Nieuws
image

1 april, Storm worm in je bil *Update*

dinsdag 1 april 2008, 10:39 door Redactie, 5 reacties

De auteurs van de beruchte Storm worm laten geen gelegenheid voorbij gaan om nietsvermoedende internetgebruikers met malware te infecteren. Na Valentijnsdag, nieuwjaar, kerst en doorsnee wenskaarten, wordt nu 1 april als springplank voor een malware infectie ingezet. De e-mails hebben als onderwerp "April Fool's Day" en "Doh All's Fool" en wijzen naar een IP-adres waar een .exe bestand wordt gedownload.

Volgens het Finse F-Secure bevat de pagina nog geen exploitcode, maar kan dit elk moment veranderen. Beveiligingsaanbieder Marshal laat weten dat het Storm Botnet het enige Botnet op dit moment is dat 1 april-gerelateerde spam verstuurt.

Updat 12:42

Arbor netwerks heeft de nieuwste Storm worm variant onder de loep gelegd. Die installeert in de Windows directory de bestanden aromis.config en aromis.exe en luistert naar een willekeurige UDP-poort. PrevX wist de onderstaande onderwerpen die de "worm" gebruikt te verzamelen.

  • All Fools' Day
  • Doh! All's Fool.
  • Doh! April's Fool.
  • Gotcha!
  • Gotcha! All Fool!
  • Happy All Fools Day!
  • Happy All Fools!
  • Happy April Fools Day
  • Happy April Fool's Day
  • Happy April Fools!
  • I am a Fool for your Love
  • Join the Laugh-A-Lot!
  • One who is sportively imposed upon by others on the first day of April
  • Surprise!
  • Surprise! The joke's on you.
  • Today You Can Officially Act Foolish
  • Today's Joke!
  • Wise Men Have Learned More from Fools...
Reacties (5)
01-04-2008, 11:54 door Anoniem
Het Nederlandse SurfRight heeft een korte analyse gedaan en online gezet.
Voor de tech-heads hier: http://www.surfright.nl/nl/news?id=48

Overigens, alleen NOD32 vangt sinds vanochtend soms een variant.
Opmerkelijk is dat F-Secure (genoemd in het nieuwsitem hier) deze worm nog
niet herkent.
01-04-2008, 12:58 door ctrlaltdelete
Ctrlaltdelete had ook een korte analyse gedaan :-)

F-Secure detecteert sinds vanochtend wél de variant die ik had getest.

[url=http://www.virustotal.com/analisis/5b7de87cc287773ac827ea07714f9d46]virustotal rapport[/url]


Technische info: http://research.sunbelt-software.com/ViewMalware.aspx?id=3756271


Je kunt aan de hand van slechts een paar varianten van deze malware
niet zeggen welke AV nu de beste bescherming zal bieden tegen alle
varianten die er nu al zijn en nog zullen komen.

Natuurlijk zijn er wel een paar merken die algemeen beter scoren.
01-04-2008, 15:23 door Anoniem
Door ctrlaltdelete
Ctrlaltdelete had ook een korte analyse gedaan :-)
Je kunt aan de hand van slechts een paar varianten van deze
malware niet zeggen welke AV nu de beste bescherming zal
bieden tegen alle varianten die er nu al zijn en nog zullen
komen.

Natuurlijk zijn er wel een paar merken die algemeen beter
scoren.

Ikku heb ook een analiesdinges gedaan; heel simpel aan de
hand van dit artikel en de reacties; ze beschermen je dus
niet, op zijn hoogst achteraf... ;)
Des te eerder dit de gebruikers duidelijk is, des te sneller
zullen virussen tot het verleden behoren..... (doordenkertje)
01-04-2008, 15:32 door Anoniem
Hmmm....

> Beveiligingsaanbieder Marshal laat weten dat het Storm
Botnet het enige Botnet op dit moment is dat 1
april-gerelateerde spam verstuurt.

Echt?

http://www.offensivecomputing.net - om het erger te maken, dit is
een malware toko!

-Anon
02-04-2008, 01:18 door Anoniem
Door Anoniem
Hmmm....

> Beveiligingsaanbieder Marshal laat weten dat het Storm
Botnet het enige Botnet op dit moment is dat 1
april-gerelateerde spam verstuurt.

Echt?

http://www.offensivecomputing.net - om het erger te maken, dit is
een malware toko!

-Anon

Ja, echt. http://www.offensivecomputing.net is een slechte grap. Met malware moet
je geen grappen uithalen. Gebruikers gaan al snel hun harde schijf
formateren als ze denken dat ze besmet zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search