E-mailem se šíří viry s „kompenzací“ či „fakturou“. Zip uvnitř skrývá zajímavý JavaScript

E-mailem se opět šíří viry, které se sociálním inženýrstvím snaží dosáhnout otevření přílohy (tou je ZIP soubor) s následným otevřením obsahu. Dvojice souborů v ZIP obsažených ale není ani klasický výkonný soubor či často používaný spořič obrazovky. Najdete tam dva .js (JavaScript) soubory s obsahem, který je hodně důsledně rozdělován do řady rozsekaných textů a blok tak, aby bylo velmi obtížné poznat, co se vlastně bude dít.

2016-03-08 17_59_32-Centrum akcí

 

 

Varianta „kompenzace“. Níže varianta „faktura“.
V obou případech je v příloze ZIP s dvojici JavaScript souborů.
2016-03-08 18_20_08-Spam (421) - daniel@justit.cz - JustIT.cz Mail

 

VirusTotal tenhle vzorek detekuje prozatím alespoň ve dvou případech jako EUR.JS.Trojan.bJS/TrojanDownloader.Nemucod.ID. Windows Defender například nereaguje vůbec, ale to je poměrně obvyklá situace u nových věcí.

2016-03-08 18_02_31-Start

2016-03-08 18_03_01-view letter.865160137.js - Far 3.0.3367 x64

Spuštěním JavaScriptu dojde ke stažení a spuštění souborů z Internetu, samotný JavaScript v počítači žádné změny nedělá, je to opravdu jenom kod pro stažení dalších programů, které poslouží k napadení počítače.

E-mailem opět chodí falešné faktury obsahující, jak jinak, virus

Nová vlna „faktur“  v angličtině, majících řadu náhodných odesilatelů obsahuje přílohu v podobě dokumentu vypadajícího jako z Wordu, ale ve skutečnosti obsahující virus. Microsoft Defender ve Windows 10 klasicky o škodlivém obsahu nemá nejmenší ponětí, ale pokud zkusíte soubor předložíte některé z dostupných služeb na kontrolu na viry, tak velmi rychle zjistíte, že otevírat to by byl opravdu špatný nápad. Jedna z detekcí přitom ukazuje na W97M/Adnel, tedy škodlivé makro ve Wordu či Excelu.

2016-02-19 18_44_43-Spam (327) - daniel@justit.cz - JustIT.cz Mail

To se ve skutečnosti postará (za předpokladu že po otevření povolíte spuštění makra) o stažení samotného viru, což odpovídá i další detekci na Trojan-Downloader:W97M/Dridex.S – tradičně tento virus patří k těm, které jdou po přihlašovacích údajů do bankovnictví.

2016-02-19 18_46_31-Antivirus scan for 637026f5eddf5ccda31b3b88485d7e3dd8558d8c4e8b94b8be6cdd7b6d827

2016-02-19 18_54_28-view invoice_feb-12401412.doc - Far 3.0.3367 x64

Dodatek 12 hodin po vydání. Windows Defender už virus detekuje, označuje jako ho jako W97M/Bartallex.

2016-02-20 07_56_08-Windows Defender

 

Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně

V ESET (a nejenom tam) mu říkají Kryptik a dostat se k vám může snadno v podobě ZIP přílohy, ze které na vás vypadne .js (JavaScript soubor). Je dost jisté, že něco takového si pořídit nechcete. Ale je dost jisté, že nějaká naivní osoba to otevře, rozbalí a spustí. Pokračovat ve čtení „Falešná faktura či objednávka ve které najdete, jak jinak, trojského koně“

Kaspersky: Spammeři v Q3 zneužívali prázdninová témata

Spam ve třetím čtvrtletí letošního roku tvořil 54,2 % e-mailové komunikace. Objevil se také nový phishingový trik, jak obejít spamové filtry. Podvodné odkazy a text zprávy byly namísto v těle e-mailu umístěny v přiloženém PDF dokumentu. Ukázala to čtvrtletní zpráva společnosti Kaspersky Lab „Spam and Phishing in Q3 2015“. Pokračovat ve čtení „Kaspersky: Spammeři v Q3 zneužívali prázdninová témata“

Uživatelé Androidu i iPhone mají dvakrát větší pravděpodobnost potkat malware

Lookout upozorňuje, že uživatelé Androidu mají dnes 2.5 větší pravděpodobnost potkání malware, než tomu bylo před šesti měsíci. Lookout sice poskytl konkrétní data hlavně pro Android, ale u iPhone předpokládá zhruba stejně velký růst hrozby malware.

Hlavní hrozbou pro dnešní chytré telefony je samotný Internet, uvádí Lookout v Mobile Threat Report – uživatelé mobilních telefonů jsou ohroženi stejnými mechanismy jako weboví uživatelé – hlavně faktem, že klikají na odkazy ve zprávách na Facebooku, textových zprávách, tweetech z Twitteru i v e-mailech. Jakkoliv jim nehrozí nebezpečí od klasických hrozeb využívajících chyby v prohlížečích, ohrožení phishingem (rhybařením) je stejně reálné jako na klasických počítačích.

