Sasfis-virus kaapt vooral nieuwe bestanden
De bestanden worden vervangen door kwaadaardige code, terwijl het icoontje hetzelfde blijft, waardoor de kans bestaat dat een gebruiker nietsvermoedend de code start als hij of zij een bestand wil openen. Volgens het Nationaal Cyber Security Centrum lijkt het niet mogelijk om de geïnfecteerde bestanden op te schonen. "De enige oplossing is het terugzetten van back-ups. Verwijder in dat geval de geïnfecteerde bestanden, schoon de pc volledig en zet vervolgens back-ups van de documenten terug.
Shutterstock
Shutterstock
", aldus het NCSC op zijn website.
Waarschuwing
Gebruikers zullen ook verdere maatregelen moeten nemen op hun systemen, waarvoor waarschijnlijk de hulp van deskundigen moet worden ingeroepen. De handelingen die nodig zijn, kunnen vaak niet door de gebruiker zelf worden verricht, vanwege gebrek aan kennis. Het NCSC raadt dan ook het volgende aan: "Zorg ervoor dat bestanden met een .scr-extensie niet kunnen worden uitgevoerd, om de werking van het virus te verhinderen. Dit kan binnen organisaties door systeembeheer, bijvoorbeeld via een Windows group policy of met specifieke beheertools (deze verschillen per organisatie). Of handmatig door het aanpassen van de registry (alleen door ervaren gebruikers)."
Extra hulp
Voor meer informatie verwijst het NCSC naar de Waarschuwingsdienst van de overheid. Deze instantie is nog bezig met onderzoek naar de precieze aard van het virus cq het Trojaanse paard en komt met een aantal algemene aanbevelingen:
- Voer de veiligheidscheck van de banken uit als je gebruik maakt van internetbankieren
- Zorg ervoor dat je virusscanner voorzien is van de laatste updates om de kans zo groot mogelijk te maken dat je virusscanner besmettingen herkent
- Gebruik beslist een firewall en de laatste updates van software.
Later zullen meer specifieke tips worden gepubliceerd. In de tussentijd kan meer informatie worden gekregen bij de makers van anti-virussoftware.
Praktische analyse
Op de blog van virusbestrijder Fox-It staat een voorlopige analyse van het virus. Daaruit blijkt dat het een in Delphi geschreven applicatie is, die de inhoud van een Office-document versleutelt en daar een stuk eigen code voor plaatst. Bij het openen van het document wordt die uitvoerbare code gestart. Die code zal proberen om contact te leggen met de buitenwereld en volgens Fox-It gaat het dan vooral om communicatie met de volgende IPO-adressen:
- 184.82.162.163
- 184.22.103.202
Die vormen dus een indicator voor ongewenste activiteiten op een pc. Verkeer naar die adressen kan wijzen op de aanwezigheid van het Trojaanse paard.
Patrick Dalvinck, regional director Benelux van Trend Micro: "De besmetting met deze Trojan is opnieuw een variant van Sasfis. Deze is niet altijd eenvoudig op te sporen met alleen ‘klassieke’ anti-virus scans. Doordat de infectie op verschillende manieren kan worden opgelopen, zowel door het het openen van spam-berichten als door het bezoeken van geïnfecteerde pagina's, voldoen klassieke anti-malware oplossingen in deze gevallen namelijk vaak niet."
Bijkomend nadeel is dat een dergelijke Trojan vaak ook andere Trojans en Fake AV (valse anti-virus pakketten) installeert, waardoor de infectie hardnekkig is en het moeilijk is om hier definitief mee af te rekenen. Het is in deze dan ook van groot belang om gebruik te maken van een anti-virus oplossing die real-time infecties kunnen isoleren en blokkeren als het als spam binnenkomt of als een gebruiker een geïnfecteerde website bezoekt, aldus Dalvinck.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee