Wprawdzie nie planowałem, ale właśnie dotarł do mnie nowy SPAM, który stara się nakłonić do instalacji „dodatkowe oprogramowania” na moim komputerze. Pewnie bym się tym specjalnie nie przejął, gdyby nie to, że „przesyłka” dotarła na jeden z moich „mniej popularnych, mniej publicznych” adresów e-mail – a więc być może ktoś znajomy „oberwał”.

Micros0ft License i „potwierdzenie odnowienia licencji”

E-mail przeszedł od „Micros0ft License” – zero (0) w nazwie zapewne nieprzypadkowe – i mogę się z niego dowiedzieć, że „moja licencja Microsoft” zakończy się za kilka dni, więc została automatycznie odnowiona – co spowodowało wystawienie faktury VAT:

Potwierdzenie odnowienia licencji

Szanowny kliencie,

Licencja Microsoft zakończy się w kilka dni. W rezultacie, mamy automatycznie odnawiana licencję zgodnie z warunkami w naszym regulaminem użytkownika, które można znaleźć na naszej stronie internetowej.

Oto kopia za faktury dla tej transakcji.

Pozdrawiam,

Lotis B,
Pomoc Przedstawiciel
Microsoft

Poufność Wskazówki | Ta wiadomość e-mail, w tym jej załączników, jest do wyłącznego użytku odbiorcy (-ów) i może zawierać informacje poufne lub zastrzeżone. Bezprawne opinię, wykorzystywanie, ujawnianie lub rozpowszechnianie jest zabronione. Jeśli nie jesteś zamierzonym adresatem, należy natychmiast skontaktować się z nadawcą wg odpowiedzi e-mail i zniszczyć wszystkie kopie oryginalnej wiadomości.

Oczywiście jest to totalna bzdura i „finansowy straszak” w postaci „wystawionej faktury VAT” ma za zadanie „zmotywować” do kliknięcia w link i pobrania „faktury”, która „dziwnym trafem” nie jest ani plikiem PDF, ani DOC, ani nawet JPG czy PNG…

Faktura.exe

Gdy zdecydujecie się klikną w link – co zawsze odradzam, ja najpierw sprawdziłem „co się dzieje” za pomocą wirtualnej maszyny, którą „po wszystkim” przywróciłem do pierwotnego stanu – zostaniecie przekierowani do pliku „faktura.exe”, który raczej na pewno nie ma dobrych zamiarów.

VirusTotal

W sytuacji, gdy macie plik co do którego są jakieś wątpliwości, warto skorzystać z usług typu VirusTotal, które przeanalizują dany plik większością najpopularniejszych rozwiązań antywirusowych.

Wynik skanowania pliku „faktura.exe” znajdziecie pod tym linkiem, a poniżej jeszcze tylko garść szczegółów:

 

virustotal_faktura-exe_20150306

SHA256: 8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6
Nazwa pliku: Faktura.exe
Współczynnik wykrycia: 2 / 57
Data analizy: 2015-03-06 12:56:28 UTC ( 0 minut temu )

Jak widać – program wg serwisu/usługi VirusTotal wykrywają obecnie tylko dwa programy:

Malwarebytes: PUP.Optional.Firseria 20150306
Qihoo-360: HEUR/QVM42.0.Malware.Gen 20150306

Klikamy i wirusa pobieramy

Pierwszy test robiłem na wirtualnej maszynie z testową wersją systemu Windows 10, gdzie Windows Defender zablokował pobieranie pliku.

W przypadku systemu Windows 7 pierwszym ogniwem zabezpieczenia okazała się przeglądarka Google Chrome, która zablokowała możliwość wejścia na stronę:

Na następnej stronie znajdują się szkodliwe programy

Osoby dokonujące ataków na stronie www(kropeczka)jbp(kropeczka)dekalog(kropeczka)pl mogą podstępem próbować nakłonić Cię do zainstalowania programów obniżających jakość przeglądania internetu (np. zmieniających stronę główną lub powodujących pokazywanie dodatkowych reklam na stronach, na które wchodzisz).

Natomiast Firefox jeszcze taka blokada się nie pojawiła. Z kolei Microsoft Security Essentials nie zareagował na plik, mimo, że – wydawałoby się – może on mieć bliźniacze sygnatury zagrożeń co Windows Defender…

[Aktualizacja 2015.03.08]

A gdy na prewencję już za późno…

W sytuacji gdy już zdążyliście uruchomić plik, a Wasz antywirus Was przed tym nie powstrzymał – trzeba działać. Oczywiście można ręcznie próbować zidentyfikować zmiany wprowadzone przez „faktura.exe” m.in. w rejestrze i w systemie plików – to jest to jednak zadanie dla bardziej zaawansowanych użytkowników…

Tu informacje z analizy zachowania przeprowadzona przez VirusTotal podczas skanowania pliku:

Opened files
\\.\PIPE\lsarpc (successful)
\\.\MountPointManager (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsg1.tmp (successful)
C:\8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (failed)
C:\Documents and Settings\<USER>\Application Data\04 - Ocean Breathes Salty.mp3 (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\jalaps.dll (successful)

Read files
C:\8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (successful)
C:\Documents and Settings\<USER>\Application Data\04 - Ocean Breathes Salty.mp3 (successful)

Written files
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (successful)
C:\Documents and Settings\<USER>\Application Data\04 - Ocean Breathes Salty.mp3 (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\jalaps.dll (successful)

Deleted files
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsg1.tmp (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\jalaps.dll (successful)
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsq2.tmp\UserInfo.dll (successful)

Created processes
C:\8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (successful)

Code injections in the following processes
8e6264186b25c21d5d0725d501969048f664923f8cc30ac207043eb0d1ba5bc6 (failed)

Created mutexes
gcc-shmem-tdm2-use_fc_key (successful)
gcc-shmem-tdm2-sjlj_once (successful)
gcc-shmem-tdm2-fc_key (successful)

Opened mutexes
ShimCacheMutex (successful)

Runtime DLLs
shfolder (successful)
ole32.dll (successful)
setupapi.dll (successful)
rpcrt4.dll (successful)
shell32.dll (successful)
secur32.dll (successful)
advapi32.dll (successful)

UDP communications
134.170.185.211:123

Mniej zaawansowani użytkownicy komputerów mogą spróbować rozwiązań bardziej zautomatyzowanych:

Zaktualizuj program antywirusowy

Warto sprawdzić, czy nie ma aktualizacji baz danych i przeskanować ponownie system. Kilka testów „empirycznych” wykazało, że dziś już więcej programów wykrywa to zagrożenie.

Zainstaluj inny program antywirusowy

Można zainstalować któryś z antywirusów wykrywających zagrożenie. Choćby w wersji demo, czy darmowy Microsoft Security Essentials, który dziś już wykrywa zagrożenie

Skorzystaj z dodatkowych narzędzi

Można skorzystać z dodatkowych narzędzie, które wprawdzie nie są typowymi antywirusami, ale specjalizują się właśnie w usuwaniu „wszelkiej maści syfu” z systemu, np.:

Przywracanie systemu

Możesz również skorzystać z wbudowanej w system operacyjny opcji przywracania systemu do wcześniejszych ustawień:

  • Start > Wszystkie programy > Akcesoria > Narzędzia systemowe > Przywracanie systemu

Choć może to być rozwiązanie dość brutalne, to w wielu sytuacjach sprawdza się bardzo dobrze…

Ostatnia rada – choć bardziej na przyszłość:

Zastanów się nic coś uruchomisz, klikniesz!

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk