• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Sasfis, Dorifel en Citadel

Status
Niet open voor verdere reacties.
A

Abraham54

Gast
Sinds gisteren worden worden we overspoeld met meldingen van overheidsnetwerken die uitgezet worden vanwege virusbesmettingen.

Zoals gewoonlijk is het nieuws niet bepaald duidelijk waar het nu precies omgaat.
De volgende virusbenamingen zijn ondertussen gebruikt:

  • Sasfis
  • Dorifel
  • Citadel

Sasfis is een nieuw botnet, ontstaan in de afgelopen maanden en rapide bezig is tot de top onder de botnets te gaan behoren.

Dorifel is in eerste plaats een trojan downloader, d.w.z dat ervoor gezorgd wordt dat er nieuwe bestanden na geladen en genstalleerd worden.

Dorifel is begin mei j.l. ontdekt, aliassen:

  • Trojan-Dropper.Win32.Dorifel.bph [Kaspersky Lab]
  • Troj/PWS-BXC [Sophos]
  • HackTool:Win32/Mailpassview [Microsoft]
  • Trojan-Dropper.Win32.Dorifel [Ikarus]

De communicatie met de C&C-server gebeurt versleuteld.

Citadel
Het Citadel virus is een gemodificeerde versie afkomstig uit de ZeuS Trojan Familie.
Deze trojans zijn gepecialiseerd in het stelen van bank gegevens en andere gevoelige informatie, welke in de PC van het slachtoffer gevonden kan worden.
Verder onderhoudt Citadel contact met de criminele servers om additionele malware te kunnen naladen en installeren.
Zo is er nu dus ook sprake ervan, dat Microsoft documenten opzettelijk beschadigd worden.

Besmettingen ontstaan via:
  • het klikken op een link in phisingmails
  • als drive by download via sites die met de malafide code zijn genjecteerd.

Ik heb alles bewust compact gehouden, maar hoop dus meer duidelijkheid gegeven te hebben.
 
Het lijkt erop dat de besmetting kan zijn ontstaan, doordat er op de besmette systemen al een Zeus-versie aanwezig was.
 
Het lijkt erop dat de besmetting kan zijn ontstaan, doordat er op de besmette systemen al een Zeus-versie aanwezig was.

Heel goed mogelijk.
Naar wat nu blijkt houdt het beschadigen van DOCX en XLSX documenten in, dat deze besmet worden met virusdelen en de extinctie .CRS krijgen.
Zodra een dus een "schone" PC zo'n document wil openen, wordt die PC ook besmet.

Ook wordt er gezegd dat door het blokkeren van bepaalde IP-adressen via alle providers, het virus nu onder controle zou zijn en dat het uit de Oekrane zou stammen.
Ik ga er van uit dat de meer dan 3000 Windows computers niet opgeschoond zijn en dat het nog onbekend is hoeveel systemen meer ook besmet zijn.
Het is mijn inziens een kwestie van tijd voordat het virus opnieuw de kop opsteekt.....
 
Het verhaal is iets anders. Alleen docx en xlsx die zich op netwerkshares bevinden, worden versleuteld, besmet en de extentie .scr wordt toegevoegd. Het icoon voor Word en Excel blijft staan.
Dank zij Microsoft's briljante instelling om standaard de bestandsextensie te verbergen, ziet de normale gebruiker in plaats van document1 met het icoon van Word, nu een document1.docx met het icoon van Word.
Inderdaad wordt na het openen van zo'n SCR-bestand de volgende computer besmet. Ook deze zal vervolgens deel uit gaan maken van het Zeus-botnetwerk en de besmetting proberen te downloaden.
Daarnaast is het zo, dat als deze besmetting wordt opgeruimd, de onderliggende oorzaak (Citadel = Zeus) ook meegenomen moet worden. Anders is bij de eerstvolgende activatie van Zeus de volgende besmetting een feit.
 
Yep. Het probleem is niet Dorifel, het probleem is Zeus. Zolang Zeus niet opgespoord is, blijft het de drager waarop andere Trojans naar binnen worden gelaten...
 
En dat alles vanwege de rootkit Sasfis!
Want rootkits zijn in staat virussen onzichtbaar te maken!
 
Met alle respect: Sasfis is een broertje van Dorifel en in mijn ogen dan ook een virus, geen rootkit.
Citadel is gebaseerd op Zeus en derhalve een Trojan. Met wat moeite zou je het als een rootkit kunnen beschouwen, zeker omdat de virusscanners niet gereageerd hebben.
 
Sasfis is een rapide groeiend botnet, dat na lancering medio mei jongstleden al op weg is de nieuwe nummer n onder de botnets te worden!
Sasfis is een bot dropper die na installatie via versleutelde weg contact opneemt met C&C-servers om via die weg nieuwe malware te downloaden en te aktiveren.
Sasfis komt een computer binnen door een besmette mail te openen, waarin het bestand als zip in verpakt zit.
Elke paar dagen wordt er een nieuwe variant van Sasfis gelanceerd!

Dorifel zelf is in Delphi geprogrammeerd en wordt inderdaad nageladen in al die systemen waarin al Zeus-virusvarianten zoals ook Citadel aanwezig zijn!
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan