Bron: tweakers.net
Nieuwe versie Dorifel-virus gesignaleerd

Er is een nieuwe versie gesignaleerd van het Dorifel-virus, dat vorige maand schade aanrichtte bij een aantal organisaties in Nederland, waaronder ministeries en provincies. De nieuwe versie van het virus is moeilijk te detecteren.

Het nieuwe Dorifel-virus is ontdekt door beveiligingsonderzoeker Mark Loman, ceo bij Surfright. De nieuwe versie is versleuteld, in tegenstelling tot het originele virus. Daardoor is het moeilijker te herkennen voor virusscanners; slechts 3 van 42 geteste virusscanners zouden de nieuwe versie herkennen. Volgens Loman heeft het virus op elke pc die het infecteert een andere hash; dat maakt het lastig voor antivirusbedrijven om definities uit te brengen waarmee de malware wordt gedetecteerd.

Circa twintig minuten na installatie downloadt de nieuwe versie van Dorifel volgens Loman een rootkit die verwijdering verder bemoeilijkt. Ook wordt ransomware gedownload. Gebruikers krijgen een venster te zien dat zogenaamd van Buma/Stemra afkomstig is, waarin wordt gemeld dat ze illegaal hebben gedownload en daarom een boete van 100 euro moeten betalen. Doet een gebruiker dat niet, dan krijgt hij geen toegang tot zijn computer en bestanden.

De vorige versie van Dorifel deed iets vergelijkbaars; onder meer Word- en Excel-documenten werden ontoegankelijk gemaakt. Daarbij werd, om onduidelijke redenen, echter geen vergelijkbare melding getoond. Het was daarom lang onduidelijk waarom de malware de documenten verminkte. Misschien is de waarschuwing toen per abuis niet getoond.

Volgens Loman heeft de ontwikkelaar van de malware zijn code opgeschoond en wordt er nu bijvoorbeeld minder vaak gecommuniceerd met de command-and-control-server, die de malware nieuwe instructies kan sturen. Die instructies zitten in de nieuwe versie verstopt in een afbeelding van Mohammed Ali.

Hoeveel mensen al zijn besmet met de nieuwe Dorifel-versie, is onduidelijk. "Ik heb het Nationaal Cyber Security Centrum er al over ingelicht", zegt Loman. Hij onderzoekt nog of er in Nederland infecties zijn. Woordvoerster Mary-Jo van de Velde van het NCSC zegt dat er nog geen meldingen binnen zijn gekomen over besmette pc's bij de overheid.

Beveiligingssoftware die Lomans bedrijf heeft ontwikkeld, HitmanPro, kan de malware verwijderen. Eerder dook al een nieuwe versie van de malware op in de Verenigde Staten. Volgens beveiligingsbedrijf Digital Investigation is het aan te raden om het ip-adres 91.220.35.61 in de firewall te blokkeren, evenals de domeinnamen open-consulting-company.com en oianowifna.ru. Die worden waarschijnlijk gebruikt om de malware te verspreiden of dienen als command-and-controlserver.

Op gepast dus !