Computervirus "XDocCrypt/Dorifel" wütet in Südlimburg

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34812
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Computervirus "XDocCrypt/Dorifel" wütet in Südlimburg

Beitrag von doelf » 09 Aug 2012, 19:15

In den vergangenen Tagen wurden zahlreiche Städte, Gemeinden und öffentliche Einrichtungen im Süden der Niederlande von einem Trojaner befallen. Der Schädling namens "XDocCrypt/Dorifel" verschlüsselt mit Microsoft Office erstellte Dokumente und verbreitet sich auch über diese.

Zunächst hatte es die Gemeinde Weert erwischt, deren Verwaltung über mehrere Tage offline war. Es folgten die Städte Venlo, Den Bosch sowie Tilburg Almere, Nieuwegein und Borsele. Zudem griff der Trojaner auf Universitäten, Schulen und zuletzt auch auf Unternehmen über. Da der Virenschutz bei den Betroffenen versagte und keine Bedrohung finden konnte, wurde das Nationaal Cyber Security Centrum (NCSC) hinzugezogen. Dieses entdeckte den Schädling "XDocCrypt/Dorifel", der Office-Dokumente verschlüsselt.

Der Virus greift Systeme an, die zu einem früheren Zeitpunkt bereits von "Citadel/Zeus" befallen waren oder noch befallen sind. Nach erfolgreicher Infektion sucht "XDocCrypt/Dorifel" in Netzwerkfreigaben und auf USB-Sticks nach Office-Dokumenten der Formate ".docx" und ".xlsx". Diese werden vom Schädling verschlüsselt und sind für den Benutzer dann nicht mehr lesbar. Zudem hängt der Virus seinen eigenen Programmcode an die Dateien und versieht diese zusätzlich mit der ausführbaren Endung ".scr". Die neuen Dateiendungen lauten somit ".docx.scr" bzw. ".xlsx.scr", doch da Windows in der Standardkonfiguration alle bekannten Dateiendungen ausblendet (die vermutlich dümmste Funktion, die Microsoft je ersonnen hat), werden viele Benutzer versuchen, das vermeintliche Dokument zu öffnen und dabei weitere Computer infizieren.

Seit gestern gibt es Werkzeuge von McAfee und SurfRight, mit denen sich die ursprünglichen Dokumente wiederherstellen lassen. Zudem erkennen mehr und mehr Antivirenprogramme den Schädling und können diesen auch entfernen. Das NCSC rät zudem, die IP-Adressen 184.82.162.163 und 184.22.103.202 sowie die Internetdomänen "windows-update-server.com" und "wesaf341.org" zu blockieren. Hierbei handelt es sich um die Server, welche "XDocCrypt/Dorifel" steuern.

Quelle:
https://www.ncsc.nl/actueel/nieuwsberic ... enten.html

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34812
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Update zum Computervirus "XDocCrypt/Dorifel" in Südlimburg

Beitrag von doelf » 15 Aug 2012, 09:53

In der vergangenen Woche wurden zahlreiche Städte, Gemeinden und öffentliche Einrichtungen im Süden der Niederlande von neuen einem Trojaner befallen. Nun gibt es neue Informationen zu dem Schädling namens "XDocCrypt/Dorifel", der oftmals nicht alleine kam.

Zunächst hatte es die Gemeinde Weert erwischt, deren Verwaltung über mehrere Tage offline war. Es folgten die Städte Venlo, Den Bosch sowie Tilburg Almere, Nieuwegein und Borsele. Zudem griff der Trojaner auf Universitäten, Schulen und zuletzt auch auf Unternehmen und Privatleute über. Da der Virenschutz der Betroffenen versagte, wurde das Nationaal Cyber Security Centrum (NCSC) der Niederlande hinzugezogen.

