Er is een nieuwe variant van het Dorifelvirus gedetecteerd die nog nauwelijks door virusscanners wordt gedetecteerd en het Buma/Stemra-virus verspreidt. "In tegenstelling tot eerdere varianten is deze variant nu zelf ook versleuteld om ongezien te blijven voor virusscanners. Het lijkt ook op elke geïnfecteerde computer een andere verschijningsvorm (hash) te hebben, een tactiek die onder andere door de Zeus/Citadel banking Trojans wordt gebruikt", zegt Mark Loman van het Nederlandse anti-virusbedrijf SurfRight tegenover Security.nl.
Doordat er steeds een andere hash wordt gebruikt, is het lastig om het aantal infecties te bepalen. In de nieuwste variant is ook de C&C communicatie bijgewerkt. Zo wordt er een nieuwe afbeelding gebruikt en worden nieuwe domeinen gebruikt. Het account 50man met het C&C plaatje is op 14 september 2012 aangemaakt
Als afbeelding is Muhammad Ali gebruikt, die daarvoor als Cassius Clay door het leven ging. "En die naam kwamen we in de Nederlandse variant al tegen in de code", merkt Loman op.
Detectie
Deze nieuwe Dorifel wordt volgens de virusbestrijder niet goed gezien door antivirussoftware. HitmanPro, de virusverwijdertool van SurfRight, verwijdert de malware wel. Net als eerdere varianten versleutelt ook deze versie documenten op de computer. Die moeten met een aparte decrypter-tool gered worden.
Buma/Stemra-virus
Dorifel downloadt ook aanvullende malware. "20 minuten nadat ik een Windows XP analysestation had geïnfecteerd is er een nieuwe ZeroAccess Trojan opgehaald dat een willekeurig Windows-stuurprogramma infecteert, zoals cdrom.sys, afd.sys, i8042prt.sys, wat verwijdering voor veel antivirusprogramma’s bemoeilijkt", merkt Loman op.
Naast ZeroAcces installeert de nieuwe Dorifel ook de bekende Buma/Stema ransomware. Die laat slachtoffers geloven dat de computer wegens illegaal gedownloade muziek is vergrendeld. Het slachtoffer moet vervolgens100 euro betalen om weer toegang te krijgen.
Update 15:09
De malware gebruikt de volgende IP-adressen/domeinnamen
Deze posting is gelocked. Reageren is niet meer mogelijk.