A Dridex a Cridex (előző verziók: Feodo, Bugat) új variánsa, amely egy banki adatok ellopására fejlesztett trójai. Egy féreg útján terjed automatikusan, ezzel botnetek szolgálatába állítja a fertőzött Microsoft Windows alapú rendszereket.
A Geodo-tól örökölt módszerek alapján további malware-eket tölthet le, illetve az eddig ellopott adatokkal, – banki szervezetnek álcázva magát -, terjesztheti tovább a fertőző email-eket. Az érintett rendszerek nagy része (kb. fele) Németországban, Ausztriában, Svájcban található.
Működése
Az elődjével megegyező botnetes hálózatot használja (fertőzött webszerverek, 8080-as vagy 7779-es TCP port, domain nevek nélkül), de a kód és az URL szerkezete teljesen új.
Elemzések alapján, a fertőzés lépései a következők:
- További kártékony összetevőket tölt le.
- Ezek kommunikációba lépnek a vezérlő (C&C) szerverrel.
- Linkekkel ellátott emailek küldésébe kezdenek, amelyek tömörített fertőzött fájlokra mutatnak.
További vizsgálatok során kiderült, hogy a második kártékony összetevő egy féreg, ami megközelítőleg 50 ezer lopott STMP fiók adatait tartalmazza, beleértve a szerverekhez való csatlakozási paramétereket is. A bot ezek után – az adatokat felhasználva – főleg német fiókokat támad meg, hivatalos emaileknek álcázva magát.
A C&C szerver ellátja a malware-t egy 20 email címből álló listával, azon kívül a kiküldendő email elemeit is meghatározza, mint például: küldő email címe, tárgy, szövegtörzs, amelyek kizárólag az adott 20-as lista elemeire vonatkoznak és minden listával cserélődnek.
Arról nincs pontos információ, hogy ez az 50 ezres lopott címlista honnan származik, de feltehetőleg a Cridex áll ennek a hátterében.
A legújabb verzióját Dridex-nek hívják, ez egy Microsoft word makro vírus.
Eltávolítás
Az alábbi programok segítségül szolgálhatnak a fertőzés eltávolítására:
F-Secure
https://www.f-secure.com/en/web/home_global/online-scanner
McAfee
https://www.mcafee.com/uk/downloads/free-tools/stinger.aspx
Microsoft
https://www.microsoft.com/security/scanner/en-us/default.aspx
Sophos
https://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx
Trend Micro
http://housecall.trendmicro.com/
Megelőzés
Többrétegű védelem felépítése és ezek karbantartása
- Aktív Network Threat Protection (NTP)
- Intrusion Prevention System (IPS)
- Tűzfal
- Antivírus
- Insight
- SONAR
Támadási felület csökkentése
- Alkalmazások futtatásának korlátozása
- Csatlakoztatható eszközök korlátozása
További lehetőségek
- Böngészők bővítményeinek patchelése(frissítése).
- P2P használatának blokkolása.
- AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak).
- Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
- Erős jelszavak használata (időközönkénti megváltoztatása).
- Felhasználói jogok korlátozása.
- Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges).
- Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok).
- Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött.)
- Biztonsági mentések készítése.
Linkek
- https://www.abuse.ch/?p=7930
- http://www.seculert.com/blog/2014/07/geodo-new-cridex-version-combines-data-stealer-and-email-worm.html
- http://www.symantec.com/security_response/writeup.jsp?docid=2012-012103-0840-99
- http://www.symantec.com/security_response/writeup.jsp?docid=2014-120115-0152-99
- https://feodotracker.abuse.ch/
- Cridex, Feodo, Bugat, Dridex angol nyelvű elemzése