Rychlé vyhledávání

Reklama

Revised Invoice (20130226)

První výskyt: 02.2013

Text hoaxu

Good day,
Please find attached the copy of the bank transfer slip, kindly confirm that your bank information is correct. The fund will be in your account in three days.
 
Kindly provide latest quotes for the attached revised invoice and catalog for our clients.
Anticipating your urgent response. Thank you.
Best Regards,
 
MRS. CAROLL RAMIREZ
(Finance & Control Director)
EBX GROUP

Vzhled e-mailu

Poznámka redaktora

Další pokus o šíření škodlivého kódu.

K e-mailu je přiložen soubor Payment for revised invoice.zip, který po rozbalení obsahuje Payment for revised invoice.scr - příloha scr se požívá pro spořič obrazovky, je nepravděpodobné, že by někdo tímto způsobem chtěl ověřeovat platbu. Protože je tento typ souboru možné spustit, může si neopatrný zvědavý uživatel snadno infikovat počítač.

Při testu souboru na stránkách Virustotal (26.2.2013 14:43) ho úspěšně detekovalo pouze 8 ze 46 antivirů jako trojského koně.


Vzhled ikony spustitelného infikovaného souboru po rozbalení

Jak nastavit zobrazování skrytých přípon - Odškrtnutí pole "Skrýt příponu souborů známých typů".

Vyjádření odborníka nebo zainteresované osoby


Vzorek je zabalen Visual Basic cryptorem. Původně byl napsán patrně v jazyce C.

Co se týče chování, je zhruba následující:

  • nakopiruje se do složky %appdata%\<5-6 znaku> a spusti svou novou instanci v tomto umístění
  • vytvoří .bat soubor v %tmp%, ukončí se a dávka soubor z původního umístění smaže
  • injektuje některé procesy ve Windows, zejména explorer.exe, který slouží jako hostitel pro vir v momentě, kdy se instance z %appdata% ukončí
  • skze explorer.exe se připojuje na adresu just4win.servfr.net, která je registrována v Panamě
  • explorer.exe také dále zajišťuje, aby se v Run klíči v registrech neustále obnovovala cesta k souboru viru v %appdata%
  • z internetu stahuje zakryptovaná data a nazpět posílá osobní informace, např. seznam kontaktů z emailového klienta

S pozdravem,

Radim Raszka
AVG Technologies


Adresa stránky: http://www.hoax.cz/malware/revised-invoice-20130226/
Alternativní odkaz: http://www.hoax.cz/index.php?section=malware&action=hoax_detail&id=1247

Generální partner

E S E T - ENJOY SAFER TECHNOLOGY

Naši partneři

Týdny mediálního vzdělávání - NA PRAVDĚ ZÁLEŽÍ
Projekt E-Bezpečí
MANIPULÁTOŘI.CZ
Internetem Bezpečně
Konference SECURITY
Hustej INTERNET
NEŠLAPE.CZ - NEŠLAPE Vám počítač? Odvirování PC, zrychlení počítače, ...
Viry.cz
PARANOIA.CZ
AVAST!
Check Point
Safer Internet
ToolStore - Nářadí, nástroje, pomůcky, nože, kvalitní rukavice

Podpořte nás

Bitcoin:
Bitcoin: 183jkMBfXdzYzK93vUPmrchohjLtLb3sDn
Bitcoin adresa:
183jkMBfXdzYzK93vUPmrchohjLtLb3sDn

Ikona pro Vás

HOAX.cz

Hoax.cz je archivován

WebArchiv - archiv českého webu

Doporučujeme

ZvolSi INFO - Surfařův průvodce po internetu
No More Ransom! Dekryptovací nástroje.
Právě dnes
RigoloKids - kvalitní dětské oblečení a doplňky z prémiových materiálů
Antivirové centrum
ER.cz - Přesměrování pro Váš web zdarma
CZilla
soom.cz
IMPROVE ACADEMY s.r.o.
Holičství, pánské kadeřnictví v Třebíči
Včelařství Špaček - kvalitní med a včelí produkty
Jógové studio Marcel Třebíč Havlíčkovo náb. 37
JÓGA TŘEBÍČ Jógové centrum v Třebíči.
Jóga s Pepou pro začátečníky a pokročilé