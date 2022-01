SysJoker is waarschijnlijk al een paar maanden actief, maar de laatste dagen is er steeds meer over bekend geworden. In Nederland maakt alleen de website Hardware.info er tot nu toe melding van. Het virus komt binnen via de bekende weg van phishingmails en doet zich voor als een systeemupdate of als npm-bestand (Corel Draw). Dit uitvoerbare bestand krijgt vervolgens de .ts-extensie mee, waardoor Windows en Linux het herkennen als een TypeScript-programmeerbestand. Eenmaal gestart, zoekt het virus contact met een bestand dat op een Google Drive staat. In dat bestand vindt het de servers waarmee het beheer van de computer overgenomen kan worden. Tijdens de aanval verandert SysJoker de adressen van die servers om te voorkomen dat het ontdekt wordt.





Actieve aanval

Het Amerikaanse IT-beveiligingsbedrijf Intezer ontdekte de nieuwe code tijdens een aanval op een de Linux-server van een onderwijsinstelling. Tijdens de analyse werd de code tot drie keer toe gewijzigd, wat er volgens Intezer op wees dat de aanvallers op dat moment actief waren. Het bedrijf geeft op zijn website een uitgebreide technische beschrijving van de kwaadaardige code en heeft deze inmiddels doorgestuurd naar de makers van het gerenommeerde antivirusprogramma VirusTotal. Naar verwachting zullen ook alle andere bekende antivirusprogramma’s snel met een update komen.

Blijven oppassen

Er worden voortdurend nieuwe virussen ontwikkeld, het is als een kat-en-muisspel tussen computercriminelen en IT-beveiligers. Voor particuliere computergebruikers is het daarom belangrijk om een goed antivirusprogramma te hebben draaien en om zich altijd bewust te zijn van phishing-praktijken via de e-mail en berichten op de smartphone.