Nie, nie mamy tutaj na myśli programu emitowanego na Discovery Turbo Xtra, lecz kolejną kampanię spamerską, a może i jedną i tą samą, która nieprzerwanie pod różnymi postaciami nęka polskich internautów.
W tym przypadku, dzięki Marcinowi (dzięki) dotarła do nas próbka spamu, która trafiła na skrzynkę pocztową naszego czytelnika. Marcin mając pewne wątpliwości co do wiarygodności tej wiadomości (zresztą i słusznie), zechciał ją za naszym pośrednictwem wcześniej zweryfikować.
W ostatnim czasie większość z nas była świadkiem pośrednim lub bezpośrednim dobrze napisanych i ukierunkowanych spamerskich kampanii, a atakowano m.in kancelarie prawne, ale także klientów biznesowych prowadzących działalność handlową za pośrednictwem serwisu aukcyjnego Allegro.pl
Ten przypadek jest bardzo podobny do innych, w zasadzie nie różni się niczym od innych tego typu, poza załącznikiem, na które założone jest hasło. A oto oryginalna wiadomość:
Temat: wezwanie do zaplaty, windykacja Wysłano: 1 paź 2015 1:50 PM Od: Tomasz Sawicki <[email protected]> Do: *** Szanowni Panstwo, Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty oraz ewentualna propozycje ugody. Haslo do zalacznika: windykacja -- Tomasz Sawicki Kancelaria Sawicki&Partnerzy S.A. Kolarska 10 50-003 Wroclaw
Jak rozpoznać poprawność takiej wiadomości?
1. Szanująca się kancelaria, ale nawet osoba prywatna, używa języka polskiego stosując znaki diakrytyczne. Tutaj takich nie znajdziemy.
2. Będąc adresatem takiej wiadomości zweryfikuj dane kancelarii oraz ich właścicieli. O ile informacje o Kancelarii Sawicki faktycznie znajdują się w sieci, to nie znajdziemy tam ani Tomasza, ani ulicy Kolarskiej 10 we Wrocławiu, która de facto nie istnieje.
3. Jakiekolwiek załączniki przesłane od kancelarii niekoniecznie będą zawierać archiwum z hasłem. Poza tym, jaki jest sens wysyłać zaszyfrowane archiwum z hasłem w tej samej wiadomości?
4. Czy może toczyć się postępowanie karne wobec Ciebie? Jeżeli nie, już sam ten fakt mówi, że jest to zapewne spam.
5. Archiwum zawsze możesz podejrzeć bez uruchamiania pliku wykonywalnego. Otworzenie archiwum (ZIP, RAR, etc; lecz nie SFX) i wpisanie hasła wyświetli jego zawartość i zdradzi, że ów plik zawiera podwójne rozszerzenie .pdf.scr
Plik windykacja_nr_803.pdf.scr obecnie wykrywany jest przez kilkanaście programów antywirusowych według serwisu VirusTotal, który jest tylko wyznacznikiem i nie odzwierciedla faktycznej skuteczności programów antywirusowych.
Analiza pliku na VT: https://www.virustotal.com/pl/file/19f665f7530e004a38dd6ce7d9c04dabb87646d3a52f23f661bd51b326208811/analysis/
Plik został spakowany programem Armadillo, przez co autorowi tego złośliwego oprogramowania udało się zmniejszyć jego rozmiar. Użycie takiego programu może antywirusowi mówić o tym, że ów plik jest złośliwy – metodę tą bardzo często stosują autorzy rożnego rodzaju malware, jednak nie musi to oznaczać, że każdy spakowany plik za pomocą packera musi być złośliwy.
Również jego analiza okazuje się utrudniona, gdyż autor pliku windykacja_nr_803.pdf.scr zastosował pewne techniki, które wykrywają uruchomienie na wirtualnym systemie utrudniając swoją analizę i powoduje, że wirus nie uruchomi swojego szkodliwego ładunku i nie zadziałają narzędzia do debugowania.
Sam plik windykacja_nr_803.pdf.scr również nie musi być docelowym złośliwym wirusem, a jedynie dropperem, czyli programem, który przenosi / pobiera z sieci i uruchamia docelowe szkodliwe oprogramowanie, np. trojana bankowego.
Jeszcze raz ostrzegamy, aby w podobnych przypadkach dokładnie sprawdzić pochodzenie wiadomości oraz jej ewentualną wiarygodność.
P.S Jeżeli dostaliście na skrzynkę pocztową ciekawy spam będący próbą oszustwa, wyślijcie go nam na adres [email protected] lub podzielcie się tym na forum: http://avlab.pl/forum/malware-spam-i-podatnosci
