E-mailem se šíří viry s „kompenzací“ či „fakturou“. Zip uvnitř skrývá zajímavý JavaScript

E-mailem se opět šíří viry, které se sociálním inženýrstvím snaží dosáhnout otevření přílohy (tou je ZIP soubor) s následným otevřením obsahu. Dvojice souborů v ZIP obsažených ale není ani klasický výkonný soubor či často používaný spořič obrazovky. Najdete tam dva .js (JavaScript) soubory s obsahem, který je hodně důsledně rozdělován do řady rozsekaných textů a blok tak, aby bylo velmi obtížné poznat, co se vlastně bude dít.

2016-03-08 17_59_32-Centrum akcí

 

 

Varianta „kompenzace“. Níže varianta „faktura“.
V obou případech je v příloze ZIP s dvojici JavaScript souborů.
2016-03-08 18_20_08-Spam (421) - daniel@justit.cz - JustIT.cz Mail

 

VirusTotal tenhle vzorek detekuje prozatím alespoň ve dvou případech jako EUR.JS.Trojan.bJS/TrojanDownloader.Nemucod.ID. Windows Defender například nereaguje vůbec, ale to je poměrně obvyklá situace u nových věcí.

2016-03-08 18_02_31-Start

2016-03-08 18_03_01-view letter.865160137.js - Far 3.0.3367 x64

Spuštěním JavaScriptu dojde ke stažení a spuštění souborů z Internetu, samotný JavaScript v počítači žádné změny nedělá, je to opravdu jenom kod pro stažení dalších programů, které poslouží k napadení počítače.

Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně

V ESET (a nejenom tam) mu říkají Kryptik a dostat se k vám může snadno v podobě ZIP přílohy, ze které na vás vypadne .js (JavaScript soubor). Je dost jisté, že něco takového si pořídit nechcete. Ale je dost jisté, že nějaká naivní osoba to otevře, rozbalí a spustí. Pokračovat ve čtení „Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně“

Kaspersky: Spammeři v Q3 zneužívali prázdninová témata

Spam ve třetím čtvrtletí letošního roku tvořil 54,2 % e-mailové komunikace. Objevil se také nový phishingový trik, jak obejít spamové filtry. Podvodné odkazy a text zprávy byly namísto v těle e-mailu umístěny v přiloženém PDF dokumentu. Ukázala to čtvrtletní zpráva společnosti Kaspersky Lab „Spam and Phishing in Q3 2015“. Pokračovat ve čtení „Kaspersky: Spammeři v Q3 zneužívali prázdninová témata“

Trojský kůň falšuje selhání disku aby vám prodal defragmentovací program

Symantec upozorňuje na Trojan.Fakefrag, který falšuje selhání disku aby uživatel koupil defragmentovací program. Změny v systému vypadají dostatečně přesvědčivě a uživateli je pak nabídnut software za 79.50 USD.

Selhání disku Troj.Fakefrag oznámí uživateli „systémovou zprávou“  – ještě předtím ale přesune soubory z „All Users“ složky do jiného místa, skryje soubory v „Current Users“, znemožní změnit pozadí na ploše, zakáže spuštění Task Manager a s pomocí „HideIcons“ a „SuperHidden“ skryje některé ikony z plochy, smaže i historii prohlížeče, cookies a uložená jména a hesla – uživatel tak nejenom postrádá své soubory, ale vidí podivné chování systému.

Následuje nabídka na záchranu, spuštění Windows Recovery – ve skutečnosti aplikace, která nedělá vůbec nic, jenom hezky animuje neexistující činnost. Po skončení činnosti je uživateli nabídnuta koupě software za 79.50 USD (UltraDefragger).

Coreflood botnet odstaven, po zhruba deseti letech působení

Americké Ministerstvo spravedlnosti (DOJ) ve středu oznámilo zničení Coreflood botnet aktivit. Po skoro desetiletí působení soustřeďujícím se na krádeže osobních a  finančních informací od uživatelů.

