Worm verleidt Windowsgebruikers weer met I Love You
Er is een nieuwe variant van een bekende Windowsworm verschenen die gebruikers via uitdagende bestandsnamen tot klikken probeert te verleiden, waaronder het bekende 'I Love You'. Daarbij "spreekt" de worm ook verschillende talen. Het gaat om de Vobfus-worm, ook bekend als Changeup.
De worm is al sinds 2012 actief en verspreidt zich via de Autorun-functie van Windows. Aangezien die sinds 2011 standaard uitgeschakeld voor ondersteunde Windows-versies staat uitgeschakeld past de worm social engineering toe om slachtoffers te misleiden. Op besmette USB-sticks en netwerkmappen plaatsten eerdere versies van Vobfus een kopie van zichzelf met namen als 'Porn.exe', 'Sexy.exe', 'Passwords.exe' en 'Secret.exe' en creëerden uitvoerbare bestanden met de namen van al aanwezige bestanden. Deze bestanden werden van een folder-icoon voorzien waardoor het leek alsof het om een map ging.
I Love You
Onlangs is er een nieuwe variant ontdekt die nu ook de bestandsnamen 'I love you.exe', 'Naked.exe' en 'Webcam.exe' gebruikt. I Love You was ook de naam van de worm die in 2000 miljoenen Windowscomputers met een gelijknamig onderwerp en bijlage wist te infecteren. In tegenstelling tot de I Love You worm gebruikt Vobfus geen dubbele bestandsextensie. Windows laat de bestandsextensie standaard niet zien waardoor gebruikers, zeker als het icoon is aangepast, niet meteen doorhebben dat het om een uitvoerbaar bestand gaat.
Een ander kenmerk van de nieuwe variant is dat die lokalisatie toepast. De worm kijkt naar de taal van het besturingssysteem en locatie van de computer. Aan de hand hiervan worden vertaalde bestandsnamen gebruikt. Vobfus "spreekt" in totaal 19 verschillende talen, zoals Arabisch, Hongaars, Chinees, Slowaaks, Thais en Vietnamees. Nederlands ontbreekt echter in het overzicht. Volgens anti-virusbedrijf Trend Micro kan de lokalisatie ervoor zorgen dat gebruikers de bestanden minder verdacht vinden en daardoor eerder openen.
Dat is een heel weinig specifiek toegesneden advies bij deze 'listige' visuele social engineering aanpak.
Het is een gebruiker te vergeven dat het op een file klikt dat een folder icoon heeft om te zien wat er zich in die folder bevindt (niets dus want het is geen folder, ai en helaas).
Het advies had dan tips moeten geven als : hoe controleer je op je systeem of iets een folder is?
- extensie weergave aanzetten helpt
- bij elke folder die een vreemde naam heeft eerst de file info opvragen.
- virusscanner zo instellen dat het scant op 'inserted' media
(niet heel praktisch als je ook af en toe een portable 320gb/500gb/1tb usbdisk aan en af wil sluiten, voor een backup bijvoorbeeld. Ik mis de extra optie bij virusscanners om een volume grootte aan te geven bij de wel niet scan keuze, zo simpel).
Dat gaat geen enkele standaard gebruiker doen, duurt waarschijnlijk 20 jaar voordat dat breed is doorgedrongen, men al ook maar iets begrijpt van wat er staat onder de file eigenschappen en waar men op moeten letten.
Als het ingewikkeld lijkt of er net te ingewikkeld uitziet zijn de meeste gebruikers direct weg : ogen dicht, oren dicht, mond wijd open voor het uiten van luid verzet.
Dat zie je niet vaak, wel zo netjes, de bescheidenheid in het midden te laten dat betalen in geval van ransomeware misschien (eventueel, niet gegarandeerd) helpt bij het terugkrijgen van je encrypted files.
Laat die individuele risico afweging aan de goed geïnformeerde gebruiker.
Gebruikers goed informeren en verder vrij laten in hun keuze.
- virusscanner zo instellen dat het scant op 'inserted' media
(niet heel praktisch als je ook af en toe een portable 320gb/500gb/1tb usbdisk aan en af wil sluiten, voor een backup bijvoorbeeld. Ik mis de extra optie bij virusscanners om een volume grootte aan te geven bij de wel niet scan keuze, zo simpel).
Dat heeft toch totaal geen nut... het enige wat zin heeft is een vluchtige scan op autorun bestanden, de hele disk scannen
dat heeft bij een extern medium geen zin want zodra de gebruiker iets met een specifiek bestand doet dan wordt dit
meteen door de on-access scanner gescand en als je er alleen maar een backup op wilt maken dan hoef je helemaal
niks te scannen.
Niet zo vreemd dus dat die optie er niet is! Allerlei duistere opties waar een gebruiker eerst in moet duiken om te snappen
wat ze doen die maken een antivirusproduct alleen maar onveiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
