Power Worm infecteert Word- en Excel-bestanden
Onderzoekers hebben een nieuwe malware-familie ontdekt die zich in Word- en Excel-bestanden verstopt en Tor en Windows Powershell gebruikt voor het uitvoeren van aanvallen op computers. Daarbij gebruikt de malware nieuwe technieken, waardoor systeembeheerders een infectie mogelijk niet opmerken.
Dat stelt het Japanse anti-virusbedrijf Trend Micro. Malware die Word- en Excel-bestanden aanvalt bestaat al geruime tijd, maar de Crigent-malware, ook bekend als Power Worm, gebruikt een aantal nieuwe technieken. De belangrijkste is dat Crigent Windows PowerShell gebruikt in plaats van een uitvoerbaar bestand. PowerShell is een scriptingtool die in alle recente versies van Windows aanwezig is.
De malware voert alle activiteiten via PowerShell uit. Daardoor kunnen systeembeheerders die alleen naar kwaadaardige binaire bestanden kijken deze malware over het hoofd zien, aangezien het gebruik van PowerShell niet zoveel voorkomt, aldus Trend Micro.
Tor
De malware arriveert op computers als Word- of Excel-document en wordt door andere malware geïnstalleerd of door de gebruiker gedownload. Zodra het bestand wordt geopend, downloadt Crigent twee aanvullende programma's, namelijk Tor en Polipo, een webproxy. Deze software wordt gebruikt om verbinding met de Command & Control-server te maken en een PowerShell-script te downloaden.
Dit script stuurt informatie over het systeem terug en infecteert andere Word- en Excel-documenten met de Crigent-code. Om dit te doen wijzigt het script verschillende registerinstellingen, waardoor de beveiligingsinstellingen van Microsoft Office worden verlaagd. Vervolgens wordt er naar DOC-, DOCX-, XLS- en XLSX-bestanden gezocht. Ook worden de waarschuwingen en macro's van het te infecteren bestand uitgeschakeld, om gebruikers niets te laten vermoeden.
Bestaande DOCX- en XLSX-bestanden worden vervolgens naar de DOC- en XLS-formaten geconverteerd, waarna het origineel wordt verwijderd. Aan de bestanden wordt tevens een Visual Basic module toegevoegd die een kwaadaardige macro bevat, waarna het openen van deze DOC- en XLS-bestanden de infectiecyclus laat herhalen.
Dataverlies en detectie
Doordat Crigent bestanden converteert bestaat het risico dat zowel bedrijven als eindgebruikers belangrijke data verliezen, zo waarschuwt de virusbestrijder. Om de Power Worm te detecteren kunnen systeembeheerders naar de aanwezigheid van Polipo en Tor op het netwerk kijken of controleren dat DOCX- en XSLX-bestanden niet zijn omgezet.
Oh ja tuurlijk maar jouw XP pc is wel vatbaar voor veel andere dingen waar 7 en 8 niet vatbaar voor is.
http://nl.wikipedia.org/wiki/Windows_PowerShell
Ook geen PowerShell versie 1.0 ?
http://nl.wikipedia.org/wiki/Windows_PowerShell
Ook geen PowerShell versie 1.0 ?
Nope , het is een uitgeklede xp van ongeveer 100 mb groot (install size) met enkel de zaken die ik nodig heb .
14 sec. boot en de schijf waar xp op staat is tegen schrijven beveiligd .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
