image

Worm verleidt Windowsgebruikers weer met I Love You

zaterdag 17 mei 2014, 06:51 door Redactie, 2 reacties

Er is een nieuwe variant van een bekende Windowsworm verschenen die gebruikers via uitdagende bestandsnamen tot klikken probeert te verleiden, waaronder het bekende 'I Love You'. Daarbij "spreekt" de worm ook verschillende talen. Het gaat om de Vobfus-worm, ook bekend als Changeup.

De worm is al sinds 2012 actief en verspreidt zich via de Autorun-functie van Windows. Aangezien die sinds 2011 standaard uitgeschakeld voor ondersteunde Windows-versies staat uitgeschakeld past de worm social engineering toe om slachtoffers te misleiden. Op besmette USB-sticks en netwerkmappen plaatsten eerdere versies van Vobfus een kopie van zichzelf met namen als 'Porn.exe', 'Sexy.exe', 'Passwords.exe' en 'Secret.exe' en creëerden uitvoerbare bestanden met de namen van al aanwezige bestanden. Deze bestanden werden van een folder-icoon voorzien waardoor het leek alsof het om een map ging.

I Love You

Onlangs is er een nieuwe variant ontdekt die nu ook de bestandsnamen 'I love you.exe', 'Naked.exe' en 'Webcam.exe' gebruikt. I Love You was ook de naam van de worm die in 2000 miljoenen Windowscomputers met een gelijknamig onderwerp en bijlage wist te infecteren. In tegenstelling tot de I Love You worm gebruikt Vobfus geen dubbele bestandsextensie. Windows laat de bestandsextensie standaard niet zien waardoor gebruikers, zeker als het icoon is aangepast, niet meteen doorhebben dat het om een uitvoerbaar bestand gaat.

Een ander kenmerk van de nieuwe variant is dat die lokalisatie toepast. De worm kijkt naar de taal van het besturingssysteem en locatie van de computer. Aan de hand hiervan worden vertaalde bestandsnamen gebruikt. Vobfus "spreekt" in totaal 19 verschillende talen, zoals Arabisch, Hongaars, Chinees, Slowaaks, Thais en Vietnamees. Nederlands ontbreekt echter in het overzicht. Volgens anti-virusbedrijf Trend Micro kan de lokalisatie ervoor zorgen dat gebruikers de bestanden minder verdacht vinden en daardoor eerder openen.

Reacties (2)
17-05-2014, 12:18 door Anoniem
Volgens anti-virusbedrijf Trend Micro
Cybercriminals will do anything or use any technique possible to gain new victims. We advise users to avoid clicking links or files unless these can be verified.

Dat is een heel weinig specifiek toegesneden advies bij deze 'listige' visuele social engineering aanpak.
Het is een gebruiker te vergeven dat het op een file klikt dat een folder icoon heeft om te zien wat er zich in die folder bevindt (niets dus want het is geen folder, ai en helaas).

Het advies had dan tips moeten geven als : hoe controleer je op je systeem of iets een folder is?
- extensie weergave aanzetten helpt
- bij elke folder die een vreemde naam heeft eerst de file info opvragen.
- virusscanner zo instellen dat het scant op 'inserted' media
(niet heel praktisch als je ook af en toe een portable 320gb/500gb/1tb usbdisk aan en af wil sluiten, voor een backup bijvoorbeeld. Ik mis de extra optie bij virusscanners om een volume grootte aan te geven bij de wel niet scan keuze, zo simpel).

Dat gaat geen enkele standaard gebruiker doen, duurt waarschijnlijk 20 jaar voordat dat breed is doorgedrongen, men al ook maar iets begrijpt van wat er staat onder de file eigenschappen en waar men op moeten letten.
Als het ingewikkeld lijkt of er net te ingewikkeld uitziet zijn de meeste gebruikers direct weg : ogen dicht, oren dicht, mond wijd open voor het uiten van luid verzet.

For ransomware incidents, since the files cannot be decrypted (aside from perhaps paying the fee), it’s also good practice to constantly back up files in case of instances such as this one.

Dat zie je niet vaak, wel zo netjes, de bescheidenheid in het midden te laten dat betalen in geval van ransomeware misschien (eventueel, niet gegarandeerd) helpt bij het terugkrijgen van je encrypted files.
Laat die individuele risico afweging aan de goed geïnformeerde gebruiker.
Gebruikers goed informeren en verder vrij laten in hun keuze.
19-05-2014, 11:09 door Anoniem
Door Anoniem:
- virusscanner zo instellen dat het scant op 'inserted' media
(niet heel praktisch als je ook af en toe een portable 320gb/500gb/1tb usbdisk aan en af wil sluiten, voor een backup bijvoorbeeld. Ik mis de extra optie bij virusscanners om een volume grootte aan te geven bij de wel niet scan keuze, zo simpel).

Dat heeft toch totaal geen nut... het enige wat zin heeft is een vluchtige scan op autorun bestanden, de hele disk scannen
dat heeft bij een extern medium geen zin want zodra de gebruiker iets met een specifiek bestand doet dan wordt dit
meteen door de on-access scanner gescand en als je er alleen maar een backup op wilt maken dan hoef je helemaal
niks te scannen.

Niet zo vreemd dus dat die optie er niet is! Allerlei duistere opties waar een gebruiker eerst in moet duiken om te snappen
wat ze doen die maken een antivirusproduct alleen maar onveiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.