Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bijlage 2156_001.docm van scanner@

25-02-2016, 16:20 door Erik van Straten, 4 reacties
Waarschuwing: ransomware spams afkomstig van scanner@(organisatie waar je werkt).nl in omloop

Ik kreeg (van iemand anders) een e-mail onder ogen, met lege body:
- Received: from [106.51.16.18] .... Thu, 25 Feb 2016 11:54:08 +0100
- From: scanner@ (organisatie waar je werkt).nl
- To: (jouw e-mail adres) @ (organisatie waar je werkt).nl
- Subject: Attached Image
- Attachement: "2156_001.docm" (368 bytes volgens Outlook)

Het From: veld is natuurlijk vervalst. De bijlage was duidelijk defect (veel te kort), wellicht door een bug in de spamsoftware.

Een vergelijkbare melding (eveneens vandaag), met niet-defecte bijlage, is hier beschreven: http://myonlinesecurity.co.uk/attached-image-pretending-to-come-from-scanner-at-your-own-email-domain-word-macro-malware-dridex-or-locky-ransomware en bevat tips om besmetting te voorkomen.

Detectie van de bijlage was mager op 2016-02-25 om 11:03:28 UTC: 6 / 56: Arcabit, Avira (no cloud) , Cyren, F-Prot, F-Secure en GData. Zie https://www.virustotal.com/en/file/23fe2473f663446eb95d4ead3160479fb78e1950db56a8234790e6d159120e74/analysis/1456398208/.
N.b. File size = 35915 bytes.

De laatste scan is ca. 10 minuten later gemaakt, toen werd de malware door 7 scanners gedetecteerd (AegisLab is erbij gekomen).

Zie ook https://www.security.nl/posting/462346/Microsoft+waarschuwt+voor+risico+van+macro%27s+in+Word en mijn comment daaronder.
Reacties (4)
25-02-2016, 16:24 door Anoniem
Detectie van de bijlage was mager op 2016-02-25 om 11:03:28 UTC: 6 / 56: Arcabit, Avira (no cloud) , Cyren, F-Prot, F-Secure en GData. Zie https://www.virustotal.com/en/file

Hoe stel je aan de hand van VirusTotal vast hoe goed virusscanners deze malware kunnen detecteren ? Virustotal gebruikt command line scanners, met nogal beperkte functionaliteit......
25-02-2016, 17:38 door Erik van Straten - Bijgewerkt: 27-02-2016, 21:04
25-02-2016, 16:24 door Anoniem: Hoe stel je aan de hand van VirusTotal vast hoe goed virusscanners deze malware kunnen detecteren ?
Laat ik de vraag eens omdraaien: als desktop-virusscanners sowieso aanvullende functionaliteit zou hebben (niet gebruikt door VirusTotal), die voorkomt dat jouw PC door malware beschadigd wordt, waarom werken de AV boeren zich dan helemaal uit de naad om ASAP detectie van bestanden (ook door commandlinescanners) toe te voegen?

Bewijs: als de file morgen nogmaals aan VT wordt aangeboden, zul je zien dat veel meer scanners de malware detecteren. En overmorgen nog meer (fijn voor iemand die altijd minstens 2 dagen wacht met het openen van e-mails na ontvangst, maar de meeste mensen hebben hier niet zoveel aan). Ik heb legio voorbeelden van waar dit bij gebeurd is in het verleden.

Helaas beschik ik niet over een niet-defecte "2156_001.docm" (met MD5=9664a27dae374b9646c32918eb699e78), waardoor ik deze morgen niet zelf opnieuw door VT kan laten scannen. Of iemand anders dat doet zullen we moeten afwachten.

N.b. zojuist even https://www.virustotal.com/en/file/23fe2473f663446eb95d4ead3160479fb78e1950db56a8234790e6d159120e74/analysis/ gecheckt:
File name: 2156_001.docm
Detection ratio: 10 / 55
Analysis date: 2016-02-25 16:23:34 UTC ( 10 minutes ago )
Nu ook herkend door ESET-NOD32, TrendMicro en TrendMicro-HouseCall.

