Dorifelvirus lastiger uit te schakelen dan gedacht
AMSTERDAM - Het Dorifelvirus dat overheden en bedrijven teistert blijkt in staat te zijn een nieuwe controleserver te benaderen op het moment dat de oude niet meer beschikbaar zijn.
Foto: Thinkstock
Dat blijkt uit een technische analyse van Webwereld naar de werking van het virus. In de code van het virus is een aantal elementen verborgen om zo het aanpakken ervan na ontdekking lastiger te maken.
Commando server
Het virus kan contact op nemen met een ‘command en control’-server, een soort moederschip. Van daaruit krijgt het Dorifelvirus nieuwe versies of opdrachten. Het werd duidelijk dat er twee servers actief waren op de IP-adressen 184.82.162.163 en 184.22.103.202. Deze staan in de Ukraïne.
Er blijkt ook een derde IP-adres in Oostenrijk te bestaan, 158.255.211.28. Dit adres wordt ook gebruikt om op Nederland gerichtte Phishing-aanvallen uit te voeren.
Filteren van de internetadressen blijken slechts een gedeeltelijke oplossing. Het virus is slim genoeg om zichzelf te kunnen aanpassen om een nieuw IP-adres als Command-en-Control-server te zien.
Gamersforum
Om dat te regelen wordt gebruik gemaakt van het gamersforum 4Games.com waar een speler 'Breaking Bad' is aangemaakt. Deze persoon doet verder niets, maar in zijn profielfoto zit een versleutelde code die het virus vertelt waar het moederschip te vinden is.
Wie dus het virus vleugellam wil maken zal alle IP-adressen moeten blokkeren en het gamersaccount moeten verwijderden. Veel internetrouters bieden de mogelijkheid om IP-adressen te blokkeren.
Het zou helpen als de problemen centraal te regelen zijn. Als autoriteiten het willen en mogen, is het mogelijk al het verkeer om te leiden naar een computer die mensen informeert, of het virus onschadelijk probeert te maken.
Inmiddels is na publicatie van dit artikel ingegrepen, waardoor het updaten van het virus via de afbeelding op 4Games.com niet meer mogelijk is.
Zwakke versleuteling
In het onderzoek blijkt verder dat de versleuteling die gebruikt wordt niet heel sterk is, maar vooral gericht is op het tegengaan van het ontdekken van dit virus. Exact dezelfde encryptie met precies dezelfde sleutel wordt gebruikt voor het aanpassen van de Microsoft Word- en Excel-bestanden.
Dat betekent waarschijnlijk dat de versleuteling zich vooral richt op het tegengaan van ontdekking en niet op het blijvend ontoegankelijk maken van bestanden. Tijdens de test is gebleken dat door fouten in het virus het wel mogelijk is dat bestanden beschadigd raken.
Sterke versleuteling
Voor het communiceren met de Command en Control-server wordt gebruik gemaakt van hoogwaardige versleuteling, waardoor niet zomaar zichtbaar is welke stappen het systeem neemt tijdens het updaten van het virus.
Dat er plannen zijn om het virus zichzelf te laten updaten blijkt vervolgens dat er verwijzingen zijn in de code om nieuwe stukjes programmatuur te activeren.
Ook blijkt het virus te zijn voorbereid om zichzelf te verbergen voor de gebruiker als deze kijkt naar wat er allemaal op zijn machine actief is. Dat gebeurt vaak als iemand merkt dat zijn computer traag is.
Zodra Windows een overzicht van draaiende processen probeert te bekijken, schakelt het virus zichzelf tijdelijk uit. Zo is er niets zichtbaar in de zogenaamde Task Manager.
Films
De maker heeft ook de nodige 'grapjes' in het virus verstopt. Zo maakt hij een verwijzing naar ‘Say Hello To My Little Friend’, een populaire scene uit de film Scarface. Daarnaast blijkt het programma de naam ‘cassius_cley.dpr’ te hebben. Dat is een verwijzing (met typefout) naar Cassius Clay, de echte naam van de populaire boxer Mohammad Ali.
Veel van het virus blijkt voor experts goed leesbare programmacode te zijn en dat is opmerkelijk. Veel virussen proberen de hele werking te verbergen, maar de ontwikkelaar heeft zich die moeite niet getroost. Alleen de code die te maken heeft met communicatie en het versleutelen van Microsoft Word- en Excel-bestanden is lastiger te interpreteren.
Duidelijk is wel dat het virus naast het aanpassen van de Microsoft Office-bestanden verder niet veel doet. Er zijn voorbereidingen getroffen om het virus op een later moment via het moederschip uit te breiden. Wel betekent een infectie dat in theorie alle bestanden op een computer en het netwerk toegankelijk zijn voor de maker van het virus.
Dorifel
Het Dorifelvirus teistert de hele week diverse landen, waarbij er opvallend veel infecties zijn in Nederland. Gemeenten, andere overheden, universiteiten en bedrijven blijken te zijn besmet.
Ontdekking is lastig, omdat het virus na een herstart van de computer pas actief wordt. Hierdoor kunnen organisaties die schoon lijken te zijn op een later moment alsnog getroffen blijken te zijn.
Uit een onderzoek van beveiligingsbedrijf Digital Investigation blijkt dat het niet verwonderlijk is dat Nederland meer dan gemiddeld is getroffen. Op een van de servers zijn namelijk websites gevonden die zich richten op het stelen van Nederlandse bankgegevens. Daarmee is de aanval vermoedelijk op het benadelen van Nederlanders gericht.
Webwereld heeft ondersteuning gehad van Fox IT, beveiligingsexpert Jordy de Jong, Surfright en Fabian Wosar, CTO van Emsisoft. Wosar heeft een gratis tool gemaakt om de gevolgen van het virus zoveel mogelijk ongedaan te maken.
Door: NU.nl/Brenno de Winter
Startpagina