Nebezpečná příloha Emailu

[ByCzech]

Nekde tu mam tipnutej screen ... windows server 2k8 ... aktualizace to !JEN! hledalo ... 3 hodiny.

Tak to je pohoda, posledně se kámošce dělaly aktualizace přes 3,5 dne . A to byla ráda, že je ráda.

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.

A co bys jako nechtel ... kdyz ti mailem poslu "cmd /c /q format /q c:" .... tak na tom prece neni nic, co by mel nejakej antivirak detekovat. Jak rikam, antivirak je vyhradne zpomalovac systemu, nic vic. Maximalne na usera vyskoci nejaky hlaseni, a on klipne na ano, chci to spustit. Proste proto, ze se ho to pta porad dokola u kazdy ptakoviny.

No tohle není jen příkaz zaslaný emailem (btw. to co popisuješ se ve Windows nespustí, takže detekovat netřeba). To jsou poněkud sofistokovanější brebery a očividně je nějaké antiviry znají půl roku až rok. Navíc ta jedna potvora si tahá normální exáč z netu navíc. Tak kdyby chytaly aspoň tohle, že jo.

Co hur, vsechny antiviraky ti budou hlasit klidne i naprosto neskodny cracky.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.

Jednoduse je to dany od zacatku chorym systemem od M$, ze spustit se da vsechno.

Nejen to, ono to často vypadá, jako by ta různá API navrhovali přímo jako pozvánku pro malware
 Kdyz ti na tuxovi neco vynada, ze to nema opravneni ke spusteni, tak i ten blbej user zbystri, protoze takovou hlasku nejspis nikdy nevidel a nejspis ani nevi, jak tomu ty prava dat.

Jo mimochodem, zakos mel toho sifrovaciho ... proste prisel v mailu odkaz "faktura", dotycna si stahla a spustila ... eset ho (na nas report) znal za tyden ... nez sme to vypli, tak stacil zasifrovat cca 150k souboru, obnovili sme je za zalohy, takze tvurce nevydelal ... . Ale hlavne ze na vsech widlostrojich ten eset je, zejo ....

No hlavně že je zaplacený ten ESET a vydělal tvůrce AV, to je nejdůležitější

[Reklama]

[aaa]

Ide o Cerber ransomware.Zasifruje to subory a potom odkaze na Tor (http://ffoqr3ug7m726zou.onion). V jednom pripade sa stahuje
hxxp://www.czetcoola.top/admin.php?f=2.dat
a v druhom sa cez powershell spusta:
hxxp://hqtrssx.top/search.php?f=x2.dat

To je upravy Nullsoft installer, co sa spusti. Po zasifrovani suborov to odkaze na nieco ako:
hxxp://ffoqr3ug7m726zou.onion/163A-3455-6F4D-0446-81C5
co je user-friendly stranka, ktora prevedie uzivatela procesom dekryptovania. Cena je 3 bitcoiny do 5 dni, potom 6 bitcoinov.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.

Niekedy staci sa pozriet na velkost cracku a nieco to napovie. Tusim to bol RELOADED, co raz za cas spravil z 30kB EXE suboru rovno 15MB subor, ktory vyzadoval prava admina a bezal na pozadi aj po vypnuti hry. A k tomu navod, ze je treba vypnut antivir.

[ByCzech]

Ide o Cerber ransomware.Zasifruje to subory a potom odkaze na Tor (http://ffoqr3ug7m726zou.onion). V jednom pripade sa stahuje
hxxp://www.czetcoola.top/admin.php?f=2.dat
a v druhom sa cez powershell spusta:
hxxp://hqtrssx.top/search.php?f=x2.dat

To je upravy Nullsoft installer, co sa spusti. Po zasifrovani suborov to odkaze na nieco ako:
hxxp://ffoqr3ug7m726zou.onion/163A-3455-6F4D-0446-81C5
co je user-friendly stranka, ktora prevedie uzivatela procesom dekryptovania. Cena je 3 bitcoiny do 5 dni, potom 6 bitcoinov.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.

Niekedy staci sa pozriet na velkost cracku a nieco to napovie. Tusim to bol RELOADED, co raz za cas spravil z 30kB EXE suboru rovno 15MB subor, ktory vyzadoval prava admina a bezal na pozadi aj po vypnuti hry. A k tomu navod, ze je treba vypnut antivir.

Netvrdím, že k mnoha crackům není přibalený i malware. Bývá.

