Vírusos e-mail?

Microsoft Windows

Sziasztok!
A mai napon kaptam egy furcsa e-mailt, amiben német nyelven arra szólítottak fel, hogy fizessek valami tranzakció után 44 eurót.
A mailt nemigen értem de csatolom a szövegét:
Sehr geehrter Kunde,

in der nachfolgend aufgeführten Angelegenheit haben wir uns bereits an Sie gewandt,
und die Forderung unserer Kunden geltend gemacht. Sie haben eine nicht bezahlte
Forderung beim Unternehmen OnlinePayment AG.

Ihr Kreditinstitut hat die Kontoabbuchung zurück buchen lassen, da Ihr Konto zur
Zeit der Buchung nicht hinreichend gedeckt gewesen ist. Wegen des bestehenden
Zahlungsausstands sind Sie verpflichtet zusätzlich, die durch unsere Inanspruchnahme
entstandenen Mahnkosten von 44,21 Euro zu tragen. Die Höhe des Betrags kann aufgrund
kürzlich berechneter Zinsen abweichen.

Namens und in Vollmacht unseren Mandanten OnlinePayment AG ordnen wir Ihnen an, die
noch offene Gesamtforderung schnellstens zu begleichen. Bei Fragen oder
Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Eine
vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können,
ist beigelegt.

Wir erwarten die Überweisung bis zum 01.10.2015 auf unser Bankkonto.

Erfolgt kein Ausgleich der offenen Forderung bis zur festgelegten Frist, werden wir
ohne weitere Benachrichtigungen die Angelegenheit an das Gericht übergeben und der
SCHUFA melden.

Hochachtungsvoll

Hannes Myer
Inkasso

Szóval ez az.
A melléklet egy nagyon furcsa duplán tömörített archívum aminek a vége egy .pif kiterjesztésű MS-dos parancsikon.
A winrarral nem tömörítettem ki csak belenéztem az lenne a kérdésem ha véletlenül is települt, hogyan tudnám ezt megnézni?

Üdv Gael

  • 2691 megtekintés

( Takaya | 2015. 09. 30., sze – 19:46 )

duplán tömörített archívum aminek a vége egy .pif kiterjesztésű MS-dos parancsikon.

Akinek ezt elolvasva nem jelenik meg egy baromi nagy piros felkialto jel szirenazva, az tenyleg naiv.

Izolalt gepen/wm lefuttatni kozben nezni mit csinal, es az alapjan lehet keresni, a te gepeden a nyomait.
Gepet addig is, biztos ami bistos lekotni minden halozatrol es nem dugdosni bele semmit.
--

"You can hide a semi truck in 300 lines of code"

( joco01 v | 2015. 09. 30., sze – 19:47 )

Ismered a céget? Nem - kuka.
Név szerint szólít? Nem - kuka.
Értelmes feladótól jött? Nem - kuka.
Gyanús csatolmány? Igen - kuka.

És még sorolhatnám. Ezt valszeg benézte a spam filter. De hogy a csatolmányra minek kell egyáltalán kattintani... Mit szeretnél megnézni? Hogy települt-e a vírus? Inkább azt nézegesd, van-e vírusírtód.

--

Eszem ágában sincs!:D
Gyerekek ezért kértem itt segítséget mert már elég régóta látogatom az oldalt és tanultam meg itt a Linux használatát.
Win-es gépem meg azért van mert azzal adták és ha már fizettem érte nem dobom ki hanem kipróbálom és használom. És mivel kb 10 éve csak Linuxot használok (elvétve Win-t) nemigen találkoztam adathalászással és vírusokkal. Egyszerűen nincs bennem veszélyérzet ezzel kapcsolatban. Szeretném tudni, hogy tényleg települt-e a winrar-al megnyitásra vagy nyugodt lehetek tőle.
Üdv Gael

Hogy is van az a vicc a vadásszal és a medvével? :D Tehát otthon vagy Linuxban, de csak azért szívsz egy windows-os géppel, mert azzal vetted, miközben kedvenc környezetedet felrakhatnád arra a gépre. Hát..., te tudod. Nekem nincsenek ilyen perverz gondolataim. Már be sem boot-oltam volna a Windows-t a gépen, ment volna rá az aktuális legfrissebb Fedora. Ez persze én vagyok.

