Oranje infiziert

Verschlüsselungswurm Dorifel geht um

Montag, 13.08.2012 | 16:46 von Frank Ziemann
Verschlüsselungswurm
Vergrößern Verschlüsselungswurm
Ein Wurm, der Dateien verschlüsselt, hat sich vor allem in den Niederlanden rasch ausgebreitet, schwappt jedoch auch nach Deutschland herüber. Betroffen scheinen vor allem Unternehmen und Behörden zu sein, auch Krankenhäuser.
Der russische Antivirushersteller Kaspersky Lab hat Ende letzter Woche einen Schädling namens Dorifel entdeckt, der bis dahin weltweit etwa 3000 Rechner befallen hat. Dabei entfallen 90 Prozent der bekannten Infektionen auf Unternehmen und staatliche Einrichtungen in den Niederlanden. Weitere Infektionen sind in Deutschland (129), Dänemark (112), den Philippinen (48) und in den USA (33) festzustellen.

Ausgangspunkt der Infektionen sind offenbar Mails mit schädlichen Anhängen. Dabei nutzt Dorifel einen Schwachpunkt in Windows aus, der es ihm ermöglicht die Dateiendung durch eine Rechts-nach-Links-Schreibung zu verbergen. Wird der Wurm ausgeführt, lädt er weitere Malware aus dem Internet nach, die Dokumente auf den infizierten Rechner und auf erreichbaren Netzwerkfreigaben verschlüsselt.

Auf dem mangelhaft konfigurierten Server, der die Schadprogramme vorhält, findet sich ein bunter Strauß anderer Malware, bei dem bislang unklar ist, ob und inwieweit er mit Dorifel zusammenhängt, sowie weitere Dateien. Darunter sind Log-Dateien, die ausspionierte Bankdaten und Kreditkartennummern enthalten, Exploit-Code für Java-Schwachstellen , betrügerische Antivirusprogramme (Scareware) und Infektionsstatistiken der Dorifel-Malware.

Wie das alles zusammenhängen mag, ist noch Gegenstand andauernder Analysen. Es ist auch noch nicht klar, ob es sich um einen gezielten Angriff auf Unternehmen und Behörden in den Niederlanden handelt. David Jacoby empfiehlt im Kaspersky-Blog den Datenverkehr mit den IP-Adressen 184.82.162.163 und 184.22.103.202 zu blockieren. Wird derartiger Datenverkehr festgestellt, ist dies ein Indiz für eine Infektion mit Dorifel. Kaspersky Lab bietet mit dem Kaspersky Virus Removal Tool ein Gratisprogramm an, das diesen Schädling (und weitere) entfernen kann.

Montag, 13.08.2012 | 16:46 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (13)
  • chipchap 20:15 | 17.08.2012

    Zitat: Hascheff
    Für mich ist das LOOOOOL .
    Für mich auch: lol.

    Antwort schreiben
  • Hascheff 22:35 | 16.08.2012

    Zitat: chipchap
    [SIZE=3]1000001[/SIZE] (2) ?
    Für mich ist das LOOOOOL Und A ist erst mal ein Zeichen. Ob man es als Buchstabe oder Ziffer versteht, hängt vom Einsatzzweck ab.

    Antwort schreiben
  • chipchap 20:20 | 15.08.2012

    Zitat: Watschelhuber
    Danke für deinen Klugsch........, aber ein "A" ist und bleibt ein Buchstabe.
    Und was drückt man damit aus: [SIZE=3]1000001[/SIZE] (2) ?

    Antwort schreiben
  • Watschelhuber 17:55 | 15.08.2012

    Zitat: brzl
    NIX BAEH!!!!![COLOR="Magenta"]Die "Buchstaben" sind nämlich auch Ziffern. [/COLOR]
    Danke für deinen Klugsch........, aber ein "A" ist und bleibt ein Buchstabe. Was man mit ihm ausdrücken will, steht auf einem anderen Blatt. Und darum gings weiter oben.

    Antwort schreiben
  • kazhar 11:13 | 15.08.2012

    bei mir gehts automatisch

    Antwort schreiben
1550014