Welkom gast ( Inloggen | Registreer )

PC's en reparaties Ubels Computer Service, eigenaar van Trefpunt! Levering en service aan huis!
Trefmarkt, Onze eigen marktplaats voor de provincie Groningen. Klant en verkoper lekker dichtbij.
Nieuwsbin Groningen - Alle headlines van Groningen! Tablet webapp (ook voor browser)
P2000 Alarmeringen Groningen - Tablet webapp (ook voor browser)
 
Reply to this topicStart new topic
> Virus bij gemeenten toch van Citadel-botnet
Edelweiss
post Aug 9 2012, 02:30 PM
Gepost op: #1


Altijd Online
Group Icon

Groep: Leden
Berichten: 6.347
Geregistreerd op: 20-February 08
Gebruikers nr.: 2.206

Arcade Punten: 1.856.831
Gemeente: Hoogezand-Sappemeer
Leeftijdsgroep: 16 jaar en ouder


Het Nationaal Cyber Security Center zegt dat twintig gemeenten en instellingen zijn besmet met het virus XDocCrypt/Dorifel, waaronder Venlo, Den Bosch, Weert en Borsele. Een botnet is de bron.

De genoemde vier gemeenten zijn niet getroffen door het Trojaanse paard Sasfis, maar een virus dat daarmee overeenkomsten heeft. Het betreffende virus wordt door het NCSC Dorifel genoemd, maar Microsoft hanteert QuervarB als naam. Het infecteert Word en Excel documenten, maar ook uitvoeringsbestanden.

Volgens een persbericht van het NCSC is Dorifel op de computers terecht gekomen via een Zeusvariant, Citadel, dat al enige tijd op de netwerken moet hebben gestaan. Deze week heeft Citadel de XDocCrypt/Dorifel gedownload vanaf een Zeusbotnet, waarna er bij de getroffen gemeenten duizenden documenten besmet zijn geraakt. Naast de bekende vier gemeenten zijn ook Tilburg en Almere besmet geraakt. Later deze middag meldde ook de gemeente Stedebroec in Noord-Holland de besmetting.

Virus versleutelt bestanden
Het virus versleutelt de bestanden en past de naam iets aan. De versleuteling is relatief simpel doordat er gebruik wordt gemaakt van een en dezelfde sleutel, meldt NU.nl. Het bedrijf Surfright heeft een programma beschikbaar gesteld waarmee de versleuteling weer ongedaan kan worden gemaakt.

Het NCSC heeft het IP-adres geïdentificeerd waarmee de geïnfecteerd computers verbinding willen maken. Het centrum adviseert systeem- en netwerkbeheerders om het adres 184.82.162.163 te blokkeren.

Gemeenten lopen nog steeds gevaar
De gemeenten die zijn getroffen zeggen druk bezig te zijn de systemen te schonen van de besmette documenten en de originele documenten weer terug te plaatsen vanuit de backup. Erik Remmelzwaal van Medusoft, een partner van McAfee die de helpdesk van het antivirusbedrijf uitvoert, denkt dat de gemeenten er daarmee niet zijn. "Zolang zij de Citadel-infectie niet weten te achterhalen, blijven de systemen kwetsbaar voor een volgende infectie met malware."

De gemeente Weert ging er in eerste instantie vanuit getroffen te zijn door het virus Sasfis. Volgens woordvoerder Mary-Jo van de Velde van het NCSC is dat het niet. De site Damn Those Problems zegt evenwel dat de werkwijze van de malware enigszins lijkt op die van Sasfis.

RTLO-techniek gebruikt
Beide gebruiken de RTLO-techniek, the right to left override. De extensie van de besmette files, in het geval van Dorifel .src, wordt daarmee achterstevoren weergegeven net als de echte extensie van de originele bestanden, zoals .doc. Het RTLO unicode-gat maakt gebruik van een standaard unicode van Microsoft wat gebruikt wordt in Arabische en Hebreeuwse teksten.

Volgens Damn Those Problems wordt dergelijke malware gebruikt om bedrijven af te persen door (belangrijke) documenten in gijzeling te nemen en ze vrij te maken van de versleuteling na bijvoorbeeld een betaling van een losgeld. Of dat hier ook eht geval is, of is geweest, is nog niet duidelijk.

bron : webwereld




--------------------
Afbeelding
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Gebruiker(s) is/zijn dit onderwerp aan het lezen (1 gasten en 0 anonieme gebruikers)
0 Gebruikers:

 

- Lo-Fi Versie De tijd is nu: 23rd May 2017 - 05:59 PM