Ami meg a leveleket illeti, úgy intézem, ahogy fentebb írták. Ismerős küldte? Nem, kuka. Nincs nekem arra érkezésem, hogy spam-eket olvasgassak, kitömörítsek, a tartalmát újra kitömörítsem, esetleg a kártékony kódot még telepítsem is. :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"olvasgassak, kitömörítsek, a tartalmát újra kitömörítsem, esetleg a kártékony kódot még telepítsem is" -> Ez jó!!! :-D :-D :-D

Csak ugye az emberi kíváncsiság sokszor erősebb mint az észérvek. "Vajon tényleg szétcseszi a gépem ha lefuttatom? Klikk-klikk... Tényleg! Jó tudni hogy ezzel legközelebb majd vigyázzak" :-D

Ugyanúgy nem értem azokat a hegymászókat sem, akinek már leamputálták minden lábujját, fél karja ha maradt, soha nem jutott fel a csúcsra, de most így, láb és kar nélkül újra megpróbálja! Vannak fazonok! :-)

1. sose fogod megtudni.
2. _talan_ nem telepult.
3. toltsd fel a csatolast a virustotal.com-ra hatha megmondja mi a virus es abbol ki lehet talalni mi a tamadasi vektor.

szerk: eselyes hogy megfertozodott a geped ha winrar-t ill. a winrar dll-jet hasznaltad kitomoriteshez : http://index.hu/tech/2015/10/01/brutalis_biztonsagi_res_a_winrarban/

"szerk: eselyes hogy megfertozodott a geped ha winrar-t ill. a winrar dll-jet hasznaltad kitomoriteshez : http://index.hu/tech/2015/10/01/brutalis_biztonsagi_res_a_winrarban/"

Légyszíves ne.. LB-nek az Indexen annyi esze van, mint egy marék lepkének, de legalább a HUP-on ne terjesszünk ilyen sületlenségeket.

Mit mivel tomoritett ki? Az SFX-et futtatni kell. Pont. Ha pedig megnyitod WinRar-ban es ugy tomorited ki, akkor pedig nem mukodik a dolog. Komolyan nem ertem mi olyan bonyolult ezen..

Barmikor csinalok olyan SFX-et, ami elindit egy trojait. Ez egy feature, nem bug, ezert exe. Sot barmikor csinalok olyan programot, ami ugy nez ki mint egy SFX es kozben egy trojait (is) telepit.

De mar ezt az idot is sajnalom, hogy ezt leirtam. Ennyi ido alatt irhattam volna en is egy SFX PoC kodot es kuldhettem volna fd-re poenbol. De tudod mit meg lehet hogy megteszem :)

Közvetlenül nem, de mivel a Linuxot főként számítógépet már jobban értő közönség használja, őket az egyszerűbb soc. eng. trükkökkel nehezebb megetetni. Paranoiásabbak is az átlagnál. A nyitóban említett típusú leveleket már subject alapján törlöm (ha az automatika - spam/vírus filter - előttem nem tette volna meg).

--
trey @ gépház

Olyan értelemben mégis veszélyes gondolat ez, hogy ha a gép csak a facebook-gmail-youtube szentháromság miatt kell, akkor azért elég sok példát láttunk arra, hogy hozzá nem értők is nagy megelégedéssel használnak Linuxot. Tény, hogy ezeket általában egy számítástechnikához jobban értő ismerős telepítette, így elvileg van hozzáértő segítség, de ha valaki bekajálja a "Linuxra nincs vírus" című szöveget, akkor bizony ugyanúgy meg fogja adni a PayPal jelszavát egy phishing site-on.

friss ropogos 5/56
https://www.virustotal.com/hu/file/315f4d073e0f5cb5d023c60a4f24db507945…

marpedig egy banki szamlaval nem rendelkezo egyenhez kinabol kuldott 'RE: Bank remittance' subjectu level, amiben a mellekelt pdf.exe zippelve van, az mi a turo lehet mas ?

mind1, holnap kontollkeppen megnezem javul-e a statisztika.

( hunyadym | 2015. 09. 30., sze – 23:12 )

Virustotalra próbáltad feltölteni? Ott látod az eredményen kívül azt is, hogy más is feltöltötte-e már ugyanezt (azaz több embernek küldték-e, vagy célzottan neked (vagy mindenkinek mást küldenek)), illetve segíted vele az AV gyártókat is.

( Swifty v | 2015. 10. 01., cs – 09:27 )

Avast! látta, megfogta...
--
Debian Linux rulez... :D

Na akkor fuss neki megint a cikknek... Egy .PIF vagy .SCR fájl nem igazán HTML...
Másik oldalról a jobb egér -> kitömörítés nem mutat meg semmilyen HTML fájlt (nem indít böngésző motort)...
A többi meg simán csak egy fájlrendszer keresés lett volna... de nem volt rá szükség, mert ráugrott..
Ennyi.
--
Debian Linux rulez... :D

( Szenti v | 2015. 10. 01., cs – 11:11 )

A PIF fájlra eleve nem lehet szükséged, ez kiterjesztése alapján parancsikon, de a tartalma valószínűleg EXE (első két byte: MZ) van benne, amit a Windows le is tud futtatni. Ha nem törömörítetted ki, valószínűleg nem települt. Ilyen jellegű levél body-val jött anno a CTB-Locker is. Nem meglepő, ha az antivírus nem ismeri fel, valószínűleg egy új verziójú dropperről van szó.

Innentől csak olyanokat tudnék javasolni, amit már fentebb megírtak a többiek: levél kukázására vonatkozó szabályok és feltöltés a virustotal-ra.