De meeste slachtoffers van het Dorifel-virus, dat 2700 Nederlandse organisaties en een ministerie besmette, beschikten over een up-to-date virusscanner.
Dit laat Mark Loman van Surfright weten tegenover Security.NL. Veel systemen raakten besmet, ondanks dat zij over een up-to-date, vaak zakelijke, bekende virusscanner beschikken.
De malware schakelde de virusscanners niet uit, maar wist wel onzichtbaar te blijven. Daarna downloadde de malware het Dorifel-virus, waarna gebruikers pas doorkregen dat er iets mis was met de beveiliging. Bovendien trof Surfright op verschillende systemen de ZeroAccess-rootkit aan. Menig virusscanner heeft ook met deze rootkit problemen.
Loman dringt gebruikers erop aan om niet alleen het Dorifel-virus te verwijderen, maar ook extra te kijken naar andere infecties.
Het Dorifel-virus roept overigens de nodige vragen op. Het Trojaanse paard versleutelde namelijk op de ene pc Word- en Excel-documenten, terwijl het op andere computers de bestanden verminkte. Bovendien werd er nooit om geld gevraagd om de documenten weer te ontsleutelen.
SSL-certificaat
Recentelijk is overigens ook bekend geworden dat de makers van Dorifel een domeinnaam met SSL-certificaat hebben geregistreerd, mogelijk om bankfraude te plegen. Dit blijkt uit onderzoek van Rickey Gevers.
Gevers onderzocht de servers die werden gebruikt door de aanvallers, omdat deze niet goed waren beveiligd wist hij toegang tot de inhoud te krijgen. Hij ontdekte dat de besmette computers via het Fragus-botnetframework worden beheerd. Daarnaast ontdekte hij verschillende andere malware op de server, evenals een SSL-certificaat dat op 1 augustus voor het domein bank-auth.org werd geregistreerd.
Het Nationaal Cyber Security Centrum liet overigens gisteren weten dat de uitbraak nu onder controle is, terwijl Kaspersky Lab diezelfde dag nog meldde dat het aantal infecties nog aan het groeien was. Het totaalaantal infecties ligt nu op de 3.000.
1 dag geleden
