Wprawdzie nie planowałem, ale właśnie dotarł do mnie nowy SPAM, który stara się nakłonić do instalacji „dodatkowe oprogramowania” na moim komputerze. Pewnie bym się tym specjalnie nie przejął, gdyby nie to, że „przesyłka” dotarła na jeden z moich „mniej popularnych, mniej publicznych” adresów e-mail – a więc być może ktoś znajomy „oberwał”.
Spis treści w artykule
Micros0ft License i „potwierdzenie odnowienia licencji”
E-mail przeszedł od „Micros0ft License” – zero (0) w nazwie zapewne nieprzypadkowe – i mogę się z niego dowiedzieć, że „moja licencja Microsoft” zakończy się za kilka dni, więc została automatycznie odnowiona – co spowodowało wystawienie faktury VAT:
Potwierdzenie odnowienia licencji
Szanowny kliencie,
Licencja Microsoft zakończy się w kilka dni. W rezultacie, mamy automatycznie odnawiana licencję zgodnie z warunkami w naszym regulaminem użytkownika, które można znaleźć na naszej stronie internetowej.
Oto kopia za faktury dla tej transakcji.
Pozdrawiam,
Lotis B,
Pomoc Przedstawiciel
MicrosoftPoufność Wskazówki | Ta wiadomość e-mail, w tym jej załączników, jest do wyłącznego użytku odbiorcy (-ów) i może zawierać informacje poufne lub zastrzeżone. Bezprawne opinię, wykorzystywanie, ujawnianie lub rozpowszechnianie jest zabronione. Jeśli nie jesteś zamierzonym adresatem, należy natychmiast skontaktować się z nadawcą wg odpowiedzi e-mail i zniszczyć wszystkie kopie oryginalnej wiadomości.
Oczywiście jest to totalna bzdura i „finansowy straszak” w postaci „wystawionej faktury VAT” ma za zadanie „zmotywować” do kliknięcia w link i pobrania „faktury”, która „dziwnym trafem” nie jest ani plikiem PDF, ani DOC, ani nawet JPG czy PNG…
Faktura.exe
Gdy zdecydujecie się klikną w link – co zawsze odradzam, ja najpierw sprawdziłem „co się dzieje” za pomocą wirtualnej maszyny, którą „po wszystkim” przywróciłem do pierwotnego stanu – zostaniecie przekierowani do pliku „faktura.exe”, który raczej na pewno nie ma dobrych zamiarów.
VirusTotal
W sytuacji, gdy macie plik co do którego są jakieś wątpliwości, warto skorzystać z usług typu VirusTotal, które przeanalizują dany plik większością najpopularniejszych rozwiązań antywirusowych.
SHA256: 8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6
Nazwa pliku: Faktura.exe
Współczynnik wykrycia: 2 / 57
Data analizy: 2015-03-06 12:56:28 UTC ( 0 minut temu )
Jak widać – program wg serwisu/usługi VirusTotal wykrywają obecnie tylko dwa programy:
Malwarebytes: PUP.Optional.Firseria 20150306
Qihoo-360: HEUR/QVM42.0.Malware.Gen 20150306
Klikamy i wirusa pobieramy
Pierwszy test robiłem na wirtualnej maszynie z testową wersją systemu Windows 10, gdzie Windows Defender zablokował pobieranie pliku.
W przypadku systemu Windows 7 pierwszym ogniwem zabezpieczenia okazała się przeglądarka Google Chrome, która zablokowała możliwość wejścia na stronę:
Na następnej stronie znajdują się szkodliwe programy
Osoby dokonujące ataków na stronie www(kropeczka)jbp(kropeczka)dekalog(kropeczka)pl mogą podstępem próbować nakłonić Cię do zainstalowania programów obniżających jakość przeglądania internetu (np. zmieniających stronę główną lub powodujących pokazywanie dodatkowych reklam na stronach, na które wchodzisz).
Natomiast Firefox jeszcze taka blokada się nie pojawiła. Z kolei Microsoft Security Essentials nie zareagował na plik, mimo, że – wydawałoby się – może on mieć bliźniacze sygnatury zagrożeń co Windows Defender…
[Aktualizacja 2015.03.08]
A gdy na prewencję już za późno…
W sytuacji gdy już zdążyliście uruchomić plik, a Wasz antywirus Was przed tym nie powstrzymał – trzeba działać. Oczywiście można ręcznie próbować zidentyfikować zmiany wprowadzone przez „faktura.exe” m.in. w rejestrze i w systemie plików – to jest to jednak zadanie dla bardziej zaawansowanych użytkowników…
Tu informacje z analizy zachowania przeprowadzona przez VirusTotal podczas skanowania pliku:
Opened files \\.\PIPE\lsarpc (successful) \\.\MountPointManager (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsg1.tmp (successful) C:\8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (failed) C:\Documents and Settings\<USER>\Application Data\04 - Ocean Breathes Salty.mp3 (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\jalaps.dll (successful) Read files C:\8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (successful) C:\Documents and Settings\<USER>\Application Data\04 - Ocean Breathes Salty.mp3 (successful) Written files C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (successful) C:\Documents and Settings\<USER>\Application Data\04 - Ocean Breathes Salty.mp3 (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\jalaps.dll (successful) Deleted files C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsg1.tmp (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\jalaps.dll (successful) C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (successful) Created processes C:\8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (successful) Code injections in the following processes 8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (failed) Created mutexes gcc-shmem-tdm2-use_fc_key (successful) gcc-shmem-tdm2-sjlj_once (successful) gcc-shmem-tdm2-fc_key (successful) Opened mutexes ShimCacheMutex (successful) Runtime DLLs shfolder (successful) ole32.dll (successful) setupapi.dll (successful) rpcrt4.dll (successful) shell32.dll (successful) secur32.dll (successful) advapi32.dll (successful) UDP communications 134.170.185.211:123
Mniej zaawansowani użytkownicy komputerów mogą spróbować rozwiązań bardziej zautomatyzowanych:
Zaktualizuj program antywirusowy
Warto sprawdzić, czy nie ma aktualizacji baz danych i przeskanować ponownie system. Kilka testów „empirycznych” wykazało, że dziś już więcej programów wykrywa to zagrożenie.
Zainstaluj inny program antywirusowy
Można zainstalować któryś z antywirusów wykrywających zagrożenie. Choćby w wersji demo, czy darmowy Microsoft Security Essentials, który dziś już wykrywa zagrożenie
Skorzystaj z dodatkowych narzędzi
Można skorzystać z dodatkowych narzędzie, które wprawdzie nie są typowymi antywirusami, ale specjalizują się właśnie w usuwaniu „wszelkiej maści syfu” z systemu, np.:
Przywracanie systemu
Możesz również skorzystać z wbudowanej w system operacyjny opcji przywracania systemu do wcześniejszych ustawień:
- Start > Wszystkie programy > Akcesoria > Narzędzia systemowe > Przywracanie systemu
Choć może to być rozwiązanie dość brutalne, to w wielu sytuacjach sprawdza się bardzo dobrze…
Ostatnia rada – choć bardziej na przyszłość:
Zastanów się nic coś uruchomisz, klikniesz!
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
No dobrze ale co zrobic jak przez przypadek/zmeczenie niestety nacisnelam na to exe. Gdzie to sie moglo zagniezdzic i jak sie go pozbyc?
Z racji tego, że prewencja była moim priorytetem to na tym skupiłem się w pierwszej chwili. Teraz – po kilku testach, nowych aktualizacjach baz antywirusów – dodałem do wpisu aktualizację, która powinna pomóc przy pozbyciu się z systemu niechcianego oprogramowania/syfu…