Es gibt ein neues Virus, genannt XDocCrypt / Dorifel durch die, in diesem Augenblick wütet. Und jetzt scheint es, es ist eine neue Banking-Trojaner herunterzuladen ... Lesen Sie hier.

Ich denke über alle wichtigen Anti-Virus-Produkt-Anbieter neue Definitionen veröffentlicht haben, die diese Malware finden und zerstören können. Microsoft Office-Dokumente infiziert werden entschlüsselt und sicher * noch einmal!

* Abhängig von der Freigabe Definition und Anbieter, nicht alle Anbieter unterstützen die Entschlüsselung. Wenn nicht, prüfen Beitrag unten für eine Entschlüsselung Werkzeug.

Update 11.20 (GMT 1) Wir haben die möglichen Malware hochgeladen und es scheint ein paar Anbieter kann es nun zu erkennen. Die Website heißt die Definitionen kommen, wie wir sprechen. Sie sind wach und wir haben lift-off ...

Update 12.20 (GMT 1) Nach DrWeb das Virus ist "Trojan.MulDrop3.62656" genannt. Näher zu reinigen Systeme ...

Update 13.30 (GMT 1), die McAfee am Telefon, dass sie eine Menge Anrufe über diese Malware bekommen. Sie arbeiten an es jetzt und wahrscheinlich eine aktualisierte DAT-Datei innerhalb der nächsten 2-6 Stunden. Ich hoffe wirklich, dass es schnell tun haben, aber natürlich gibt es keinerlei Garantien!

Update 14.30 Uhr (GMT 1) Laut McAfee gibt es zwei Lage das Virus Orte selbst (also nicht die geänderten .doc und .xls-Dateien). Diese sind:

• C: \ Dokumente und Einstellungen \ xxxxxx \ Anwendungsdaten \ xxxxx \ xxxx.exe
• C: \ Benutzer \ xxxxxx \ AppData \ Roaming \ xxxxx \ xxxxxx.exe

Dieses Tool von McAfee scannt das System und diese Dateien finden kann. . Verwenden Sie es mit Vorsicht, da es Fahnen viele falsch-positive Ergebnisse, weil es sich um eine Zero-Day-Tool ist.

Update 16.45 (GMT 1) Angelo (im Kommentar unten) ergab einen Trick über Windows-Gruppenrichtlinien möglicherweise die Malware-EXE-Dateien zu blockieren, ausgeführt wird.

Zitat: "Es ist möglich, die ausführbare Datei (Virus) Dateien aus, beginnend mit dem Gruppenrichtlinien zu blockieren. Gehen Sie auf Windows-Einstellungen> Sicherheitseinstellungen> Softwarebeschränkungen Richtlinien> Zusätzliche Regeln> Neue Hashregel und navigieren Sie zu einer der ausführbaren Dateien. Dies wird mit mehreren Virus-Dateien getestet. "

Versuchen Sie es in einer isolierten Umgebung (so viel wie möglich sowieso) und ein paar Zeilen weiter unten mit Ihren Anzeigen!

Hinweis! Hermes, in den Kommentaren, stellte fest, dass: "Es scheint, dass die Datei-Hash ist nur das gleiche auf dem lokalen Computer. Auf einem anderen Computer Hash es einen diferent Hash. "

Aktualisieren 18.05 (GMT 1) Ein ausgezeichneter Fund von Frank von Fox-IT:

während die infizierte Client scheint das Virus bereits Teil einer Zitadelle (Zeus-Variante) Botnetz war heruntergeladen wird.

Die Quelle versucht herunterladen hxxp: //184.82.162.163/a.exe (Anmerkung der Redaktion: die x ersetzen)

Sperrung des Zugangs zu dieser IP in Ihrer Firewall infizierte Clients verhindern bereits mit der Citadel Malware infiziert von dem neuen Virus für jetzt herunterladen.

