E-mailem se šíří viry s „kompenzací“ či „fakturou“. Zip uvnitř skrývá zajímavý JavaScript

E-mailem se opět šíří viry, které se sociálním inženýrstvím snaží dosáhnout otevření přílohy (tou je ZIP soubor) s následným otevřením obsahu. Dvojice souborů v ZIP obsažených ale není ani klasický výkonný soubor či často používaný spořič obrazovky. Najdete tam dva .js (JavaScript) soubory s obsahem, který je hodně důsledně rozdělován do řady rozsekaných textů a blok tak, aby bylo velmi obtížné poznat, co se vlastně bude dít.

2016-03-08 17_59_32-Centrum akcí

 

 

Varianta „kompenzace“. Níže varianta „faktura“.
V obou případech je v příloze ZIP s dvojici JavaScript souborů.
2016-03-08 18_20_08-Spam (421) - daniel@justit.cz - JustIT.cz Mail

 

VirusTotal tenhle vzorek detekuje prozatím alespoň ve dvou případech jako EUR.JS.Trojan.bJS/TrojanDownloader.Nemucod.ID. Windows Defender například nereaguje vůbec, ale to je poměrně obvyklá situace u nových věcí.

2016-03-08 18_02_31-Start

2016-03-08 18_03_01-view letter.865160137.js - Far 3.0.3367 x64

Spuštěním JavaScriptu dojde ke stažení a spuštění souborů z Internetu, samotný JavaScript v počítači žádné změny nedělá, je to opravdu jenom kod pro stažení dalších programů, které poslouží k napadení počítače.

E-mailem opět chodí falešné faktury obsahující, jak jinak, virus

Nová vlna „faktur“  v angličtině, majících řadu náhodných odesilatelů obsahuje přílohu v podobě dokumentu vypadajícího jako z Wordu, ale ve skutečnosti obsahující virus. Microsoft Defender ve Windows 10 klasicky o škodlivém obsahu nemá nejmenší ponětí, ale pokud zkusíte soubor předložíte některé z dostupných služeb na kontrolu na viry, tak velmi rychle zjistíte, že otevírat to by byl opravdu špatný nápad. Jedna z detekcí přitom ukazuje na W97M/Adnel, tedy škodlivé makro ve Wordu či Excelu.

2016-02-19 18_44_43-Spam (327) - daniel@justit.cz - JustIT.cz Mail

To se ve skutečnosti postará (za předpokladu že po otevření povolíte spuštění makra) o stažení samotného viru, což odpovídá i další detekci na Trojan-Downloader:W97M/Dridex.S – tradičně tento virus patří k těm, které jdou po přihlašovacích údajů do bankovnictví.

2016-02-19 18_46_31-Antivirus scan for 637026f5eddf5ccda31b3b88485d7e3dd8558d8c4e8b94b8be6cdd7b6d827

2016-02-19 18_54_28-view invoice_feb-12401412.doc - Far 3.0.3367 x64

Dodatek 12 hodin po vydání. Windows Defender už virus detekuje, označuje jako ho jako W97M/Bartallex.

2016-02-20 07_56_08-Windows Defender

 

Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně

V ESET (a nejenom tam) mu říkají Kryptik a dostat se k vám může snadno v podobě ZIP přílohy, ze které na vás vypadne .js (JavaScript soubor). Je dost jisté, že něco takového si pořídit nechcete. Ale je dost jisté, že nějaká naivní osoba to otevře, rozbalí a spustí. Continue reading „Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně“

Trojský kůň falšuje selhání disku aby vám prodal defragmentovací program

Symantec upozorňuje na Trojan.Fakefrag, který falšuje selhání disku aby uživatel koupil defragmentovací program. Změny v systému vypadají dostatečně přesvědčivě a uživateli je pak nabídnut software za 79.50 USD.

Selhání disku Troj.Fakefrag oznámí uživateli „systémovou zprávou“  – ještě předtím ale přesune soubory z „All Users“ složky do jiného místa, skryje soubory v „Current Users“, znemožní změnit pozadí na ploše, zakáže spuštění Task Manager a s pomocí „HideIcons“ a „SuperHidden“ skryje některé ikony z plochy, smaže i historii prohlížeče, cookies a uložená jména a hesla – uživatel tak nejenom postrádá své soubory, ale vidí podivné chování systému.

Následuje nabídka na záchranu, spuštění Windows Recovery – ve skutečnosti aplikace, která nedělá vůbec nic, jenom hezky animuje neexistující činnost. Po skončení činnosti je uživateli nabídnuta koupě software za 79.50 USD (UltraDefragger).