Aanvulling 26-02-2016, 09:40, uit https://www.virustotal.com/en/file/23fe2473f663446eb95d4ead3160479fb78e1950db56a8234790e6d159120e74/analysis/1456463588/:
File name: 2156_001.docm
Detection ratio: 23 / 56
Analysis date: 2016-02-26 05:13:08 UTC ( 3 hours, 17 minutes ago )
Nu ook herkend door AVG, Ad-Aware, AegisLab, Avast, BitDefender, DrWeb, Emsisoft, Fortinet, Ikarus, Kaspersky, McAfee, eScan, Microsoft, Sophos en Symantec.

Aanvulling 26-02-2016, 12:24, uit https://www.virustotal.com/en/file/23fe2473f663446eb95d4ead3160479fb78e1950db56a8234790e6d159120e74/analysis/1456485192/:
File name: 9664a27dae374b9646c32918eb699e78
Detection ratio: 24 / 56
Analysis date: 2016-02-26 11:13:12 UTC ( 6 minutes ago )
Nu ook herkend door nProtect.

Aanvulling 27-02-2016, 21:04, uit https://www.virustotal.com/en/file/23fe2473f663446eb95d4ead3160479fb78e1950db56a8234790e6d159120e74/analysis/1456506794/:
File name: 9664a27dae374b9646c32918eb699e78
Detection ratio: 27 / 56
Analysis date: 2016-02-26 17:13:14 UTC ( 1 day, 2 hours ago )
Nu ook herkend door ALYac, AhnLab-V3 en Panda.

25-02-2016, 16:24 door Anoniem: Virustotal gebruikt command line scanners, met nogal beperkte functionaliteit......
Waarop baseer je dat? Commandline scanners zijn, in mijn ervaring, veel grondiger dan on-access scanners doordat ze veel minder tijdbeperkingen kennen (als je bij elk bestand dat je opent 10 seconden of meer moet wachten, zeker als je bijv. programmeur bent, wil je een andere virusscanner - of zet je hem uit).

Wel is het zo dat allerlei heuristische detectie kan helpen om werkende malware op jouw PC te detecteren. Probleem is dat er dan al (flinke) schade kan zijn aangericht (bijv. verzwakte browserinstellingen, wijzigingen in het register etc.) - waarvan je maar moet afwachten of jouw virusscanner dat allemaal kan herstellen.
25-02-2016, 18:06 door Erik van Straten - Bijgewerkt: 06-03-2016, 10:59
http://pastebin.com/W6f5n8R9

Oude analyse (door iemand anders geüpload): https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456407134/

SHA256: 8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105
File name: 2156_001.docm
Detection ratio: 4 / 55
Analysis date: 2016-02-25 13:32:14 UTC ( 3 hours, 23 minutes ago )

Arcabit HEUR.VBA.Trojan.d 20160225
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160225
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160225
GData Macro.Trojan-Downloader.Agent.MT 20160225

Door mij geüpload: https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456419367/:

File name: 2156_001.docm_from_pastebin_W6f5n8R9
Detection ratio: 11 / 55
Analysis date: 2016-02-25 16:56:07 UTC ( 7 minutes ago )

AegisLab W2000M.Dldr.Rogue!c 20160225
Arcabit HEUR.VBA.Trojan.d 20160225
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160225
Cyren PP97M/Downldr 20160225
DrWeb X97M.DownLoader.105 20160225
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160225
F-Prot New or modified PP97M/Downldr 20160225
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160225
GData Macro.Trojan-Downloader.Agent.MT 20160225
TrendMicro W2KM_DR.6016D262 20160225
TrendMicro-HouseCall W2KM_DR.6016D262 20160225