[Lisak]

Typicky uzivatel utlouku ti otevre/spusti jakoukoli prilohu, zejmena takove u kterych je na prvni pohled zrejme ze muze byt neco v neporadku.

Takze oni nejsou zoufali, jen vyuzivaj patricne dovednosti objeti

Typický uživatel offline klienta (Outlook,Thunderbird )  náhledová okna jsou lahůdka.

[j]

Netvrdím, že k mnoha crackům není přibalený i malware. Bývá.

Ale ne od tvurce cracku ...

Pripadu, kdy crack (vcetne hlavicky - treba zmineny RELOADED) vydal primo tvurce gamesky, jako reseni toho, ze se ta hra spoustela treba 1/2 hodiny, taky neni zrovna malo. Chces si zahrat gamesu, kterou sis !koupil!, a ktera (pochopitelne naprosto nezbytne) vyzadovala M$ game for win? Smolik, M$ to zrusil ... nezahrajes si.

A zase sme u neschopnosti widli ... procpak treba widle neumej pro konkretni binarku omezit opravneni do konkretnich adresaru? Jak je mozny, ze je zcela bezny, ze kazda druha appka instaluje do \windows Zrovna nedavno sem narazil na takovou gamesu, ktera tam chtela v ramci "proticheatovaci" manie neco zapisovat, tak sem ji terminoval. A to nemluvim o M$ opicich a defakto 100% jejich veci, ktery zapisujou uplne vsude. Pak nema bejt celej system vecne rozmrdanej.

[Reklama]

[Radovan.]

Tak ať je větší sranda, před pár dny se mi v ~ objevil spustitelný soubor .tar, samozřejmě ELF a nikterak neznámý: https://virustotal.com/cs/file/853287b5380c414a938bd53ddd9923a5c5b12fa18809b3e8c927530391bf043e/analysis/
Víc jsem ho nezkoumal, víte někdo co je to zač? Mám ho uložený, kdyby ho někdo chtěl poslat.

[JardaP .]

Radovan: Me na tom nejvic zaujalo to, ze pises, ze se objevil v ~. Objevil jak, odkud?

[Radovan.]

Já jsem ho tam určitě nedal, vlezl mi tam z netu, netuším odkud
Co si matně vzpomínám, tak v době odpovídající času souboru jsem nelezl nikam kde by něco hrozilo, maximálně tak na play.cz a sem. Žádné maily jsem nečetl, a spouštěl akorát DOSBox.

[JardaP .]

@Radovan: A kde presne v ~ se objevil?

[Radovan.]

Přímo v domovském adresáři uživatele, vedle těchhle:
.Xauthority
.Xresources
.bash_history
.bashrc
.bbkeysrc
.blackboxrc
.dmrc
.fonts.conf
Víc tam toho nemám, protože jedu na Slaxu zkopírovaném do RAM z liveCD, takže jsem to okamžitě "odviroval" tlačítkem Reset
Disk jsem další den projel, ale žádné změny jsem nenašel, takže netuším jestli se to vůbec spustilo nebo jenom uložilo.

[javaman ()]

Na mě to spíš působí, že jsi nikdy s Linuxem nedělal a píšeš nemysly Vůbec to nedává smysl, kámo.

[Radovan.]

Soráč javalopato, ale s Linuxem jsem si začal někdy před patnácti lety, a posledních deset nic jiného už nepoužívám. Stáhni, vypal a nabootuj Slax, ať víš o čem píšu.

[javaman ()]

Tak je smutné, že jsi po tolika letech pořád začátečník

Nechceš to popsat ještě jednou a jako člověk? Našel jsi soubor s názvem .tar ve svém domácím adresáři a byl to ELF? A jak víš, že přišel z netu? To máš nějakou webovou službu, kterou si ukládáš k sobě věci?

[JardaP .]

@Radovan: Hm, zajimave. Copak to asi mohlo nacpat primo do ~? A ze se to ani nepokusilo nekam schovat.

[Kit]

Já jsem ho tam určitě nedal, vlezl mi tam z netu, netuším odkud
Co si matně vzpomínám, tak v době odpovídající času souboru jsem nelezl nikam kde by něco hrozilo, maximálně tak na play.cz a sem. Žádné maily jsem nečetl, a spouštěl akorát DOSBox.

To spíš vypadá, že sis ho nějakým způsobem vyrobil sám a nevíš o tom.