Microsoft ruimt Trojan van Nederlandse pc's
Nederland telt na de VS de meeste besmettingen, in absolute aantallen, van de Dofoil-Trojan. Die malwarefamilie wordt sinds deze maand gedetecteerd en geruimd door Windows Update.
Dofoil is één van de drie notoire Trojans die Microsoft heeft opgenomen in zijn Malicious Software Removal Tool die elke maand meekomt bij updates voor Windows. Sommige varianten van Dofoil gaan al sinds juli rond, maar de laatste tijd is er een flinke opleving aan activiteit.
Helft van infecties VS
Nederland blijkt daarbij flink te zijn besmet. Microsoft heeft voor deze maand wereldwijd 13.488 Dofoil-infecties gedetecteerd. Het meest geïnfecteerd is de Verenigde Staten met 4376 gevallen. Daarna volgt Nederland met 2294 infecties. Dit ondanks het feit dat de malware zich nog niet specifiek richt op Nederlandse slachtoffers.
Gebruikers in Duitsland, Frankrijk, Italië en Australië krijgen al wel Dofoil-valstrikken voorgeschoteld die op maat zijn gemaakt voor die landen. Die aanpak betreft dan naast de taal ook het naamsgebruik van instanties in die landen. Zoals een mail die afkomstig lijkt van het Duitse postkantoor, over een niet-bezorgd pakket.
Zip-bestand op gehackte sites
De slachtoffers krijgen in de lokmails een link aangereikt naar een zip-bestand dat op gehackte webservers is geplaatst. In dat bestand schuilt dan de Trojan, in plaats van de voorgehouden documenten voor een nieuw wachtwoord, belastingteruggave, pakketbezorging, rekeningoverzicht of ander lokaas.
Mails waarin die Trojan wordt aangeboden, zijn ook al door Webwereld waargenomen. Reguliere spamfilters en antiphishingtools slaan vooralsnog niet aan op de mails zelf. Veel van de daarin gelinkte zipbestanden zijn alweer verwijderd van de her en der gehackte sites, waaronder ook WordPress-blogs.
Trojan voor 200 dollar
Spamruns zijn overigens niet de enige manier waarop deze Trojan wordt verspreid. Ook nep-antivirus wordt ingezet om de malware binnen te krijgen. De huidige generatie van deze Trojan is gewoon te koop op zwarte markten online, meldt Microsoft. De malware zelf kost 150 tot 250 dollar, plug-ins kosten 25 tot 150 dollar.
Dofoil kan door kwaadwillenden zelf zo worden geconfigureerd dat het via een eigen versleutelde verbinding commando's kan ontvangen. Daarmee kan ook aanvullende malware worden gedownload en uitgevoerd op de Windows-pc's van slachtoffers.
Windows XP, 7
Bijna de helft (47 procent) van de infecties zijn door Microsoft gedetecteerd op machines met Windows XP. Bijna eenderde (29 procent) is aangetroffen op Windows 7. Na Nederland als op één na meest besmette land volgen Groot-Brittanië (1543 infecties), Italië (1097), Spanje (476), Duitsland (445) en Australië (410).
Bron: Webwereld