Dorifel virus gevaar voor computers

Dorifel is een hardnekkig computervirus dat in Nederland vooral in 2012 voor veel onrust heeft gezorgd. Het verspreidt zich via de email en zorgt ervoor dat Word en Excel documenten beveiligd worden met een wachtwoord waardoor ze door de gebruiker niet meer te openen zijn. Vooral gemeenten en diverse grote instellingen zijn door het virus getroffen. Een aanval met het virus is af te weren met goede antivirussoftware.

Het Dorifel virus grijpt om zich heen

De masterserver van het Dorifel virus host phishingwebsites voor Rabobank, ING, SNS Bank en ABN Amro. Het bureau Digital Investigation heeft bekend gemaakt dat onderzoek heeft uitgewezen dat uit logbestanden van de server duidelijk is geworden dat op die manier gegevens van Nederlandse rekeninghouders zijn buit gemaakt, waarbij klanten van de ING verreweg het hardst getroffen worden. De bankscam beperkt zich grotendeels tot Nederland. Volgens Digital Investigation zijn tienduizenden computers besmet met het Dorifel virus. Eerder hadden Kaspersky en Fox-IT het al over zo'n 3.000 inbraken, maar het blijken er dus nog veel meer te zijn.

In Nederland werden in augustus 2012 veel gemeenten en instellingen als universiteiten en het RIVM getroffen en moesten zij al hun medewerkers naar huis sturen tot dat alle computers waren opgeschoond. Eerder werd het virus het Sasfis virus genoemd, maar later kreeg het de naam XDocCrypt/Dorifel of kortweg Dorifel. Na het openen van besmette emails raakten Office-documenten beschadigd en werden deze beveiligd met een wachtwoord waardoor er geen toegang mee toe te verkrijgen was. Het gaat om documenten met de extensies .docx en .xlsx. Er werd snel een link gelegd met het botnet van Zeus/Citadel. Later werd duidelijk dat de server die achter de aanval zat in Oostenrijk stond.

Antivirussoftware helpt om bestanden te ontsleutelen

Aanbieders van antivirussoftware waren er snel bij om oplossingen te bieden. De inhoud van de onleesbaar geworden bestanden wordt namelijk niet gewist maar alleen versleuteld. Zodoende kunnen de documenten wel weer hersteld worden. McAfee bood in 2012 tevens een update aan waarmee het virus effectief te bestrijden is. Je kunt ook een programma van Surfright downloaden dat de besmetting ongedaan kan maken. Daarnaast is het verstandig om te kijken of er een update van je firewall of je vertrouwde antivirussoftware beschikbaar is via de aanbieder.

Zelf een Dorifel besmetting voorkomen door blokkeren IP-adres

Volgens Digital Investigations is het Dorifel virus voornamelijk gebruikt om restanten van het Citadel/Zbot botnet nieuw leven in te blazen en het aantal zombie computers verder uit te breiden. Naar alle waarschijnlijkheid is deze uitbreiding bedoeld om phishing banking websites te distribueren via de besmette computers.

Wil je een besmetting met het virus voorkomen en heb je geen antivirussoftware geïnstalleerd die dat voor je doet, dan is het belangrijk om het IP-adres 158.255.211.28 en de hosts van het domein bank-auth.org te blokkeren in je firewall. Daarnaast is het ook belangrijk het IP-adres 184.82.107.86 te blokkeren omdat bekend is dat op die manier nieuwe malware wordt verspreid.

Daarnaast is het belangrijk om aan preventie te doen door geen bijlagen uit e-mails te openen die je hebt ontvangen van bedrijven of gemeenten waarvan je weet dat zij last hebben gehad van het virus of waarvan je het vreemd vindt dat ze jou een email sturen. Wanneer je gebruik maakt van internetbankieren dan kun je vaak via de website van je bank een veiligheidscheck uitvoeren.

Lees verder

• Antivirus: Je computer beschermen met antivirus software (special)
• Test zelf of je computer besmet is met Pobelka/Citadel
• Onderstrepingen van tekst in browser: Browse to Save adware
• Virus dat kinderporno verspreidt verwijderen
• Ukash virus verwijderen met gratis te downloaden software
• De beste virusscanner kiezen