Volgens een bericht van het Nationaal Cyber Security Center is het Dorifelvirus onder controle. Er zijn nog organisaties bezig met het schoonmaken van hun systemen en bestanden, maar er komen bij het NCSC geen nieuwe meldingen meer binnen. De overheidsinstelling zegt verder dat internet service providers hebben meegewerkt door het IP-adres waarnaar het virus verwees, onbereikbaar te maken.

Het aantal getroffen instellingen waarvan bij het NCSC bekend is dat zij besmet zijn, blijft staan op dertig. “Het NCSC gaat er vanuit dat er een grote kans is dat hiermee het ergste achter de rug is maar sluit niet uit dat er nog een aantal meldingen kunnen volgen."

NCSC blijft muisstil over bestrijding botnet

Opmerkelijk is dat het NCSC ondanks herhaald verzoek van Webwereld niet ingaat op de brede besmetting van overheden en instellingen met de Citadel-malware, waardoor duizenden pc's bij de overheid tot zombies binnen een botnet zijn verworden. Gisteravond bleken 100 besmette pc's nieuwe botnetmalware te downloaden, Hermes genaamd. Dat lijkt een test van de crimineel om te bezien of verdere verspreiding van dat nieuwe trojaanse paard mogelijk is.

Hermes blijkt maar een van de middelen te zijn die de botnetherder ter beschikking heeft. David Jacoby, beveiligingsexpert bij antivirusmaker Kaspersky, zegt dat de servers die de Dorifelmalware hosten, niet goed waren geconfigureerd waardoor onderzoekers de inhoud kunnen inspecteren. Hij kwam een hele lading nieuwe malware tegen die klaarstond om te worden gebruikt. Daarnaast vond hij bestanden met gestolen financiële informatie, “een sterke indicatie dat de bende die hier achter zit ook allerlei andere criminele activiteiten ontplooit."

Java-exploits en andere malware

Verder vond Kaspersky nog niet bekende Java exploits, valse antivirussoftware, een aantal trojaanse paarden, een actieve infectiestatistiek voor Dorifel, webinjects voor phishingsites en admin-panels. Andere malware wordt nog onderzocht door de analisten van Kaspersky Labs. Aan de zichzelf bijwerkende statistieken op de server kan Jacoby zien dat het aantal infecties toeneemt in steeds meer landen. In Nederland zouden sinds gisteren meer dan 1100 infecties erbij zijn gekomen en het virus is nu ook actief in China, Canada en Polen.

Terwijl Jacoby de C&C-infrastructuur verder analyseerde, kwam hij een enorme hoeveelheid geïnfecteerde bestanden tegen die niet alleen Dorifel in zich hadden maar tevens een aantal exploits. Dat wijst erop dat degenen die besmet zijn geraakt met Dorifel ook meer malware meegekregen hebben bij de infectie. Tot nu toe lijkt alles een relatie te hebben met Zeus/Citadel, maar Jacoby kan dat niet voor 100 procent hard maken. Hij waarschuwt wel voor nieuwe aanvallen.