Mark Loman van SurfRight vertelt aan Webwereld dat het bedrijf hard werkt aan een nieuwe ontsleutelingstool om door Dorifel besmette bestanden te bevrijden. Vandaag detecteerde het bedrijf een nieuwe Dorifel-variant die ZeroAccess serveert op besmette computers. Virusscanners detecteren de nieuwe variant nog niet.

Onderzoekers van Digital Investigation analyseren de samples nu en waarschuwen netwerkbeheerders via Twitter om domeinen te blokkeren. Naast IP-adres 91.220.35.61 moeten domeinen http://open-consulting-company.com en oianowifna.ru in de firewall geblokkeerd worden.

Dorifel gijzelt Office

Net als de vorige keer gijzelt Dorfiel doc, xls en exe-bestanden. “Stel je voor dat je een boekhoudprogramma deelt op het netwerk met schrijfrechten, dan verspreid het virus zich via de geïnfecteerde executable binnen het netwerk", zegt Loman. Een aantal Amerikaanse bedrijven is nu al geïnfecteerd met de Dorifel-variant.

De nieuwe variant gebruikt geen vaste hash en daarom is het lastig om te bepalen hoeveel infecties er zich precies voordoen. “We kijken nu naar de detectienamen en omdat antivirusvendors verschillende namen geven, is het lastig om snel een beeld te krijgen. Dus daar kan ik nog geen uitspraken over doen", aldus Loman.

ZeroAccess vernieuwd

Dorifel verspreidt nu het beruchte ZeroAccess. Deze maakt gebruik van een nieuwe aanvalsvector. In het verleden nestelde zich in het verleden in de mbr en van de zomer kozen de makers voor een nieuwe aanvalstactiek: het besmetten van services.exe. Hierdoor was het virus net als de rootkit slecht aan te pakken in conventionele virusscanners.

“Een hele nieuwe methode die we nu zien is dat het virus stuurprogramma's infecteert", zegt Loman. “ZeroAccess heeft geen rootkitfunctionaliteit meer." Dat maakt hem niet minder gevaarlijk, want verwijdering blijft lastig doordat het virus zich zo in het systeem hecht. Het botnet ZeroAccess wordt voornamelijk gebruikt om klikfraude te plegen.

Infectiemethode

Het is nog onduidelijk hoe het virus precies is binnengekomen. Het kan een drive-by of phishingaanval zijn, maar de meest voor de hand liggende infectiemethode is een botnet. “We onderzoeken nog of er ook Citadel-malware op de besmette netwerken zit", vertelt Loman.

Ook cybercentrum NCSC is geïnformeerd. Het NCSC laat Webwereld weten vandaag nog met een waarschuwing voor bedrijven en overheden te komen en bekijkt nu nog hoe gevaarlijk het virus precies.

Update 15.43 uur: Mark Loman van SurfRight meldt dat de tool om besmette bestanden te ontsleutelen af is. De bijgewerkte tool is te downloaden vanaf deze plek. Tevens update van het NCSC toegevoegd.