gmail - vírus

Web, mail, IRC, IM, hálózatok

Ma jött át először egy vírusos mail gmail-en, pedig 1x éve gmailezek eddig mindet megfogta. Még spam-be sem dobta, egyenesen Inbox. (Nem csatolvány, külső link, de akkor is) Esetleg ha valalaki belefutna hasonlóba:
--------
Feladó: DHL Logistik ( fschuhardt[at]web.de )
Szöveg:
Sehr geehrte DHL-Kundin, sehr geehrter DHL-Kunde,

die Sendung mit der Nummer ....

Benne egy link egy ZIP file-ra, amit kicsomagoltam, (exe termnészetesen) majd felküldtem a virustotalra:
https://www.virustotal.com/hu/file/953454564f56f64b51717973d9686a314886…

Észlelési arány: 5 / 56
Az az 5 is heurisztika.
Szóval óvatosan.

cryp

  • 2032 megtekintés

( an-dee | 2015. 05. 05., k – 11:19 )

Nálunk volt ilyen DHL-es, de maga a levél nem tartalmaz vírust, igy simán átmehet mindenen. A linket a fw fogta meg végül userig nem jutott el a vírus.

( Takaya | 2015. 05. 05., k – 11:34 )

Kollegak azt mondjak ok mar kaptak ezt kb fel eve.
Szerencsere egyik sem r=1. Ami a managerekrol nem mondhato el.
Azok kaptak valami skype virust, kuldozgettek a linkeket etc. Mondtam nekik, hogy akkor azonnal clean install, de nem mert megoldottak... Virusirto leszedte minden okes.
Azota is azon aggodok, milyan backdoor lehet azokon a "tiszta" gepeken. Egyszeruen nem ertik meg, ha mar annyira hulyek voltak, hogy lefertoztek a gepet, es nem csinalnak clean install-t
akkor ennyi erovel az osszes ceges doksit kitehetnek a netrel....

--

"You can hide a semi truck in 300 lines of code"

Eddig nem találkoztam vele, de a két dolog együtt volt furcsa:
1.) gmail nem teszi spam-be, pedig evidens hogy nem a DHL küldte, a link is hamisított, a feladó is (DKIM/SPF?) a link tartalmát sem nézi meg, sőt azt sem hová mutat...
---------

Received: from BLU004-OMC3S25.hotmail.com (blu004-omc3s25.hotmail.com. [65.55.116.100])
by mx.google.com with ESMTPS id b8si15351453qcn.33.2015.05.05.00.16.55
for <****.*****@gmail.com>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
Tue, 05 May 2015 00:16:55 -0700 (PDT)
Received-SPF: fail (google.com: domain of fschuhardt@web.de does not designate 65.55.116.100 as permitted sender) client-ip=65.55.116.100;
Authentication-Results: mx.google.com;
spf=fail (google.com: domain of fschuhardt@web.de does not designate 65.55.116.100 as permitted sender) smtp.mail=fschuhardt@web.de
Received: from BLU437-SMTP89 ([65.55.116.74]) by BLU004-OMC3S25.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.22751);
Tue, 5 May 2015 00:16:55 -0700

---------

2.) A Virustotal -on is simán átmegy a letöltött kicsomagolt exe, 56 -ból csak 5 engine "ismeri" fel, az is heurisztikai alapon (aza nem ismeri fel)

Az 1) -re talan az a valasz, hogy nem tomegesen jon be. Az elso par "gyanus" levelet nem szokta meg instant spambe rakni, mert gondolom feltetelezi, hogy lehetsz egy atallas kozepen is, viszont ha ez par napon belul tobbszor ismetlodik, azok mar mennek spambe.

Ha a virus szorasaban csak nehany GMailes levelezo van, akkor ez meg siman belefer.
--
Blog | @hron84
Üzemeltető macik