Otrzymałem wczoraj mail zawierający złośliwe oprogramowanie i nie byłoby w tym nic nadzwyczajnego gdyby nie fakt, że twórca tej kampanii był chyba bardzo zmęczony życiem :]
Otrzymany mail wyglądał jak wiele tego typu maili i niczym specjalnym się nie wyróżniał:
Subject: Payroll Invoice ADP TotalSource A copy of your ADP TotalSource Payroll Invoice for the following payroll is is attached in PDF file and available for viewing.Year: 13Week No: 08Payroll No: 1Please open attached file to view and check following payrol This email was generated by an automated notification system. If you have any questions regarding the invoice or you have misplaced your MyTotalSource login information, please contact your Payroll Service Representative. Please do not reply to the email directly. © 2013 Automatic Data Processing, Inc.
Załącznik do plik: invoice.zip, w którym jak zawsze spodziewałem zastać jakieś złośliwe oprogramowanie. Otwieram archiwum, a tam w środku: invoice_23898422_93mn.pdf.exe (standard) oraz: Initex.Software.Proxifier.v2.9.Incl.Keymaker-ZWT.zip (!!!) Wygląda na to, że podczas tworzenia archiwum .zip cyberprzestępcy nie zauważyli i załączyli oprogramowanie, które generuje klucz do nielegalnego korzystania z oprogramowania Proxifier – aplikacji anonimizującej ruch :]
Dawno nie widziałem takiej wtopy. Co ciekawe jeden dzień później otrzymałem dokładnie taką samą wiadomość ale już z nowym załącznikiem nie zawierającym takich niespodzianek. Standardowo wrzuciłem złośliwe oprogramowanie, które otrzymałem: invoice_356756245_767nu.pdf.exe – do portalu VirusTotal, który przeanalizował załącznik i wykrył, że jedynie 4 silniki antywirusowe z 48 wykryły, iż mają do czynienia z niebezpieczną aplikacją.
Jak widać nic się specjalnie w tej kwestii nie zmieniło i dobrze przygotowane kampanie ze złośliwym oprogramowaniem są realizowane w taki sposób aby nie były wykrywane przez aktualne silniki antywirusowe. Oprogramowanie antywirusowe oczywiście /zaktualizowane/ należy posiadać bo może ono uchronić nas przed wieloma innymi zagrożeniami, które wykrywają ale ważne byście mieli świadomość, iż nie jest to żadnym remedium na zło przybywające z czeluści internetu :]
7 komentarzy do
19 października, 2013 o godzinie 14:48
Może warto zrobić statystyki lub zrzuty ekranów z wyników działania antywirusów z VirusTotala.
I np. sprawdzić za 2-3 dni czy plik będzie bardziej wykrywalny.
Jeśli np po dwóch dniach dalej będzie lipa z wykrywalnością to wniosek będzie taki, że antywirusy są kiepskie i zbędne.
19 października, 2013 o godzinie 22:59
Zazwyczaj ta liczba się zwiększa. To kwestia czasu, zwyczajowo kilku dni, czasami godzin. To zależy jak szybko daną próbkę otrzymają firmy AV. W przypadku VirusTotal jest tak, że ta próbka jest potem rozsyłana do firm AV więc takie badanie jest trochę niemiarodajne. Ale prędzej czy później zazwyczaj próbki trafiają do większości silników antywirusowych. I właśnie dlatego lepiej mieć AV niż nie mieć. Przed masą latającego zła w sieci internet, aktualne AV mogą nas uchronić.
19 października, 2013 o godzinie 23:00
Aktualnie po kilku godzinach jest to: 23 / 48
20 października, 2013 o godzinie 11:42
Email z 18.10.2013 godz. 20
Analysis date: 2013-10-18 13:21:51 UTC
11 / 48
Analysis date: 2013-10-20 09:34:08 UTC
20 / 48
https://www.virustotal.com/en/file/8bf97bdf75eedbe457a0a715b6c39f4945106e0f244a7a14108e5c7730e8004b/analysis/1382261648/
Lepsza pozorna ochrona niż żadna. Tak jakby przypinać rower kiepskim łańcuchem.
9 listopada, 2013 o godzinie 20:10
Ciąg dalszy pozornej ochrony.
E-mail z 26.10.2013 r. z linkiem do pliku z wirusem.
Analysis date: 2013-11-09 18:58:30 UTC
https://www.virustotal.com/en/file/eda00edbff4be633198ca90948de01ca3890a31e57a5be8d9739dbde0b2edaa3/analysis/1384023510/
Lepsza pozorna ochrona niż żadna. Niech ludzie mają świadomość tej pozornej ochrony.
25 stycznia, 2015 o godzinie 22:42
witam
Panie Bartoszu proszę o jakiś kontakt do Pana, ponieważ
zawirusowało a dokładnie zaszyfrowało mi wszystkie pliki
po otworzeniu tego folderu invoice.zip.
Tak więc potrzebuję klucza do odzyskania plików.
Będę bardzo wdzięczny za pomoc.
Pozdrawiam
Rafał
6 lipca, 2016 o godzinie 16:22
Witam, proszę o kontakt, gdyż wczoraj otrzymałam takiego maila, niefortunnie go otworzyłam pobrałam i rozpakowałam plik. Od razu zrobiłam skan komputera wykryło mi tylko 8 wirusów. Dziś rano zrobiłam kolejny skan innym programem i wykryło mi 109 zagrożeń. Spora ilość w plikach, sporą ilość w folderach, i kilka kluczy (key). Usunęłam wirusy i przeskanowałam po raz kolejny, nic nie znalazło. Lecz mam obawy co do tego, czy wszystko zostało dokładnie wyczyszczone. Stąd, rodzi się moje pytanie, czy jest jakiś sposób, by sprawdzić, czy coś jeszcze zostało, czy możne zostaje przeinstalowanie komputera.