Worm Cridex verspreidt zich nu zelf

Geïnfecteerde pc’s die deel uitmaken van een botnet, downloaden een tweede stuk malware dat contact maakt met de command & control-servers van het botnet. Dit stukje malware is een worm die de gegevens heeft van 50.000 gestolen SMTP e-mailaccounts. Hiermee verstuurt de worm zelf berichten uit vanaf legitieme accounts. Deze e-mails lijken afkomstig van Duitse financiële instellingen en bevatten links waarmee zip-file gedownload kan worden met daarin de oorspronkelijke Cridex-malware. Ook van de e-mailaccounts is bijna de helft Duits.
Als het bestand in de mail wordt geopend, wordt Cridex onmiddellijk geïnstalleerd op het endpoint, dat daarmee aan het botnet wordt toegevoegd.

Cridex – ook wel bekend onder namen Geodo, Feodo en Bugat - bestaat al zeker 2 jaar, in diverse steeds geavanceerdere vormen. De malware is er vooral op gericht data te stelen.