Aanvulling 26-02-2016, 10:07, uit https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456463592/, door iemand anders geüpload:
File name: a3e7d2cc7d50a12a3e10511ab52cccb5
Detection ratio: 21 / 55
Analysis date: 2016-02-26 05:13:12 UTC ( 3 hours, 50 minutes ago )

AVG W97M/Downloader 20160226
Ad-Aware W97M.Downloader.AXD 20160226
AegisLab W2000M.Dldr.Rogue!c 20160226
Arcabit W97M.Downloader.AXD 20160226
Avast Other:Malware-gen [Trj] 20160226
BitDefender W97M.Downloader.AXD 20160226
Cyren PP97M/Downldr 20160226
DrWeb X97M.DownLoader.105 20160226
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160226
Emsisoft W97M.Downloader.AXD (B) 20160226
F-Prot New or modified PP97M/Downldr 20160226
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160226
Fortinet XM/Agent!tr 20160226
GData W97M.Downloader.AXD 20160226
Kaspersky Trojan-Downloader.MSExcel.Agent.cg 20160226
McAfee X97M/Downloader.azb 20160226
eScan W97M.Downloader.AXD 20160226
Microsoft TrojanDownloader:O97M/Bartallex 20160226
Sophos Troj/DocDl-BGD 20160226
Symantec W97M.Downloader 20160226
TrendMicro W2KM_DR.6016D262 20160226

Aanvulling 26-02-2016, 12:30, uit https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456485197/, door iemand anders geüpload:
File name: a3e7d2cc7d50a12a3e10511ab52cccb5
Detection ratio: 24 / 56
Analysis date: 2016-02-26 11:13:17 UTC ( 16 minutes ago )

ALYac W97M.Downloader.AXD 20160226
AVG W97M/Downloader 20160226
Ad-Aware W97M.Downloader.AXD 20160226
AegisLab W2000M.Dldr.Rogue!c 20160226
Arcabit W97M.Downloader.AXD 20160226
Avast Other:Malware-gen [Trj] 20160226
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160226
BitDefender W97M.Downloader.AXD 20160226
Cyren PP97M/Downldr 20160226
DrWeb X97M.DownLoader.105 20160226
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160226
Emsisoft W97M.Downloader.AXD (B) 20160226
F-Prot New or modified PP97M/Downldr 20160226
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160226
Fortinet XM/Agent!tr 20160226
GData W97M.Downloader.AXD 20160226
Kaspersky Trojan-Downloader.MSExcel.Agent.cg 20160226
McAfee X97M/Downloader.azb 20160226
eScan W97M.Downloader.AXD 20160226
Microsoft TrojanDownloader:O97M/Bartallex 20160226
Sophos Troj/DocDl-BGD 20160226
Symantec W97M.Downloader 20160226
TrendMicro W2KM_DR.6016D262 20160226
nProtect W97M.Downloader.AXD 20160226

Aanvulling 26-02-2016, 17:52, uit https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456505265/, door mijzelf zojuist geüpload:
File name: 2156_001.docm_from_pastebin_W6f5n8R9
Detection ratio: 26 / 55
Analysis date: 2016-02-26 16:47:45 UTC ( 3 minutes ago )

ALYac W97M.Downloader.AXD 20160226
AVG W97M/Downloader 20160226
Ad-Aware W97M.Downloader.AXD 20160226
AegisLab W2000M.Dldr.Rogue!c 20160226
AhnLab-V3 W97M/Downloader 20160226
Arcabit W97M.Downloader.AXD 20160226
Avast Other:Malware-gen [Trj] 20160226
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160226
BitDefender W97M.Downloader.AXD 20160226
Cyren PP97M/Downldr 20160226
DrWeb X97M.DownLoader.105 20160226
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160226
Emsisoft W97M.Downloader.AXD (B) 20160226
F-Prot New or modified PP97M/Downldr 20160226
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160226
Fortinet XM/Agent!tr 20160226
GData W97M.Downloader.AXD 20160226
Kaspersky Trojan-Downloader.MSExcel.Agent.cg 20160226
McAfee X97M/Downloader.azb 20160226
eScan W97M.Downloader.AXD 20160226
Microsoft TrojanDownloader:O97M/Bartallex 20160226
Panda O97M/Downloader 20160226
Sophos Troj/DocDl-BGD 20160226
Symantec W97M.Downloader 20160226
TrendMicro W2KM_DR.6016D262 20160226
nProtect W97M.Downloader.AXD 20160226

Aanvulling 27-02-2016, 21:12, uit https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456603587/, door mijzelf zojuist geüpload:
File name: 2156_001.docm_from_pastebin_W6f5n8R9
Detection ratio: 30 / 55
Analysis date: 2016-02-27 20:06:27 UTC ( 5 minutes ago )

ALYac W97M.Downloader.AXD 20160227
AVG W97M/Downloader 20160227
Ad-Aware W97M.Downloader.AXD 20160227
AegisLab W2000M.Dldr.Rogue!c 20160227
AhnLab-V3 W97M/Downloader 20160227
Arcabit W97M.Downloader.AXD 20160227
Avast VBA:Downloader-ARZ [Trj] 20160227
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160227
BitDefender W97M.Downloader.AXD 20160227
CAT-QuickHeal O97M.Dropper.VI 20160227
Cyren PP97M/Downldr 20160227
DrWeb X97M.DownLoader.105 20160227
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160227
Emsisoft W97M.Downloader.AXD (B) 20160227
F-Prot New or modified PP97M/Downldr 20160227
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160227
Fortinet XM/Agent!tr 20160227
GData W97M.Downloader.AXD 20160227
Kaspersky Trojan-Downloader.MSExcel.Agent.cg 20160227
McAfee X97M/Downloader.azb 20160227
McAfee-GW-Edition X97M/Downloader.azb 20160227
eScan W97M.Downloader.AXD 20160227
Microsoft TrojanDownloader:O97M/Bartallex 20160227
NANO-Antivirus Trojan.Script.MLW.eanuvb 20160227
Panda O97M/Downloader 20160227
Sophos Troj/DocDl-BGD 20160227
Symantec W97M.Downloader 20160226
Tencent Excel.Trojan-downloader.Agent.Lnxv 20160227
TrendMicro W2KM_DR.6016D262 20160227
nProtect W97M.Downloader.AXD 20160226

Aanvulling 28-02-2016, 20:51, uit https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1456688793/, door mijzelf zojuist geüpload:
File name: 2156_001.docm_from_pastebin_W6f5n8R9
Detection ratio: 31 / 55
Analysis date: 2016-02-28 19:46:33 UTC ( 2 minutes ago )

ALYac W97M.Downloader.AXD 20160228
AVG W97M/Downloader 20160228
Ad-Aware W97M.Downloader.AXD 20160228
AegisLab W2000M.Dldr.Rogue!c 20160228
AhnLab-V3 W97M/Downloader 20160228
Arcabit W97M.Downloader.AXD 20160228
Avast VBA:Downloader-ARZ [Trj] 20160228
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160228
BitDefender W97M.Downloader.AXD 20160228
CAT-QuickHeal O97M.Dropper.VI 20160227
Cyren PP97M/Downldr 20160228
DrWeb X97M.DownLoader.105 20160228
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160228
Emsisoft W97M.Downloader.AXD (B) 20160228
F-Prot New or modified PP97M/Downldr 20160228
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160227
Fortinet XM/Agent!tr 20160228
GData W97M.Downloader.AXD 20160228
Ikarus Trojan-Downloader.VBA.Agent 20160228
Kaspersky Trojan-Downloader.MSExcel.Agent.cg 20160228
McAfee X97M/Downloader.azb 20160228
McAfee-GW-Edition X97M/Downloader.azb 20160228
eScan W97M.Downloader.AXD 20160228
Microsoft TrojanDownloader:O97M/Bartallex!rfn 20160228
NANO-Antivirus Trojan.Script.MLW.eanuvb 20160228
Panda O97M/Downloader 20160228
Sophos Troj/DocDl-BGD 20160228
Symantec W97M.Downloader 20160228
Tencent Excel.Trojan-downloader.Agent.Lnxv 20160228
TrendMicro W2KM_DR.6016D262 20160228
nProtect W97M.Downloader.AXD 20160226

