Nieuwjaarswens virusschrijver bevat dubbele bodem
Virusschrijvers zijn er dit jaar vroeg bij wat betreft nieuwjaarswensen. De wenskaart waar vrijdag voor werd gewaarschuwd is inmiddels gemuteerd, zo waarschuwen het Internet Storm Center en de Waarschuwingsdienst. Als bijlage bevat de nieuwjaarswens de bestanden "postcard.exe", "Postcard.exe", "greeting card.exe", "Greeting Card.exe", "greeting postcard.exe" en "Greeting Postcard.exe".
Het onderwerp varieert tussen "Annual Fun Forecast!, Baby New Year!, Best Wishes For A Happy New Year!, Fun 2007!, Fun Filled New Year!, Happiness And Continued Success!, Happiness And Success!, Happiness In Everything!, Happy 2007!, Happy New Year!, Happy Times And Happy Memories!, May Your Dreams Come True!, New Hopes And New Beginnings!, New Year... Happy Year! en Promises Of Happy Times!".
Nu kun je de happy times wel weglaten, want eenmaal geopend installeert de malware verschillende Trojaanse paarden en downloaders, schakelt het beveiligingssoftware uit, kan het vertrouwelijke informatie stelen en stuurt het zichzelf naar e-mailadressen die het op de computer vindt.
De Trojan is bekend onder de volgende namen: Email-Worm.Win32.Luder.a, Trojan.Downloader-388, Trojan-Downloader.Win32.Tibs.jy, Win32/Nuwar.M, W32/Dref-U, W32/Dref-V, W32/Nuwar@MM, W32.Nuwar.AY, WORM_NUWAR.AY en WORM_NUWAR.BH.
In
http://www.security.nl/article/15128/1/Meer_kwaadaardige_nieuwjaarskaarten_gesignaleerd.html
schreef ik al over een aantal virusscanners die deze malware
niet detecteren. Triest is het te constateren dat de meeste
daarvan dit nog steeds niet doen, terwijl deze "postcard"
malware veelvuldig gespammed is; gisteren heb ik de Pine
Virus Top 5 op een gegeven moment zien vermelden dat
meer dan 1 op de 12 emails een virus bevatte (momenteel 1 op
209.9).
Zojuist (01.01.2007, 18:46:01 (CET)) de oudere postcard.exe
met md5sum d355db6e05dbc00d20cb71e4e0613115 die als eerste
op 30 december om 06:36 binnenkwam (dus 2.5 dag geleden)
nogmaals aangeboden op
http://www.virustotal.com/, met als resultaat de
volgende scanners waarvan "No virus found" wordt gemeld:
12.30.2006 Avast 4.7.892.0
01.01.2007 CAT-QuickHeal 8.00
12.30.2006 eTrust-InoculateIT 23.73.102
01.01.2007 Ewido 4.0
12.29.2006 McAfee 4929
12.31.2006 Microsoft 1.1904
01.01.2007 Panda 9.0.0.4
12.30.2006 Sophos 4.13.0
12.18.2006 Sunbelt 2.2.907.0
Ik vind het onbegrijpelijk dat bijv. McAfee nog geen nieuwe
definities heeft uitgebracht (volgens de McAfee website is
4929 op dit moment nog steeds de laatste versie, dit is dus
geen tekortkoming van VirusTotal). Microsoft is kennelijk
wel geupdate - maar herkent de malware van 1 dag eerder nog
niet.
Behalve dat meermalen is aangetoond dat virusscanners
nauwelijks tot niet in staat zijn om verse malware te
detecteren, blijken een aantal AV fabrikanten het uitbrengen
van nieuwe definities voor massaal gespamde malware en
varianten daarvan tijdens de feestdagen gewoon te laten liggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