„Coreflood“ je název řídícího programu, který ovládal rozsáhlou síť počítačů. Zásah DOJ vedl k zabavení pěti řídících serverů, 29 doménových jmen a vznesení obvinění proti 13 osobám. Ty jsou velmi pravděpodobně cizí národnosti. Coreflood aktivity mohly oběti připravit až o vice než 100 milionů dolarů.

Součástí odstavení sítě bylo i převzetí aktivit řídících serverů, zjištění adres všech ovládaných počítačů o odeslání pokynu k zastavení aktivit pro tyto počítače. DOJ tak učinil na základě soudního svolení a mírně paradoxní je, že pokyn k zastavení odeslal pouze do počítačů umístěných v USA. Počítače získané do Coreflood sítě ale zůstávají potenciální hrozbou – při každém novém spuštění takovéhoto počítače se software znovu aktivuje a může začít pracovat, případně může začít být ovládáno odjinud.

Podle Coreflood/AFcore Trojan Analysis jde o jednu z nejdéle a bez přerušení pracujících botnet aktivit s více než 378 tisící infikovanými počítači. Od jednoduchého software používaného k napadání IRC (Internet Relay Chat) serverů se Coreflood stal později nástrojem pro anonymní přístup k internetu. A nakonec se stal nástrojem pro krádež informací. Dařilo se mu, mimo jiné, vynikat i v míře nakažení rozsáhlých firemních sítí (viz obrázek zobrazující míru nakažení sítě velkého hotelového řetězce).

Nejvíce nebezpečné domény – COM, INFO, VN, CM, AM, CC

Každoročný zpráva McAfee mapující výskyt virů a škodlivého software na jednotlivé internetové domény přináši několik překvapení – .VN (Vietnam) se vyšvihl na třetí místo a .info se stalo ješětě více nebezpečným místem. Česká republika je stále na 54 místě.

Mapping the Mal Web (PDF, PDF z roku 2009) každoročně zveřejňuje žebříček domén podle rizikovosti – jaká je míra rizika, že na nich chytnete nějaký ten virus, malware, trojský kůň či jinak škodlivé software. A rok od roku upozorňuje, že se zvětšuje rizikovost při brouzdání po Internetu.

Míra rizika při brouzdání na Webu stoupá
Míra rizika při brouzdání na Webu stoupá

TOP 10 nebezpečných domén

Dávat si pozor při vstupu na .COM domény je složité – u ostatních domén je to už jednoduché. Prostě pokud uvidíte v odkazu podivné domény jako VN/CM/AM/CC/WS, postačí zvolit sebezáchovný pud a na danou doménu nejít. Překvapivý je vývoj u domény .INFO – ta se v míře nebezpečnosti posunula z pátého na druhé místo – hackery, spammery a škodiči je tedy stále oblíbenější.

Země/původ TLD Míra  nebezpečí Pozice v roce 2009
Komerční .COM 31,3% 2
Informační .INFO 30.7% 5
Vietnam .VN 29.4% 39
Kamerun .CM 22.2% 1
Arménie .AM 12,1% 23
Kokosové ostrovy .CC 10,5% 14
Asie/Pacifik .ASIA 10,3%
Síť .NET 10,1% 7
Rusko .RU 10,1% 9
Západní Samoa .WS 8,6% 7

Jak jsme na tom ve Východní Evropě

Kde je v žebříčku Česká republika? Jak můžete vidět v následujícím výňatku z celkové tabulky, jsme na 54 místě s mírou nebezpečnosti 0,6% – a na stejném místě jsme byli v roce 2009. Z 101 781 sledovaných českých domén jich rizikových bylo zjištěno 1 068.

Polsko na dvacátém místě bylo loni šedesáte.

Pozice v žebříčku Země TLD Míra nebezpečí
18 Rumunsko .RO 3,7%
20 Polsko .PL 3,4%
42 Slovensko .SK 0.9%
54 Česká republika .CZ 0,6%
65 Maďarsko .HU 0,4%