Aanvulling 06-03-2016, 10:57, uit https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/1457258109/, door mijzelf zojuist geüpload:
File name: 2156_001.docm_from_pastebin_W6f5n8R9
Detection ratio: 31 / 54
Analysis date: 2016-03-06 09:55:09 UTC ( 1 minute ago )

ALYac W97M.Downloader.AXD 20160305
AVG W97M/Downloader 20160306
Ad-Aware W97M.Downloader.AXD 20160306
AegisLab W2000M.Dldr.Rogue!c 20160306
AhnLab-V3 W97M/Downloader 20160305
Arcabit W97M.Downloader.AXD 20160306
Avast VBA:Downloader-ARZ [Trj] 20160306
Avira (no cloud) W2000M/Dldr.Rogue.aipbyd 20160305
BitDefender W97M.Downloader.AXD 20160306
CAT-QuickHeal O97M.Dropper.VI 20160305
Cyren PP97M/Downldr 20160306
DrWeb X97M.DownLoader.105 20160306
ESET-NOD32 VBA/TrojanDownloader.Agent.AUA 20160305
Emsisoft W97M.Downloader.AXD (B) 20160306
F-Prot New or modified PP97M/Downldr 20160306
F-Secure Trojan:W97M/MaliciousMacro.GEN 20160306
Fortinet XM/Agent!tr 20160306
GData W97M.Downloader.AXD 20160306
Ikarus Trojan-Downloader.VBA.Agent 20160306
Kaspersky Trojan-Downloader.MSExcel.Agent.cg 20160306
McAfee X97M/Downloader.azb 20160306
McAfee-GW-Edition X97M/Downloader.azb 20160306
eScan W97M.Downloader.AXD 20160306
Microsoft TrojanDownloader:O97M/Bartallex!rfn 20160306
NANO-Antivirus Trojan.Script.MLW.eanuvb 20160306
Panda O97M/Downloader 20160305
Sophos Troj/DocDl-BGD 20160306
Symantec W97M.Downloader 20160305
Tencent Excel.Trojan-downloader.Agent.Lnxv 20160306
TrendMicro W2KM_DR.6016D262 20160306
nProtect W97M.Downloader.AXD 20160304

Niet gedetecteerd door:
AVware 20160306
Agnitum 20160304
Alibaba 20160304
Baidu-International 20160306
Bkav 20160305
ByteHero 20160306
CMC 20160303
ClamAV 20160306
Comodo 20160306
Jiangmin 20160306
K7AntiVirus 20160304
K7GW 20160304
Malwarebytes 20160306
Qihoo-360 20160306
Rising 20160306
SUPERAntiSpyware 20160306
TheHacker 20160305
TrendMicro-HouseCall 20160306
VBA32 20160305
VIPRE 20160306
ViRobot 20160306
Zillya 20160305
Zoner 20160306
26-02-2016, 17:57 door Erik van Straten
Bump - vandaag div. keren VirusTotal geraadpleegd voor bovengenoemde files, "inline" bijgewerkt.

Zoals voorspeld worden de kwaadaardige bestanden ondertussen door veel meer virusscanners herkend (zie mijn bijdrage https://www.security.nl/posting/462423/Bijlage+2156_001_docm+van+scanner%40#posting462435 voor achtergronden).

De laatste updates op Virustotal vind je in resp.
https://www.virustotal.com/en/file/23fe2473f663446eb95d4ead3160479fb78e1950db56a8234790e6d159120e74/analysis/
en
https://www.virustotal.com/en/file/8241939ce25722ca1a9b685a6d0540a3a5b01e581e86edfc5df4b51b02bb0105/analysis/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.