Lookout vychází z aktivit ve své aplikaci, kterou používá přes 700 tisíc uživatelů na Android a iPhone – na první jmenovaný nabízí Lookout aplikaci dostupnou zdarma i za peníze, na iOS je aplikaci možné pouze zakoupit.

Lookout upozorňuje, že za první polovinu roku se na Androidu malware nakazilo zhruba půl milionu uživatelů – největší hrozbou byl DroidDream (březen a července) a GGTracker. DroidDream se vyskytl ve více jak osmdesáti různorodých aplikacích, často i v podobě falešných kopií skutečných aplikací. GGTracker uživatele přihlašoval k prémiové SMS službě a přímo je tak připravoval o peníze – ukázka toho, jak důležité je důkladně sledovat práva, která mobilní aplikace vyžaduje při instalaci.

Zdroj: 2011 Mobile Threat Report Finds Users Are 2.5x as Likely to Encounter Malware

FacebookUpdate.exe – dáreček co vám Facebook vloží do počítače

Facebook Video chat od Skype instaluje do systému bez vašeho vědomí software pro automatickou aktualizaci. Odinstalací videochatu se tohoto software navíc nezbavíte. Virus to není a s jistotou pochází od Facebooku.

Možná se vám jednoho dne podaří v přehledu spuštěných úloh na Windows zahlédnout FacebookUpdate.exe – a budete se divit, co to vlastně je. A pátrat, jestli to není virus. Virus to není, tedy pokud pro vás označení „virus“ nesplňuje i software, který Facebook Inc. propašoval bez vašeho vědomí do vašeho počítače při instalaci video chatu. Toho „video chatu“ co před pár dny Facebook spustil ve spolupráci se Skype.

Pokud máte pochybnosti o původu software, tak je zcela jisté, že je instalován v okamžiku instalace aplikace pro video chat od Skype (odzkoušeno mimo jiné i v čistém virtuálním stroji).

Pokud si na www.facebook.com/videocalling aktivujete video chat, budete si muset stáhnout instalační program FacebookVideoCallSetup (jméno ještě doplňuje označení aktuální verze). Ten zdánlivě instaluje jenom video chat (tedy něco na způsob „Skype Lite“). Ve skutečnosti vám ale do systému přihodí ještě FacebookUpdate.exe a FacebookCrashHandler.exe. První jmenovaný se čas od času spouští, samozřejmě aniž byste o tom cokoliv věděli.

Výpis adresáře :Users<uživatel>AppDataLocalFacebookUpdate

14.07.2011 06:51 <DIR> 1.2.201.0
14.07.2011 06:51 <DIR> 1.2.203.0
15.07.2011 06:29 <DIR> Download
14.07.2011 06:51 137 536 FacebookUpdate.exe
14.07.2011 06:51 <DIR> Manifest

Na disku tenhle „dáreček“ najdete v AppData, tedy někde, kde byste instalované programy moc neočekávali. A FacebookUpdate.exe tam zpravidla najdete v několika kopiích. Mezi instalovanými programy najdete jenom „Facebook Video Calling“ (autor: Skype), po nějakém aktualizačním programu Facebooku tam nepátrejte. A odinstalace „Facebook Video Calling“ vám neodinstaluje FacebookUpdate.exe – ten je prostě v systému nainstalovaný natrvalo.

V počítači se tenhle dáreček navíc zabydlel v HKCUSoftwareMicrosoftWindowsCurrentVersionRun a dvakrát v naplánovaných úlohách – spouští se každý den.

1) FacebookUpdate.exe /ua /installsource scheduler

2) FacebookUpdate.exe /c /nocrashserver

Zajímavá je na tomhle vetřeli i další věc – je založený na Google Update (respektive na http://code.google.com/p/omaha/).  Soubory jsou digitálně podepsány a certifikát odpovídá certifikátu Facebooku.

Pokud chcete vědět víc, tak zde najdete kompletní analýzu toho, co se po instalaci Facebook Video Calling (Skype Lite) vlastně stalo. Není toho málo.

Jak se FacebookUpdate.exe zbavit?

FacebookUpdate.exe postrádá odstinstalaci, takže jediné co můžete udělat je smazat složku, ve které se zabydlelo – Users<uživatel>AppDataLocalFacebookUpdate

Tím se sice zbavíte dotěrného programu sloužícího neznámému účelu, ale stále poněm zbydou v systému další stopy.

Musíte odstranit dva záznamy v Plánovači úloh a pomocí Registry Editoru se zbavit následujících záznamů

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

a

HKEY_CURRENT_USERSoftwareClassesCLSID{2F0E2680-9FF5-43C0-B76E-114A56E93598}

Žádné další výskyty se mi prozatím nepodařilo najít.