Nationaal Cyber Security Centrum onderzoekt Trojaans computervirus

'Wij onderzoeken de meldingen en brengen de omvang in kaart', meldt het Nationaal Cyber Security Centrum (NCSC) donderdag.

Samen met andere onderzoekspartijen wordt de werking van het virus bekeken. Daarnaast worden te nemen maatregelen geïnventariseerd. Het NCSC heeft hierover op woensdag 8 augustus al een eerste waarschuwing uitgestuurd.

Bij het Nationaal Cyber Security Centrum zijn tot nu meer dan tien organisaties bekend die door het virus zijn getroffen.

Karakteristieken van het virus
Het computervirus verspreidt zich via systemen die al in een eerder stadium geïnfecteerd zijn met het Citadel/Zeus virus. Dit is een virus dat bekend staat als een banking trojan, en is gemaakt om bank- en inloggegevens te stelen.

Het virus beschadigt Officebestanden met de extensies .docx of .xlsx. Hierdoor zijn de bestanden niet meer leesbaar. De inhoud van de originele bestanden wordt door het virus versleuteld, maar niet vernietigd.

Wanneer gebruikers het bestand openen, kan het virus zich mogelijk verder verspreiden. Dat gebeurt via gekoppelde netwerkschijven. De infectie wordt actief na een herstart van het systeem en gaat op zoek naar Office bestanden op netwerkshares.

Wat kan er aan gedaan worden?
Sinds afgelopen nacht is het mogelijk om beschadigde documenten te herstellen. Hiervoor zijn tools beschikbaar bij onder andere McAfee en SurfRight. Meer informatie over deze oplossingen en de actuele stand van zaken is terug te vinden op Waarschuwingsdienst.nl:http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Softwarelek...

Een andere oplossing is het terugzetten van back-ups en kopieën. In dat geval moeten geïnfecteerde bestanden worden verwijderd, het getroffen systeem worden geschoond en de kopieën worden teruggezet.

Daarnaast bevelen wij aan om een aantal aanvullende maatregelen toe te passen om te beschermen tegen het virus:

- Beperk het openen van executables vanaf netwerkshares tot een minimum. Dit kan geïmplementeerd worden via een Windows Group Policy of met behulp van specifieke beheertools.

- Maak netwerkshares tijdelijk read-only of blokkeer tijdelijk de toegang tot netwerkshares. Bestanden kunnen namelijk opnieuw geïnfecteerd raken zolang er nog geïnfecteerde systemen aanwezig zijn op het netwerk.

- Blokkeer toegang op proxy’s, firewalls en routers tot het IP-adres waarvan de malware wordt gedownload: 184.82.162.163 en monitor actief op dit adres.

- Maak gebruik van logging om de originele Zeus infectie te achterhalen.