Das NCSC entdeckte dabei den neuen Schädling "XDocCrypt/Dorifel", der Office-Dokumente verschlüsselt und sich auch über diese verbreitet. Nach erfolgreicher Infektion sucht "XDocCrypt/Dorifel" in Netzwerkfreigaben und auf USB-Sticks nach Office-Dokumenten der Formate ".doc", ".docx", ".xls" und ".xlsx". Diese werden vom Schädling verschlüsselt und sind für den Benutzer dann nicht mehr lesbar. Zudem hängt der Virus seinen eigenen Programmcode an die Dateien und versieht diese zusätzlich mit der ausführbaren Endung ".scr". Die neuen Dateiendungen lauten somit ".doc.scr", ".docx.scr", ".xls.scr" bzw. ".xlsx.scr". Doch da Windows in der Standardkonfiguration alle bekannten Dateiendungen ausblendet (die vermutlich dümmste Funktion, die Microsoft je ersonnen hat), haben zahlreiche Benutzer immer wieder versucht, die vermeintlichen Dokumente zu öffnen und dabei weitere Computer infiziert.

Erst seit dem 8. August 2012 erkennen Antivirenprogramme den neuen Schädling. Von McAfee und SurfRight gibt es zudem Werkzeuge, mit denen sich die ursprünglichen Dokumente wiederherstellen lassen. Das NCSC rät zudem, die IP-Adressen 184.82.162.163, 184.22.103.202, 184.82.107.86, 158.255.211.28, 149.154.154.47, 184.82.107.87, 184.82.116.202 und 184.22.246.252 sowie die Internetdomänen "windows-update-server.com", "wesaf341.org" und "xertgfd.ru" zu blockieren. Hierbei handelt es sich um die Server, welche "XDocCrypt/Dorifel" steuern.

"XDocCrypt/Dorifel" hat in erster Linie Systeme infiziert, die zu einem früheren Zeitpunkt bereits von "Citadel/Zeus" befallen waren oder noch befallen sind. Hierbei handelt es sich um ein Framework für Botnetze, das die unterschiedlichsten Schädlinge nachladen kann und es primär auf Bankdaten abgesehen hat. Auch in Kombination mit dem Trojaner "Sasfis" wurde "XDocCrypt/Dorifel" gesichtet. Andere Systeme waren hingegen "nur" mit "Citadel/Zeus" bzw. "Sasfis" infiziert. Dies hat zu einer recht wirren Berichterstattung in den Medien geführt, bei der die einzelnen Schädlinge miteinander vermischt wurden. Deshalb wollen wir hier nochmals klarstellen:
  • Bei "XDocCrypt/Dorifel" handelt es sich nicht um einen anderen Namen oder eine neue Variante von "Sasfis".
    "XDocCrypt/Dorifel" stiehlt keine Bankdaten, sondern verschlüsselt lediglich Office-Dokumente.
    Es ist nicht unwahrscheinlich, dass bei einem "XDocCrypt/Dorifel"-Befund auch weitere Infektionen vorliegen.
Quelle:
https://www.ncsc.nl/actueel/nieuwsberic ... enten.html

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8673
Registriert: 17 Feb 2004, 07:12

Re: Computervirus "XDocCrypt/Dorifel" wütet in Südlimburg

Beitrag von The Grinch » 15 Aug 2012, 10:56

Und warum ausgerechnet nur "diese Region"?
Neue Form des Terrorismus?

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34812
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Computervirus "XDocCrypt/Dorifel" wütet in Südlimburg

Beitrag von doelf » 15 Aug 2012, 12:22

Gute Frage! In den vergangenen Wochen hatten Unbekannte bereits versucht, niederländische Firmen mit USB-Sticks zu infizieren, die auf den Firmenparkplätzen ausgelegt waren. Eventuell gab es hier aber auch nur eine Vorinfektion, die als Einfallstor diente. Die problematischen Office-Dokumente haben sich dann schnell verbreitet, insbesondere da kein Virenschutz angeschlagen hat.

Antworten