Editor bearbeiten 12.25 (GMT 1): Ein weiterer IP von Fox-IT erkannt wird: 184.22.103.202, blockieren diese als gut!

Sie könnten in der Lage sein zu sehen, was Kunden die bösartige ausführbare Datei von Ihrem Proxy-Logs heruntergeladen haben, werden sie höchstwahrscheinlich mit dem Virus infiziert.

Update 09.10 (GMT 1) Surfright hat ein Tool veröffentlicht, die von der Malware verschlüsselten Dateien entschlüsselt. Klicken Sie auf ihre Website zu gehen. Bitte beachten Sie, dass dieses Tool nicht das Virus / Trojaner selbst nicht entfernen! (Danke von Surfright in den Kommentaren zu markieren.)

Update 21.00 Uhr (GMT 1) Die niederländische Tech-News-Website Tweakers.net, in einem Interview mit einem Sprecher der NCSC, dass es so aussieht, ist ein Angriff mit Verbindungen zur kriminellen Welt.

Aktualisieren 09.15 (GMT 1) Anti-Virus-Produkt-Anbieter, die die Malware in diesem Moment zu erkennen. Diese Liste wird aktualisiert, wenn ich Informationen ihrer aktualisierten Definitionen erhalten.

Liste nun in alphabetischer Reihenfolge für die einfache Suche.

• AhnLab-V3 (Dropper / Win32.Dorifel)
• AntiVir (TR / Rogue.kdv.691754.7)
• Avast (Win32: Trojan-gen)
• AVG (SHeur4.ALGO)
• BitDefender (Trojan.Generic.KDV.691754)
• ByteHero (Trojan-Downloader.Win32.DlfBfkg.ln)
• DrWeb (Trojan.MulDrop3.62566)
• Emsisoft (Trojan Dropper.Win32.Dorifel! IK)
• ESET-NOD32 (Win32 / Delf.NBG)
• Fortinet (W32 / Delf.NBG)
• F-Secure (Trojan.Generic.KDV.691754)
• GData (Trojan.Generic.KDV.691754)
• GFI Vipre (Works für Ausbau und Reinigung, aber umbenennt DOCX und XLSX zu .doc und .xls. Sie sind an diesem Thema arbeiten. Berichtet von Arno Rommens im Kommentar weiter unten.)
• Ikarus (Trojan.SuspectCRC)
• Kaspersky (unten in den Kommentaren von Johan nicht berichtet, arbeiten aber aktualisiert 09-aug-2012 so versuchen Sie es erneut !!) (Trojan-Dropper.Win32.Dorifel.hau)
• McAfee (W32 / XDocCrypt.a) (neue Definition Updates aus, versuchen Sie zu Aktualisierung erfolgt automatisch!) (Ein EXTRA.DAT freigegeben; (Rechtsklick und downloaden), befolgen Sie diese Anweisungen für und!) (Bitte beachten Sie, dass dieser EXTRA.DAT ist noch nicht öffentlich freigegeben!)
• Microsoft (Virus: Win32 / Quervar.B)
• Norman (W32 / BadBreak.A)
• nProtect (Trojan.Generic.KDV.691754)
• PCTools (Trojan.Exprez)
• Sophos (Mal / Behav-104)
• Symantec (Backdoor.Trojan)
• Trend Micro (PE_QUERVAR.B) (Stand: 06.29 PST, sie sauber und Office-Dokumente infiziert.)
• Trend Micro-Housecall (TROJ_GEN.R47H1H8)
• VIPRE (Backdoor.Generic (fs))
• ViRobot (Backdoor.A.Dorifel.173080.A)

Update 11.00 Uhr (GMT 1) Viele Quellen jetzt sagen uns, dass EXE-Dateien als auch infiziert werden. Es wurde bereits berichtet, aber es ist jetzt auch. Neben dieser Nachricht, wird es jetzt deutlicher, dass diese XDocCrypt / Dorifel Malware wurde von einem bereits vorhandenen Banking-Trojaner namens Citadel aus dem Zeus / Zbot Botnet geliefert. Manche sagen sogar das Virus abgesetzt ist, so die Macher über ihre Unsichtbarkeit prahlen können. Ist dies ein neuer Hackerkrieg? Wenn ja, interessante Zeiten bevor ...

