Er is een nieuwe variant van het Dorifelvirus ontdekt, dat eerder in Nederland duizenden systemen wist te infecteren, onder andere bij ministeries, gemeenten en overheidsinstellingen. De nieuwe variant is vooral actief in de Verenigde Staten en Australië, zo laat het Nederlandse beveiligingsbedrijf SurfRight aan Security.nl weten. De code is volgens Mark Loman van SurfRight identiek aan die van de 'Nederlandse' Dorifel, alleen verschillen de infectiemarker en gebruikte RC4 encryptie. Ook zijn de Scarface-verwijzingen verwijderd.
Versleuteling
Samen met beveiligingsbedrijf Emisoft is er een nieuwe decrypter-tool ontwikkeld om de versleuteling te kraken. Waarom Dorifel bestanden versleuteld is nog altijd onbekend. "Geen idee waarom ze versleuteld worden. Ik vind het ergens dom want het wordt zo snel ontdekt, maar anderzijds, door documenten in executables te veranderen en de bestandsnaam te voorzien van een RTLO-karakter om gebruikers enigszins te foppen, verspreid je je rommel wel als een malle", merkt Loman op.
De virusbestrijder vindt het opmerkelijk dat de decryptieroutine gewoon in het geïnfecteerde bestand zit. "Iedereen kan dat bestand gewoon openen. Hij had het document niet hoeven te versleutelen, hij had het er ook gewoon los in kunnen plakken."
De versleuteling maakt het volgens Loman lastig voor anti-virussoftware om het document te kunnen redden. "Want de versleuteling is nu weer anders dus moeten decrypters in de virusscanner die dit eventueel kunnen worden aangepast."
Foto
Er zijn op dit moment infecties bij bedrijven in Californië en Texas bekend. Verder zijn er infecties in Australië waargenomen. Of deze variant ook via Citadel is verspreid is nog onbekend. De Nederlandse Dorifel communiceerde via een gamersforum. "Ditmaal heeft de aanvaller een account geopend bij een forum dat onderdak biedt aan mensen die privacy nodig hebben, zo lijkt het."
Het account dat de aanvaller aanmaakte dateert van 23 augustus. Bij het gamersforum werd een afbeelding van de televisieserie Breaking Bad als profielfoto gebruikt, terwijl nu de foto linksboven is gebruikt. Loman verwacht meer informatie over de nieuwe variant als meer machines in de Verenigde Staten actief worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.