13.08.2012, 16:46

Frank Ziemann

Oranje infiziert

Verschlüsselungswurm Dorifel geht um

Verschlüsselungswurm

Ein Wurm, der Dateien verschlüsselt, hat sich vor allem in den Niederlanden rasch ausgebreitet, schwappt jedoch auch nach Deutschland herüber. Betroffen scheinen vor allem Unternehmen und Behörden zu sein, auch Krankenhäuser.

Der russische Antivirushersteller Kaspersky Lab hat Ende letzter Woche einen Schädling namens Dorifel entdeckt, der bis dahin weltweit etwa 3000 Rechner befallen hat. Dabei entfallen 90 Prozent der bekannten Infektionen auf Unternehmen und staatliche Einrichtungen in den Niederlanden. Weitere Infektionen sind in Deutschland (129), Dänemark (112), den Philippinen (48) und in den USA (33) festzustellen.

Ausgangspunkt der Infektionen sind offenbar Mails mit schädlichen Anhängen. Dabei nutzt Dorifel einen Schwachpunkt in Windows aus, der es ihm ermöglicht die Dateiendung durch eine Rechts-nach-Links-Schreibung zu verbergen. Wird der Wurm ausgeführt, lädt er weitere Malware aus dem Internet nach, die Dokumente auf den infizierten Rechner und auf erreichbaren Netzwerkfreigaben verschlüsselt.

Auf dem mangelhaft konfigurierten Server, der die Schadprogramme vorhält, findet sich ein bunter Strauß anderer Malware, bei dem bislang unklar ist, ob und inwieweit er mit Dorifel zusammenhängt, sowie weitere Dateien. Darunter sind Log-Dateien, die ausspionierte Bankdaten und Kreditkartennummern enthalten, Exploit-Code für Java-Schwachstellen, betrügerische Antivirusprogramme (Scareware) und Infektionsstatistiken der Dorifel-Malware.

Wie das alles zusammenhängen mag, ist noch Gegenstand andauernder Analysen. Es ist auch noch nicht klar, ob es sich um einen gezielten Angriff auf Unternehmen und Behörden in den Niederlanden handelt. David Jacoby empfiehlt im Kaspersky-Blog den Datenverkehr mit den IP-Adressen 184.82.162.163 und 184.22.103.202 zu blockieren. Wird derartiger Datenverkehr festgestellt, ist dies ein Indiz für eine Infektion mit Dorifel. Kaspersky Lab bietet mit dem Kaspersky Virus Removal Tool ein Gratisprogramm an, das diesen Schädling (und weitere) entfernen kann.

Kommentare zu diesem Artikel (13)

Navigatiko
15.08.12

Wie blockiert man eine IP die aus Ziffern besteht?
Als 0815-PC-Nutzer hat man doch keinerlei Ahnung, wie man so eine Netzadresse blockieren könnte. Insofern gehen solche Tipps ohne Anleitung ins Leere!!
Nav.
Antwort schreiben
Falcon37
15.08.12

[B]Wie blockiert man eine IP die aus Ziffern besteht?[/B]

Gibt es auch welche die nicht aus Ziffern bestehen?
Antwort schreiben
deoroller
15.08.12

Windows Firewall Control kann man bei Windows 7 benutzen.
http://www.hardwareluxx.de/community/f230/windows-7-firewall-nur-bestimmte-ips-erlauben-blocken-655326.html
Antwort schreiben
Watschelhuber
15.08.12

Zitat: Falcon37
Gibt es auch welche die nicht aus Ziffern bestehen?

Ja, IPv6! Da sind auch Buchstaben mit drin.
Antwort schreiben
Falcon37
15.08.12

Zitat: Watschelhuber
Ja, IPv6! Da sind auch Buchstaben mit drin.

Ich wußte doch, dass das kommt.
Du hast die bestimmt auch schon im Einsatz. ;)
Antwort schreiben
Watschelhuber
15.08.12

Zitat: Falcon37
Ich wußte doch, dass das kommt.
Du hast die bestimmt auch schon im Einsatz. ;)

Glaub schon, ging automatisch.
Antwort schreiben
brzl
15.08.12

Zitat: Watschelhuber
Ja, IPv6! Da sind auch Buchstaben mit drin.

NIX BAEH!!!!!

[COLOR="Magenta"]Die "Buchstaben" sind nämlich auch Ziffern. ;)
[/COLOR]
Ein und die selbe Zahl kann man in verschiedenen Zahlsystemen notieren. Weil die meisten von uns zehn Finger haben, ist das Dezimalsystem so verbreitet. es benötigt die zehn Ziffern 0..9 (JA, das [B]sind[/B] zehn Ziffern, wenn du es nicht glaubst, zähl nach. ;)

Weit verbreitet ist in der Computerei das Binärsystem mit den beiden Ziffern 0 und 1, die sich in digitalen Schaltungen leicht darstellen lassen. Mit unseren 10 Fingern können wir übrigens binär auf 1023 zählen und wenn wir die Füsse zu Hilfe nehmen, dann lässt sich nach genügend Übung der Bereich bis 1 048 575 überstreichen :D

Die Binärzahlen werden sehr schnell sehr lang und damit sehr unübersichtlich. Ein guter Kompromiss sind deshalb die Hexadezimalzahlen, bei denen man die 16 als Basis wählt. Dieses System ist für Computer sehr gut lesbar, weil man einfach Pakete von 16 Binärziffern zusammenfasst und für Menschen ist es nach etwas Gewöhnung auch recht gut lesbar. Dieses System benötigt 16 verschiedene Ziffern. Statt irgendwelche neuen Schnörkel zu erfinden haben die pfiffigen Ingenieure von IBM in den 50ern des letzten Jahrhunderts als Symbole für die 'fehlenden' Ziffern einfach die Buchstabensymbole A..F genommen. Näheres findest du bei http://de.wikipedia.org/wiki/Hexadezimalsystem
Antwort schreiben
Falcon37
15.08.12

Zitat: Watschelhuber
Glaub schon, ging automatisch.

lol, der war gut.
Antwort schreiben
kazhar
15.08.12

bei mir gehts automatisch ;)
Antwort schreiben
Watschelhuber
15.08.12

Zitat: brzl
NIX BAEH!!!!![COLOR="Magenta"]Die "Buchstaben" sind nämlich auch Ziffern. ;)[/COLOR]

Danke für deinen Klugsch........, aber ein "A" ist und bleibt ein Buchstabe. Was man mit ihm ausdrücken will, steht auf einem anderen Blatt. Und darum gings weiter oben.
Antwort schreiben
chipchap
15.08.12

Zitat: Watschelhuber
Danke für deinen Klugsch........, aber ein "A" ist und bleibt ein Buchstabe.

Und was drückt man damit aus: [SIZE=3]1000001[/SIZE] (2) ?
Antwort schreiben
Hascheff
16.08.12

Zitat: chipchap
[SIZE=3]1000001[/SIZE] (2) ?

Für mich ist das LOOOOOL

Und A ist erst mal ein Zeichen. Ob man es als Buchstabe oder Ziffer versteht, hängt vom Einsatzzweck ab.
Antwort schreiben
chipchap
17.08.12

Zitat: Hascheff
Für mich ist das LOOOOOL
.
Für mich auch: lol. ;)
Antwort schreiben