-reklama-

Odpowiedz 
 
Ocena wątku:
  • 0 głosów - 0 średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Atak złośliwego oprogramowania w sieci
Cezary Offline
Początkujący
**

Liczba postów: 22
Dołączył: Aug 2015
Reputacja: 0
Post: #1
Ostrzeżenie Atak złośliwego oprogramowania w sieci
Dzisiaj dostałem wiadomość od znajomego, który otrzymał plik pdf i nie mógł go otworzyć więc prosił abym sprawdził co to za plik. Sprawdziłem i jak się okazuje w sieci pojawiła się nowa kampania cyberprzestępców. Rozsyłane są wiadomości e-mail np. z windykacji:
Cytat:Temat: wezwanie do zaplaty, KRU

Drodzy Panstwo,
Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.
Haslo do zalacznika: wezwanie33

Kruk S.A
ul. Wolowska 8
51-116 Wroclaw

Jak widać mało profesjonalnie napisany list z błędami, a poważne firmy i instytucje takich błędów nie popełniają więc to już powinno być ostrzeżeniem.

Do rozsyłanych wiadomości dołączany jest plik windykacja_nr_98338.pdf.7z tak dokładnie nazywa się plik, ale w folderach końcówki .7z nie widać (jest to końcówka popularnego programu kompresującego 7zip).

Jak się okazuje w sieci rozsyłana jest podobna wersja, która ma ciąg w nazwie windykacja_nr_98338.pdf.scr ten plik już poddawany badaniu na virustotal.com jest wykrywany jako podejrzany. Wersja jaką ja przedstawiam nie jest zgłaszana jako podejrzana, ale wszystko wskazuje na to, że albo jest to odseparowany plik, z którym ktoś nie mógł sobie poradzić i pojawił się u mnie jako część z całości albo jest to następna wersja akcji jaką uruchomili cyberprzestępcy.

[Obrazek: 8418839900_1442867085.jpg]

Kod:
Nazwy plików:
payload-windykacja_nr_98338.pdf.scr.dat
aa.pdf.scr
firefox.exe
windykacja_nr_98338.pdf.scr
ed29a3f00c119ce0feaca9031a9988cd9baa7ec5ea78e56c45a10a08552f3bd0.scr
windykacja_nr_98338.pdf
windykacja_nr_98338.pdf.scr.vir
windykacja_nr_98338.txt

Jak podają niektórzy znawcy Security IT jest to akcja z niebezpiecznym oprogramowaniem, którego zadaniem jest kradzież środków z rachunków bankowych w polskich bankach. Podobno są już pierwsze ofiary cyberprzestępców.

Należy też uważać na inne podobne akcje, gdzie rozsyłane są pliki noszące nazwy:
Cytat:faktura_N_09_14_09_2015.pdf.7z
Protokol (do faktury)2015,wrzesnia.DOC.exe

Na koniec potwierdzenie z jednego z podziemnych for odnośnie rozsyłanych trojanów w pdf-ach.
[Obrazek: 9562818500_1442867087.jpg]
21-09-2015 22:38
Znajdź wszystkie posty użytkownika Odpowiedz cytując ten post
Botek Offline
Przyjaciel
**

Liczba postów: 78
Dołączyłczy: Nov 2012
Reputacja: OK
Post: #
Reklama
Dzisiaj 07:15
Znajdź wszystkie posty użytkownika Odpowiedz cytując ten post
tiesto Offline
Początkujący
**

Liczba postów: 12
Dołączył: Jan 2015
Reputacja: 1
Post: #2
Wirus - windykacja_nr_98338
Kolego trochę się zapędziłeś i chyba pogubiłeś więc pozwolę sobie sprostować to co piszesz. A mianowicie plik jaki masz to plik skompresowany i w dodatku zabezpieczony hasłem. Normalnie widać taką oto nazwę i rozszerzenie windykacja_nr_98338.pdf ale prawdziwe rozszerzenie jest ukryte jako .7z należy więc ten spakowany plik rozpakować podając hasło (jakie w treści maila spamu zostało dodane) wtedy będziemy mieli prawdziwy plik windykacja_nr_98338.pdf.scr, który niby jest plikiem .pdf ale w rzeczywistości też ma ukryte rozszerzenie .scr jest to rozszerzenie wygaszacza ekranu jest to nadzwyczajna aplikacja, program, który może się wykonywać więc ma zdolności przenoszenia wirusów, a więc i zarażania innych obiektów.

[Obrazek: windykacja_98338.jpg]

Ty poddawałeś nierozpakowany plik archiwum badaniu przez antywirusy, ale one nie potrafią przeskanować zabezpieczonego hasłem pliku, więc miałeś wynik (jak też widać na zrzucie) bez infekcji (0 zarażeń), ale jak już rozpakujesz dane archiwum i poddasz analizie plik wykonywalny w tym przypadku plik windykacja_nr_98338.pdf.scr masz komunikaty z antywirusów, że dany obiekt jest podejrzany.

[Obrazek: windykacja_wirus.jpg]

Tak więc zalecam ostrożność z takimi plikami, bo albo przez nieuwagę albo przez niewiedzę można sobie sprowadzić coś niechcianego do komputera.
23-09-2015 21:26
Znajdź wszystkie posty użytkownika Odpowiedz cytując ten post
Odpowiedz 


Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Atak na Twitter alicja 0 3,339 02-02-2013 18:17
Ostatni post: alicja

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości