk naar behoren, ook bij het onlangs opgedoken politievirus (randsomeware) werkt deze rescue cd gewoon heel goed, 1 nadeel kan soms wel uurtje of twee duren voor een volledige scan hier op werk, moest ik deze virus thuis hebben zet ik direct een nieuwe image wegens minder lang duren en gebackupte data erna bij
Ik had hetzelfde bij een vriend, anti-malware gedraaid, maar na een reboot kwam de melding toch weer terug. Daarna hitman pro gedownload en deze kon hem wel verwijderen. Dit kwam mede, door wat mij opviel, dat er nog een registry key was waar de malware vandaan werd geladen, deze werd niet opgemerkt door anti-malware. Na hitman pro was het virus eindelijk weg.
Welke scanners herkennen het nieuwe Dorifel virus dan?
Aangezien Rigs' link niet werkt, dit is de nieuwe: https://www.virustotal.co...91d20d92dcddbff/analysis/

Op het moment van ontdekken werd hij overigens ook maar door 3 herkend: https://www.virustotal.co...dbff/analysis/1348728915/

oude: https://www.virustotal.co...29889b0a6ecb32b/analysis/

bron: http://webwereld.nl/nieuw...t-door-virusscanners.html

[Reactie gewijzigd door Pikoe op 2 oktober 2012 11:42]

dit is de lijst van scanners die de eerste dorifel virus (anno begin augustus 2012) herkennen: https://www.virustotal.co...91d20d92dcddbff/analysis/

edit aangepast bedankt Pikoe !

[Reactie gewijzigd door Rigs op 2 oktober 2012 11:39]

Alleen is de file reputation 4.8... Hoe betrouwbaar is de informatie?

Edit: Het gaat om de reputatie van het bestand/het virus begrijp ik nu?!
Mijn fout.

[Reactie gewijzigd door MissileHugger op 2 oktober 2012 13:40]

Anoniem: 330100
2 oktober 2012 11:47
Het virus verspreid zich veel via de exploit in java(nog steeds). Schakel de java plugin dus uit in alle browsers. Inmiddels heb ik de buma/stemra malware al bij 2 personen mogen verwijderen. In alle 2 gevallen ging het hier om de drive by download methode.

Update: Door kaspersky antivirus(voor mbr disinfectie) te draaien van een usb stick en door daarna in veilige modus te starten en overige bestanden via msconfig.exe uit te vinken heb ik dit probleem kunnen oplossen. De politie variant word wel correct verwijderd door de kaspersky rescue disk.

[Reactie gewijzigd door Anoniem: 330100 op 2 oktober 2012 11:53]

Heb me laten vertellen dat in java 7.6 een exploit werkt die in eerdere of de laatste versie niet werkt. Dus updaten is ook geen overbodige luxe.
Ik wil graag die rescue disc op m'n USB zetten. Moet hij dan leeg zijn of mogen de andere bestanden op m'n stick blijven staan?
Mogen best andere bestanden op staan. Echter geen andere live-distro:
http://support.kaspersky.com/faq/?qid=208286083

edit: onderstaand idd over het hoofd gezien...

[Reactie gewijzigd door mr_fragle op 2 oktober 2012 14:32]

ehm het wordt een bootable usb stick. bestaande gegevens (en partities/filesystemen) worden dus overschreven.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee