Power Worm infecteert Word- en Excel-bestanden
Onderzoekers hebben een nieuwe malware-familie ontdekt die zich in Word- en Excel-bestanden verstopt en Tor en Windows Powershell gebruikt voor het uitvoeren van aanvallen op computers. Daarbij gebruikt de malware nieuwe technieken, waardoor systeembeheerders een infectie mogelijk niet opmerken.
Dat stelt het Japanse anti-virusbedrijf Trend Micro. Malware die Word- en Excel-bestanden aanvalt bestaat al geruime tijd, maar de Crigent-malware, ook bekend als Power Worm, gebruikt een aantal nieuwe technieken. De belangrijkste is dat Crigent Windows PowerShell gebruikt in plaats van een uitvoerbaar bestand. PowerShell is een scriptingtool die in alle recente versies van Windows aanwezig is.
De malware voert alle activiteiten via PowerShell uit. Daardoor kunnen systeembeheerders die alleen naar kwaadaardige binaire bestanden kijken deze malware over het hoofd zien, aangezien het gebruik van PowerShell niet zoveel voorkomt, aldus Trend Micro.
Tor
De malware arriveert op computers als Word- of Excel-document en wordt door andere malware geïnstalleerd of door de gebruiker gedownload. Zodra het bestand wordt geopend, downloadt Crigent twee aanvullende programma's, namelijk Tor en Polipo, een webproxy. Deze software wordt gebruikt om verbinding met de Command & Control-server te maken en een PowerShell-script te downloaden.
Dit script stuurt informatie over het systeem terug en infecteert andere Word- en Excel-documenten met de Crigent-code. Om dit te doen wijzigt het script verschillende registerinstellingen, waardoor de beveiligingsinstellingen van Microsoft Office worden verlaagd. Vervolgens wordt er naar DOC-, DOCX-, XLS- en XLSX-bestanden gezocht. Ook worden de waarschuwingen en macro's van het te infecteren bestand uitgeschakeld, om gebruikers niets te laten vermoeden.
Bestaande DOCX- en XLSX-bestanden worden vervolgens naar de DOC- en XLS-formaten geconverteerd, waarna het origineel wordt verwijderd. Aan de bestanden wordt tevens een Visual Basic module toegevoegd die een kwaadaardige macro bevat, waarna het openen van deze DOC- en XLS-bestanden de infectiecyclus laat herhalen.
Dataverlies en detectie
Doordat Crigent bestanden converteert bestaat het risico dat zowel bedrijven als eindgebruikers belangrijke data verliezen, zo waarschuwt de virusbestrijder. Om de Power Worm te detecteren kunnen systeembeheerders naar de aanwezigheid van Polipo en Tor op het netwerk kijken of controleren dat DOCX- en XSLX-bestanden niet zijn omgezet.
Oh ja tuurlijk maar jouw XP pc is wel vatbaar voor veel andere dingen waar 7 en 8 niet vatbaar voor is.
http://nl.wikipedia.org/wiki/Windows_PowerShell
Ook geen PowerShell versie 1.0 ?
http://nl.wikipedia.org/wiki/Windows_PowerShell
Ook geen PowerShell versie 1.0 ?
Nope , het is een uitgeklede xp van ongeveer 100 mb groot (install size) met enkel de zaken die ik nodig heb .
14 sec. boot en de schijf waar xp op staat is tegen schrijven beveiligd .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.