"Gewoon een van de vele ransomware infecties"

Korte analyse van Dorifel / XDocCrypt / Quervar

Door: Bart Blaze

Ik vermoed dat inmiddels iedereen wel gehoord heeft van de XDocCrypt/Dorifel/Quervar malware.

De malware heeft vele computers kunnen infecteren. Ondanks dat de meeste computers die geinfecteerd zijn in Nederland staan, zijn ook infecties gemeld uit andere landen zoals; Denemarken, Filipijnen, Duitsland, Verenigde Staten, Spanje, Canada, China en Polen. Zelf heb ik de eerste infectie gezien op 8 augustus 2012 waarbij mijn eerste gedachte was: "Gewoon een van de vele ransomware infecties". Echter wordt er geen bericht getoond aan de gebruiker wat bij dit soort malware wel gebruikelijk is. Of de malware is slecht gemaakt, of de ontwikkelaar ervan wil alleen de gebruiker dwars zitten en niet (direct) geld verdienen aan de gijzeling van de bestanden.

Het virus infecteert Microsoft Office bestanden, draait de extensie om en voegt er een nieuwe, ".scr"-extensie aan toe. Dit staat ook wel bekend als de RTLO Unicode-kwetsbaarheid welke gebruikt wordt om de werkelijke extensie van het bestand te maskeren.
Het hernoemen van het bestand lost het probleem niet op, je kunt de Microsoft Office bestanden nog steeds niet openen.

Microsoft Office bestanden waarvan de extensie is aangepast

Zoals in het bovenstaande voorbeeld is te zien, zijn de orginele extensies van de Microsoft Word en Microsoft Excel bestanden omgedraaid en lijken de bestanden .scr bestanden te zijn. "Scr" is de extensie voor schermbeveiligingsbestanden. Het JPG bestand is niet geïnfecteerd.

De geïnfecteerde bestanden zijn versleuteld met RC4, welke veelvuldig wordt gebruikt in toepassingen, waaronder het Secure Sockets Layer protocol en het WEP protocol voor draadloze beveiliging. Het algoritme zelf is buitengewoon eenvoudig en kan efficiënt geïmplementeerd worden op vrijwel alle computers.
SurfRight heeft een tool ontwikkeld om de bestanden weer te ontcijferen: Dorifel decrypter

De malware is op de geïnfecteerde computers zeer waarschijnlijk gedownload door de Trojaanse paarden Citadel of Zeus.

Ondanks dat ik de malware niet tot in detail heb onderzocht heb ik wel gezien dat de malware zichzelf afsluit op het moment dat Windows Taakbeheer wordt gestart. Geen idee welke doel de schrijver hiermee wil bereiken, vooral omdat de malware zichzelf ook niet meer lijkt op te starten.
Wel maakt het een snelkoppeling (.lnk) aan welke verwijst naar de malware en die opgenomen wordt in de Autorun van Windows zodat de malware automatisch gestart wordt wanneer de computer start.

Externe bronnen die gebruikt zijn voor het samenstellen van deze blog:
http://blog.fox-it.com/2012/08/09/xdoccryptdorifel-document-encrypting-and-network-spreading-virus/
http://www.damnthoseproblems.com/?p=599

Deze blog is geschreven door @bartblaze, werkzaam als malware analist bij Panda Security Nederland, en oorspronkelijk in het Engels gepubliceerd op Blaze's Security Blog