Als Randnotiz, hat Fox-IT eine gute technische Informationen Blog über diesen Angriff.

Aktualisieren 00.40 (GMT 1) Es (Dutch) die Malware jetzt eine neue Banking-Trojaner zusätzlich zu dem einen Download, der die Office-Dokumente verschlüsselt. Dieser, genannt Hermes, sagte wird von allen großen Antiviren-Hersteller nicht nachweisbar im Moment zu sein. Diese Malware soll Informationen über das Bankwesen zu sammeln und bekam sogar Code für DDoS-Attacken und Remote Shell-Zugang. Dies scheint noch schlimmer, aber zum Glück ist jeder auf ihren Zehen im Moment.

Update 13.10 (GMT 1) Digitale Untersuchungen (Dutch) stören neue Fakten über diese Malware! Sie haben die Malware zerpflückt und entdeckt, dass das Ziel zu verteilen ist Websites Banking Phishing für die ING Bank, ABN AMRO und der SNS Bank.

Gemäß obigen Entdeckung ist es zwingend notwendig, dass die IP-Adresse 158.255.211.28 und der DNS-Host "bank-auth.org" blockiert werden!

Auch gibt es Gerüchte, dass dieses Virus vorübergehend selbst ist beendet, wenn jemand alle aktiven Prozesse anzuzeigen versucht. Dies ist jedoch nicht verifizierten.

Update 14.05 (GMT 1) IP-Adresse hinzufügen 184.82.107.86 auf der Liste! Digitale Untersuchungen hat schreckliche Daten, wie sie weitergehen. 549 Bankkonten aus der niederländischen Bürger wurden beeinträchtigt und diese Daten mit ihren jeweiligen Banken geteilt. Es scheint, dieser Angriff ist noch lange nicht vorbei, aber die niederländischen digitalen Spezialisten sind alle über sie.

Update 09.30 (GMT 1) Keine wirkliche Aktualisierung im Moment. Kaspersky hat eine Informations über die scamware und die Anzahl der infizierten Computer in verschiedenen Ländern. Die meisten Websites berichten, dass das Virus gestoppt. Da es keine Nachrichten über Hermes oder andere neue Malware ist, die wahrscheinlich verteilt sieht es ein wenig ruhig im Moment. Die Frage ist nun, ist es die Ruhe vor dem Sturm oder die Malware langsam zu sterben?

Update 13.10 (GMT 1) Ich habe gerade herausgefunden McAfee aktualisiert es ist kostenlos Malware-Scanner: Stinger XdocCrypt / Dorifel aufzunehmen! Herunterladen . Dies ist ein sehr einfach zu bedienende Windows-Anwendung, scannt das C-Laufwerk, Speicher, Registry etc. für die ärgerlichsten und gemeinsame Malware. Um es zu nutzen, laden Sie die Anwendung, führen Sie es und klicken Sie auf "Scan Now". Was könnte einfacher sein? Wenn Sie USB-Laufwerke haben empfehle ich Ihnen, diese Laufwerksbuchstaben über die Schaltfläche "Hinzufügen" hinzufügen, wenn eingesteckt.

Update 15.55 (GMT 1) Sie nicht in diesen Tagen niemanden mehr vertrauen kann ... Betrüger fordern Unternehmen und andere Institutionen sagen, dass sie von der Microsoft-Helpdesk anrufen, die mit dem Virus zu helfen. Sie fragen, ob Sie überteuerte Anti-Viren-Software zu kaufen möchte und auch wagen, für Kreditkartendaten fragen. Nun, wenn Sie nicht bereits daran gedacht haben: dies nicht tun.

