ARJ en andere oude formaten gebruikt om malware te verspreiden

[Captain Kirk]

Spammers maken de afgelopen maanden geregeld gebruik van allerlei oude archiefformaten zoals ARJ om malware te verspreiden, zo meldt anti-virusbedrijf Trend Micro en blijkt ook uit observaties van Security.NL. De virusbestrijder ontdekte onlangs 7.000 e-mails die een kwaadaardig ARJ-bestand als bijlage hadden.

Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken. Het concurreerde met PKZIP, een ander populair archiefprogramma. Inmiddels is het niet meer zo bekend en populair. Zo wordt het formaat standaard niet herkend door Windows en moet er een apart programma worden geïnstalleerd om ARJ-bestanden uit te pakken. Bij de aanval waar Trend Micro over schrijft wordt malware verspreid die systeemgegevens en opgeslagen wachtwoorden probeert te stelen.

Naast ARJ zijn er ook aanvallen waargenomen waarbij er andere archiefformaten zoals .Z, .ACE, .JAR en .ISO worden gebruikt. Vaak zijn de e-mailbijlagen van een dubbele extensie voorzien, zoals "CONTRACT_MU21325REV.DOC.Z" of "RFQ_2329_Quotation Sheet,xls.iso". Standaard geeft Windows de extensie niet weer, waardoor gebruikers kunnen denken dat het om een ander soort bestand gaat. Het gebruik van dergelijke oude archiefformaten is nog altijd een uitzondering. Begin dit jaar meldde Cisco dat Zip- en Office-bestanden het meestgebruikt worden bij e-mailaanvallen.

 

 

bron: security.nl