A Dridex malware működése és eltávolítása

A Dridex a Cridex (előző verziók: Feodo, Bugat) új variánsa, amely egy banki adatok ellopására fejlesztett trójai. Egy féreg útján terjed automatikusan, ezzel botnetek szolgálatába állítja a fertőzött Microsoft Windows alapú rendszereket.

A Geodo-tól örökölt módszerek alapján további malware-eket tölthet le, illetve az eddig ellopott adatokkal, – banki szervezetnek álcázva magát -, terjesztheti tovább a fertőző email-eket. Az érintett rendszerek nagy része (kb. fele) Németországban, Ausztriában, Svájcban található.

Működése

Az elődjével megegyező botnetes hálózatot használja (fertőzött webszerverek, 8080-as vagy 7779-es TCP port, domain nevek nélkül), de a kód és az URL szerkezete teljesen új. 

Elemzések alapján, a fertőzés lépései a következők:

  1. További kártékony összetevőket tölt le.
  2. Ezek kommunikációba lépnek a vezérlő (C&C) szerverrel.
  3. Linkekkel ellátott emailek küldésébe kezdenek, amelyek tömörített fertőzött fájlokra mutatnak.

További vizsgálatok során kiderült, hogy a második kártékony összetevő egy féreg, ami megközelítőleg 50 ezer lopott STMP fiók adatait tartalmazza, beleértve a szerverekhez való csatlakozási paramétereket is. A bot ezek után – az adatokat felhasználva – főleg német fiókokat támad meg, hivatalos emaileknek álcázva magát.

A C&C szerver ellátja a malware-t egy 20 email címből álló listával, azon kívül a kiküldendő email elemeit is meghatározza, mint például: küldő email címe, tárgy, szövegtörzs, amelyek kizárólag az adott 20-as lista elemeire vonatkoznak és minden listával cserélődnek.

Arról nincs pontos információ, hogy ez az 50 ezres lopott címlista honnan származik, de feltehetőleg a Cridex áll ennek a hátterében. 

A legújabb verzióját Dridex-nek hívják, ez egy Microsoft word makro vírus.

Eltávolítás

Az alábbi programok segítségül szolgálhatnak a fertőzés eltávolítására:

F-Secure

https://www.f-secure.com/en/web/home_global/online-scanner

McAfee

https://www.mcafee.com/uk/downloads/free-tools/stinger.aspx

Microsoft

https://www.microsoft.com/security/scanner/en-us/default.aspx

Sophos

https://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx

Trend Micro

http://housecall.trendmicro.com/

Megelőzés

Többrétegű védelem felépítése és ezek karbantartása

  • Aktív Network Threat Protection (NTP)
  • Intrusion Prevention System (IPS)
  • Tűzfal
  • Antivírus
  • Insight
  • SONAR

Támadási felület csökkentése

  • Alkalmazások futtatásának korlátozása
  • Csatlakoztatható eszközök korlátozása

További lehetőségek

  • Böngészők bővítményeinek patchelése(frissítése).
  • P2P használatának blokkolása.
  • AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak).
  • Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
  • Erős jelszavak használata (időközönkénti megváltoztatása).
  • Felhasználói jogok korlátozása.
  • Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges).
  • Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok).
  • Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha  eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött.)
  • Biztonsági mentések készítése.

Linkek

  • https://www.abuse.ch/?p=7930
  • http://www.seculert.com/blog/2014/07/geodo-new-cridex-version-combines-data-stealer-and-email-worm.html
  • http://www.symantec.com/security_response/writeup.jsp?docid=2012-012103-0840-99
  • http://www.symantec.com/security_response/writeup.jsp?docid=2014-120115-0152-99
  • https://feodotracker.abuse.ch/
  • Cridex, Feodo, Bugat, Dridex angol nyelvű elemzése