Ein Unternehmen, die IT-Dienstleistungen an ein anderes Unternehmen bietet, erhalten zunächst ein paar Anrufe von besorgten Nutzern, die nicht mehr ihre Microsoft Office Word und Excel-Dokumente beginnen konnte. Das Unternehmen mit dem Namen verschiedene Antiviren-Hersteller, und sie alle sagten, es gibt eine Menge Anrufe kommen in der ausführlichen, wie unten beschrieben, aber sie haben keine Lösung noch!

Ab 2012.08.08 (8. August 2012) Berichte kommen, dass eine unbekannte Belgien Krankenhaus digital aufgrund dieses Virus dunkel ist weg. (Nicht bestätigten Quelle)

Ab 2012.09.08 (9. August 2012) die niederländische Nachrichten-Website nu.nl berichtet, dass die Städte Borsele, Weert, Venlo und Den Bosch von dem Virus betroffen sind. Dies ist natürlich, schließt alle Unternehmen und anderen staatlichen Organisationen, die öffentlich sie angeben, sind betroffen. Hinzugefügt Opfer sind: Venlo, Tilburg und Almere. Diese Malware scheint schneller zu verbreiten dann aktualisiert Definitionen gegeben ...

(Dutch) News-Seiten berichten sogar viel, viel mehr Opfer dieses Virus. Nun sind die Städte Tilburg, Almere, Nieuwegein & Buren sind infiziert. Auch die Provinz Noord-Holland, Powergrid Manager Westland Infra und sogar dem Nationalen Institut für öffentliche Gesundheit und Umwelt (RIVM) sind betroffen.

Und wie von 2012.10.08 (10. August 2012) die niederländische neue Website schreibt, dass auch die niederländische Regierung OCW (niederländischen Ministerium für Bildung, Kultur und Wissenschaft) getroffen wird. Zum Glück eine Menge von Anti-Viren-Hersteller bereits neue Definitionen haben und sie haben den Ausbruch unter Kontrolle in kürzester Zeit. Sie arbeiten jedoch immer noch auf die infizierten Dateien zu reinigen.

Nach der Überprüfung und die doppelten Dateien überprüft es schien .scr Dateien zu sein. Die Sache ist die Windows-lassen Sie filenamercs.doc Dateien. Wenn durch eine DOS-Box betrachtet seinen Namen wirklich ist Dateiname? Cod.scr. Lange Rede kurzer Sinn, die wirkliche Erweiterung und die gefälschte werden in umgekehrter angezeigt. Dies wird als bekannt. Was dieses Loch tut, ist ein Windows-Standard Unicode mit "rechts-nach-links-Override", die in Arabisch und Hebräisch Texte verwendet wird.

Wir nennen dieses Loch nicht einen Bug, sondern ein Feature.

Diese Malware wird genannt XDocCrypt / Dorifel von den Holländern, National Cyber ​​Security Centrum (NCSC). Klicken Sie auf (Dutch) für ihren Artikel über diese Malware. Klicken Sie für Englisch Informationen über NCSC.

Das Ziel der Malware kann zu erpressen Unternehmen und Städte sein, die verschlüsselt zu veröffentlichen (sprich: entführte) Microsoft Office-Dokumente. Bisher gibt es keine bekannten Beispiele tatsächlichen Erpressung geht.

Es teilt sich Ähnlichkeiten mit bekannten Malware (Trojaner genau zu sein) genannt:

Fast alle großen Antiviren-Hersteller kann diese Malware nun erkennen, und die meisten von ihnen (nicht überprüft) als auch die verschlüsselten Microsoft Office-Dokumente reinigen. Unfortunally eine kleine Anzahl von Computern scheint eine neue Banking-Trojaner Hermes genannt bekommen haben. Und das kann man auch noch nicht erkannt werden ... Was die digitale Welt kommt zu?

Wie immer werden weitere Informationen hinzugefügt werden, wenn ich es bekommen. Siehe den aktualisierten Header!