Nieuws
image

E-mailaanval gebruikt uit 1990 stammend ARJ-formaat

dinsdag 16 september 2014, 16:36 door Redactie, 6 reacties

Het gebruik van e-mailbijlagen om internetgebruikers met malware te infecteren is nog altijd een populaire methode onder cybercriminelen, waarbij voornamelijke EXE- en ZIP-bestanden worden gebruikt, maar vandaag ontdekte een onderzoeker een e-mail die het uit 1990 stammende ARJ-formaat gebruikt.

Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken. Het concurreerde met PKZIP, een ander populair archiefprogramma. ARJ is inmiddels al lang niet meer zo bekend en populair als 20 jaar geleden, wat mede wordt toegeschreven aan andere archiefformaten zoals RAR en 7-ZIP en het ontbreken van een grafische gebruikersinterface.

Toch is er nu een e-mail ontdekt waarbij als bijlage een ARJ-bestand is toegevoegd. Het bericht heeft als onderwerp "Overdue invoice #6767390" en stelt dat er nog een bedrag openstaat. De bijlage, "invc_2014-09-15_15-07-11_6767390.arj", kan echter alleen worden uitgepakt als de ontvanger over een archiefprogramma beschikt dat dit formaat aan kan, zo stelt onderzoeker Conrad Longmore. Als gebruikers het bestand kunnen uitpakken verschijnt er een EXE-bestand, dat de malware is. Van de 55 virusscanners op VirusTotal bleek alleen de Chinese anti-virusleverancier Qihoo de malware te detecteren.

Reacties (6)
16-09-2014, 17:44 door Anoniem
En wanneer je naar een ARJ-uitpakker zoekt, vind je malware? Zou een listige truc zijn.
16-09-2014, 21:20 door Vandy
ARJ wás ooit superieur, vooral met archieven die groter dan één floppy waren. Helaas is de stap naar Windows nooit gemaakt, zodat het langzaam uitstierf.

Overigens maken veel internetters tegenwoordig nog steeds gebruik van een uit 1989 stammend archief-formaat, namelijk .zip.
17-09-2014, 05:53 door Anoniem
Jaaaa klopt, die goeie ouwe tijd, toen banken nog een eigen afgescheiden netwerk hadden, en de roverheid zich niet met ons techneutjes bemoeiden: arj -a -v1440 *.*

Sinds het gros van de mensen zich expert waant met een smartphone ... worden ze steeds slimmer?
17-09-2014, 08:19 door Anoniem
ARJ bestaat nog steeds hoor, je zegt ook niet dat ZIP uit 1989 is. Het is ook geevolueerd. Dus zeggen dat het gebruikte format uit 1990 is, is niet waar.

Overigens stuurt de aanvaller sinds kort wel bestanden met de extensie arj, maar het bestand is feitelijk een ZIP bestand. Zolang je compressieprogramma het opent en aan format herkenning doet, werkt het. Dus ook met elke andere ondersteunde extensie.
17-09-2014, 09:40 door spatieman
ARC ARCE PKXARC BCK LHICE ICE SQZ YAC ZOO LHA LHZ PAK PAC ARK ZIP ,ach, welke dos gebruiker kent ze niet.
19-09-2014, 14:03 door Anoniem
Door spatieman: ARC ARCE PKXARC BCK LHICE ICE SQZ YAC ZOO LHA LHZ PAK PAC ARK ZIP ,ach, welke dos gebruiker kent ze niet.

Eeh, het was LZH :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure