Письмо с трояном

Пришло письмо типа как от DHL. Ну, что-то в Штирлице сразу выдавало русского шпиона: мне не может прийти письмо от dhl.com (у нас тут dhl.es), еще и на русском. Кроме того, про "ближайший офис" - явная лажа, у меня этих ближайших офисов - три штуки.

Ну, ладно, смотрю, что там приложено. Файл "DHL 8897209547, квитанция, pdf.iso". ISO, Наташ, ISO! Я-то надеялся на честный EXE, а они ISO приложили! А в ISO разве можно что-нибудь самозапускающееся запихнуть, это же просто образ?!! Но я, конечно же, честно скопировал этот файл в "Песочницу" и попытался смонтировать - посмотреть, что они будут делать. Ан хрен там, файл с ошибкой, не монтируется вообще. Садись, вирусописака, два, даже простейший троян не смог посадить!

Но, собственно, зачем я об этом вообще пишу, мало ли всяких писем с вирусами ходит?... А я заглянул в служебные строки, ожидая там увидеть Return-Path типа  qsdfsdjeu@tyudjskfdlk.com, а увидел - смотрите как красиво. И только подчеркнутые строчки показывают, что адрес отправителя подделан. Я такое первый раз вижу, раньше особо не парились служебными строками, просто в поле "От кого" ставили нужное и все. Понятно, что в "От кого" можно поставить хоть "Путин В.В. putin@kremlin.ru", делов-то.

02.06.2020 10:48
Комментарии 47

DHL могли бы и постараться. Их же имиджу вредит.
SPF запись у них с ~all и DKIM не настроен. Конечно, множество филиалов и все такое - но почтовые сервера должны бы быть с максимум подтверждения подлинности.
iso открываются многими популярными архиваторами, 7zip например. Так что пользователь может и не сообразить что это не архив.
А вот многие антивирусы могут iso и пропустить (хотя все центровые, по-моему, уже давно проверяют). Плюс в корпоративных сетях могут забыть включить в список запрещенного к пересылке в письмах контента. Мне часто валятся трояны со всякими линуксовыми архиваторами, или там arj, например.
03.06.20 12:46
0 0

Вы в Испаниях совсем уже офигели..... Что творите с нашими высокими лицами.... Вон спам какой )))))))


How are you?

I am PATRIARCH KIRILL, the Leader of the Holy Synod of the Russian Orthodox Church. I contacted you because I and some Bishops traveled to Spain to establish another branch of Orthodox Church few days ago and we were attacked by some criminals in Spain and they shot a Bishop dead and stole all our belongings including our Money, phones, watches and passports. Right now, we lost all the contact in Russia because of our phones they took away from us.

Actually,I got your email while I was searching for our church members for help but I could not see any email belonging to any member of Orthodox Church in Russia . Please I need your urgent help so that we can start coming back to Russia while some of the Bishops will go back to other European countries where they came from.

Thanks and God Bless You.
03.06.20 10:29
0 0

У меня эти сообщения от якобы DHL и прочие поделки который год валятся на рабочий ящик. Я все думал - ну нахрена, ну таких дураков уже не осталось вроде. А потом год назад один знакомый клоун таки умудрился запустить и зашифровать себе комп. ?
02.06.20 19:51
0 1

зашифровать
сколько за выкуп хотели?
02.06.20 20:25
0 0

Плюсую. Тоже получаю подобные сообщения, которые отправляются прямиком в Junk (спасибо фильтрам Mac OS), минуя мои почтовые ящики, и не сообщаю об этом всему белому свету. Обычные дела.

Да сколько б не хотели, пошли лесом. Был у него недельной давности бэкап. ?
03.06.20 08:45
0 0

Садись, вирусописака, два, даже простейший троян не смог посадить!
Много-много лет назад получил спам-письмо. Что там было в основном тексте, уже не помню, но атачем шел длиннющий текст явно в base64. Отправитель поставил кривой MIME type и мой почтовик не смог его распознать.
Тоже решил помочь человеку. Поскольку с онлайн конвертерами в то время было туго, то закинул текст на тестовый сервер (он был под под линухом, и там утилита для конвертации base64, как водится, была из коробки) и конвертнул в бинарник. Переписал бинарник обратно к себе, заглянул внутрь - ага, в начале файла сигнатура "PK", то есть это zip. Добавил расширение, распаковал - так и есть, внутри экзешник. Ну, запускать его уже не стал, неинтересно.

А теперь внимание, вопрос. Вот на хрена мне все это было надо, если и так было понятно, что внутри какой-то вирус?
02.06.20 16:22
0 4

Ну да дилетанты, помню был случай — когда-то в далёких нулевых была партия с мат. платами ASUS (точно не уверен, но кто-то из крупных) так там на CD с драйверами (вместо драйверов) была записана порнуха, не вирус конечно, но тоже ничего.
02.06.20 15:23
0 0

Гугл уже в курсе:
[To]: delivery@dhl.com
[From]: DHL Express Cargo
[Subject]: Доставка грузов DHL
[Attachment]: b3778b72.jpeg (28775), DHL 8897209547, квитанция, pdf.iso (389120) Executable PDF.EXE in wrong archive ¤
[Date]: 01/06/2020 10:19:10 Mon
Судя по всему внутри должен быть EXE-шник.
Кстати, закинуть файл на Virustotal и посмотреть что он скажет.
02.06.20 13:40
0 0

Судя по всему внутри должен быть EXE-шник.
Да, но тоже кривой.
02.06.20 15:56
0 0

Молдавский вирус )
vis
02.06.20 13:20
0 0

Молдавский вирус )
не, в Госзнаке для Ливии делали
02.06.20 15:15
0 5

да, Алекс просто не разобрался, это был эстонский вирус, получатель должен сам записать обрал на диск и потом самостоятельно стереть со своего диска самые нужные файлы
02.06.20 13:07
0 3

Алекс просто не разобрался, это был эстонский вирус
Если эстонский, то он завтра запустится и все сотрет.

А если серьезно, то о случаях серьезного заражения именно через письмо от "DHL" я уже где-то слышал. Так что, каким бы ни был механизм запуска, к этой ИСОшке легкомысленно относиться не стоит.
02.06.20 13:48
0 1

Алекс, ну вы-то не нуб, должны понимать, что ISOшку надо сначала записать на диск, и потом вручную запустить автозапуск 😄.

Правда, ввиду того, что большинство компьютеров и приводом-то для дисков уже давно не оборудуется, мне кажется, автор трояна тут серьёзно просчитался 😄. Впрочем, можно, конечно, и на флешку образ закатать или на виртуальный привод смонтировать, но уж до этого средний юзер точно додуматься не должен 😄.
02.06.20 13:02
1 1

ISOшку надо сначала записать на диск
Отстали вы от жизни 😄
10-е форточки позволяют монтировать образ как диск средствами системы.
Bug
02.06.20 13:25
0 4

У меня просто daemon tools установлен, поэтому никогда даже не приходило в голову давать форточкам что-то подобное делать штатными средствами 😄.
02.06.20 13:54
3 1

а увидел - смотрите как красиво.
Мало того, они даже запятые в тексте расставили 😄
02.06.20 12:50
0 1

А в ISO разве можно что-нибудь самозапускающееся запихнуть, это же просто образ?!!
Естественно, можно, как раз для этого корпорация Майкрософт давным давно придумала "autorun.inf". Другое дело, что ныне любой антивирус, даже самый тупой, первым делом блокирует его выполнение. Но в 90-х еще прокатывало, завирусованные пиратские диски с игрушками попадались.
Выбор формата .iso как носителя зловреда очень страннен, конечно. Exe файл тоже, скорее всего не доедет, прибьют по дороге, обычно выбирают документы и архивы. ISO можно рассматривать как архив, многие архиваторы умеют с ним работать, но как-то это сильно нетрадиционно.
02.06.20 12:43
0 0

Не, ну самом деле может быть хитрый исошник, который вызывает переполнение буфера в Проводнике, а песочницу он определяет и просто прикидывается веточкой.
02.06.20 12:24
0 2

А может оно "вызвало переполнение" и запустилось, а ошибку сгенерировало для отвода глаз?
02.06.20 12:42
0 1

Нахеры.., ой то есть хакеры вообще оборзели и обленились. Следующий шаг - придёт телеграмма - "Пожалуйста купить CD-ROM для установки вируса на ваш компьютер". А потом по Первому телеканалу гордое: "Российские хакеры научились заражать компьютеры через телеграфные бланки"!
02.06.20 11:51
0 3

А я всё ещё жду обещанной статьи о том, как и где правильно смотреть служебные строки. Хотя джва года не прошло, конечно.
02.06.20 11:42
1 11

Блин, точно, спасибо что напомнили.
02.06.20 11:56
0 5

А надо ждать три:)
111
02.06.20 14:42
0 1

Здравствуйте.
Я нигерийский троян. В виду низкого развития IT- технологий в моей стране, я не могу причинить ущерб вашему компьютеру. Поэтому, прошу самостоятельно удалить какой-нибудь нужный вам файл, не помещая его в корзину.
Спасибо.
02.06.20 11:40
0 10

Здравствуйте.Я нигерийский троян. В виду низкого развития IT- технологий в моей стране, я не могу причинить ущерб вашему компьютеру. Поэтому, прошу самостоятельно удалить какой-нибудь нужный вам файл, не помещая его в корзину.Спасибо.
А "переслать меня своим знакомым" ??
02.06.20 11:41
0 3

Точно.
02.06.20 11:42
0 1

А "переслать меня своим знакомым" ??
А это уже чукотский троян, более совершенный, чем нигерийский.
02.06.20 16:38
0 1

Похоже, спамер - школьник какой-то. Мало того что вирусный файл неправильный, так и рассылал он их вручную, по одному, через почтового вэб-клиента. Может еще и базу адресов искал выборочно, по популярным ресурса. Набрал штук десяток и говорил потом: - Я хакнул десять крутых блоггеров!
02.06.20 11:40
0 1

Похоже, спамер - школьник какой-то. Мало того что вирусный файл неправильный, так и рассылал он их вручную, по одному, через почтового вэб-клиента. Может еще и базу адресов искал выборочно, по популярным ресурса. Набрал штук десяток и говорил потом: - Я хакнул десять крутых блоггеров!
откуда знаете что это не лист рассылки на сервере ?
02.06.20 11:42
0 0

Там, в заголовках, внизу - строчка юзер-агента. Roundcube Webmail
02.06.20 12:21
0 0

Там, в заголовках, внизу - строчка юзер-агента. Roundcube Webmail
если я правильно помню - оно всегда оставляет все заголовки ( меняет только mailto) если послать на лист рассылки с авторизованного адреса . Но последний раз настраивал CG лет 8 ( уж очень дорогой и универсальный продукт) назад, так что могу и ошибиться.
02.06.20 12:26
0 0

Программы рассылок могут подставлять в эту строку что угодно
02.06.20 22:20
0 0

По-сути, здесь тоже подделаны только исходящие адреса. А служебные заголовки совершенно сторонние.
Самый честный и информативный, это IP адрес во второй строчке, received from. Это поле ставит твой сервер, при получении почты. Некоторые спамеры заранее ставят аналогичные фальшивые блоки, с нужными ай-пи и именами. Но они всегда будут идти строками ниже.
02.06.20 11:33
0 2

кто и когда последний раз видел "не спам" опправленный через комунигейт ?
02.06.20 11:31
0 0

Странный какой-то коммент. А что не так с комунигейтом? У меня на почтовом сервере именно комунигейт стоит.
02.06.20 12:47
0 0

Странный какой-то коммент. А что не так с комунигейтом? У меня на почтовом сервере именно комунигейт стоит.
слишком много ломаных в сети ( причина в том что сервер удобен и прост, а ключик под новые версии придется покупать - генераторы не работают, в старых версиях глобальные дыры, позволяющие авторизоваться кому угодно). Какая-то из систем антиспама автоматом привешивала заметный спамный вес письмам c заголовками CG.
02.06.20 13:00
0 0

В заголовках видно, что CGP 5.4.4 стоит как раз у Алекса на сервере. А отправитель - Exim 4.92.3. Поэтому какие тут претензии к коммунигейту - не ясно совершенно.
в старых версиях глобальные дыры, позволяющие авторизоваться кому угодно
Что за "глобальные дыры" такие в старых версиях, не расскажете?

Кейгены для версий как минимум до 6.2.x существуют. Видать, недаром с версии 6.3.0 "реализован новый формат лицензионных ключей." Впрочем поскольку, как утверждается в официальной рассылке, "Старый формат всё ещё поддерживается.", то есть подозрение, что на полностью новый формат они перейдут в какой-нибудь 7 версии.
02.06.20 18:22
0 0

Алекс, мне кажется, тебе нужно настроить серый список своего почтового релея, проблема в нём.
От vps.anclead.com / адрес 45.95.169.157 нельзя принимать почту от @dhl.com, твой SMTP слишком добрый.


$ dig -t mx dhl.com

;; ANSWER SECTION:
dhl.com. 300 IN MX 5 mx1.dhl.iphmx.com.
dhl.com. 300 IN MX 10 mx2.dhl.iphmx.com.

;; ADDITIONAL SECTION:
mx1.dhl.iphmx.com. 1763 IN A 68.232.148.171
mx1.dhl.iphmx.com. 1763 IN A 68.232.129.198
mx1.dhl.iphmx.com. 1763 IN A 68.232.148.169
mx1.dhl.iphmx.com. 1763 IN A 68.232.129.199
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.236
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.49
mx1.dhl.iphmx.com. 1763 IN A 68.232.143.139
mx1.dhl.iphmx.com. 1763 IN A 68.232.143.21
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.101
mx1.dhl.iphmx.com. 1763 IN A 68.232.130.32
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.218
mx1.dhl.iphmx.com. 1763 IN A 68.232.141.53
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.98
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.99
mx1.dhl.iphmx.com. 1763 IN A 68.232.129.11
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.103
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.240
mx1.dhl.iphmx.com. 1763 IN A 68.232.141.220
mx1.dhl.iphmx.com. 1763 IN A 68.232.143.176
mx1.dhl.iphmx.com. 1763 IN A 68.232.148.170
mx2.dhl.iphmx.com. 102 IN A 68.232.143.139
mx2.dhl.iphmx.com. 102 IN A 68.232.129.11
mx2.dhl.iphmx.com. 102 IN A 68.232.129.198
mx2.dhl.iphmx.com. 102 IN A 68.232.135.103
mx2.dhl.iphmx.com. 102 IN A 68.232.143.176
mx2.dhl.iphmx.com. 102 IN A 68.232.135.101
mx2.dhl.iphmx.com. 102 IN A 68.232.135.98
mx2.dhl.iphmx.com. 102 IN A 68.232.143.21
mx2.dhl.iphmx.com. 102 IN A 68.232.130.32
mx2.dhl.iphmx.com. 102 IN A 68.232.135.99
mx2.dhl.iphmx.com. 102 IN A 68.232.148.170
mx2.dhl.iphmx.com. 102 IN A 68.232.142.218
mx2.dhl.iphmx.com. 102 IN A 68.232.129.199
mx2.dhl.iphmx.com. 102 IN A 68.232.142.49
mx2.dhl.iphmx.com. 102 IN A 68.232.142.240
mx2.dhl.iphmx.com. 102 IN A 68.232.141.53
mx2.dhl.iphmx.com. 102 IN A 68.232.142.236
mx2.dhl.iphmx.com. 102 IN A 68.232.148.169
mx2.dhl.iphmx.com. 102 IN A 68.232.141.220
mx2.dhl.iphmx.com. 102 IN A 68.232.148.171



dig -t txt dhl.com

;; ANSWER SECTION:
dhl.com. 3431 IN TXT "EdxElN/3sVlFjzSKXxxVKGq+IYxdS4pSMWQbt6ywwM3oTAiYPbNIbchNR6Ao9PwGUlroQGmq8BtXCYUAUXsfAg=="
dhl.com. 3431 IN TXT "docusign=6d733f59-f916-4426-9028-c800fc5e2ba1"
dhl.com. 3431 IN TXT "amazonses:vZIwNHsWyidott2txnpN8dQQnLoaWdTjw3JSUXFU7a4="
dhl.com. 3431 IN TXT "adobe-idp-site-verification=00c0593e27f3b625df20796c2aea6a9d18005694df716a444a53ac7242f672a1"
dhl.com. 3431 IN TXT "L91kINvx88YCqJ/wMAXC4VRNuA4yrmierly03AXCROo="
dhl.com. 3431 IN TXT "google-site-verification=h6mXSTONkVtLT3Mh4RFoSbmODc95pkatzqvmZ8H4CmE"
dhl.com. 3431 IN TXT "globalsign-domain-verification=7ECAE2C133A46DE8192ADDF1C223F51A"
dhl.com. 3431 IN TXT "amazonses:cs5ESybxQXz/pzJzcpJ3O0mTc7yvAmmcB7q+k2QeCx8="
dhl.com. 3431 IN TXT "google-site-verification=wgBmoJAFK9zhf8IoYIGzJzHe0wiplj_ByI9gAXw2WJY"
dhl.com. 3431 IN TXT "atlassian-domain-verification=mmsERGyn2rlOT8eOe12PbNcvgZ4mxzeOq+e75gQbAYUO3cOhU4Fr7+UfTRKRzrfs"
dhl.com. 3431 IN TXT "globalsign-domain-verification=9D971E639CAE3D0524366C2BF53D04AC"
dhl.com. 3431 IN TXT "v=spf1 include:dpdhl._spf.dhl.com include:3a._spf.dhl.com include:3b._spf.dhl.com include:3c._spf.dhl.com include:3d._spf.dhl.com include:3e._spf.dhl.com include:3f._spf.dhl.com include:mrsc._spf.dhl.com include:e2ma.net include:spf.mandrillapp.com ~all"
dhl.com. 3431 IN TXT "amazonses:7Rkht4Gq3WfHkrDp9jS2z4O1zavJf5ZuJAiUvQW/qK8="
dhl.com. 3431 IN TXT "google-site-verification=VJlpX-mE44v_Put-A6riC5EH3unMXdFmx6wI07u89EE"
dhl.com. 3431 IN TXT "ATc8lGyDthFoMrS6MOeLImo44DeurOX12Myc5QgWEVpjUmMZSrEzyGP4f61DxdFNXXbPUFRH1/GaqXXyMlZ1Fw=="
02.06.20 11:28
0 2

серый список своего почтового релея, п
а причем тут серые списки ? вообще статус - (можно и принимать от остальных ~all), серые списки отправка через нормальный сервер проходит спокойно .
Правда с такого адреса и без DKIM и .. без TLS и с вложениями ( так что правда добрый сервер). Другое дело что городить большой почтовый сервер для пары ящиков как-то лишне.
02.06.20 11:40
0 1

Не "добрый" а по стандарту. Секция MX к делу не относится - это только на приём почты. Хотя из неё видно что все адреса в другом блоке адресов, но гарантировать это ничего не может.
Из блока TXT к почте относится только SPF, перечисляющий свои адреса, с правилом ~all, что не является запретом а только советом проверить письмо внимательнее.

У "отправителя" просто нормальная vps судя по всему
02.06.20 11:52
0 3

Другое дело что городить большой почтовый сервер для пары ящиков как-то лишне.
У Алекса уже стоит CommuniGate Pro - вполне себе "большой почтовый сервер". Видимо, просто до этого в проверке DKIM нужды не было.
02.06.20 12:29
0 1

Здорово, конечно, быть таким крутым компьютерщиком. Любые программы и трояны из писем читать.
Представляю, сколько людей попадет с такими подделками под службы доставки.
Причем в офисах даже не от незнания, а по запаре можно запросто нажать ссылку в письме.
02.06.20 11:05
2 1

В офис такие письма не должны доходить впринципе.

Здорово, конечно, быть таким крутым компьютерщиком. Любые программы и трояны из писем читать.
Представляю, сколько людей попадет с такими подделками под службы доставки.
Не переживайте, эти люди смонтировать и запустить ISOшку не способны. Так что это поединок настоящий йокодзунов. Мегахакер против крутого компьютерного блогера, способного смонтировать ISO!

Не переживайте, эти люди смонтировать и запустить ISOшку не способны.
Некоторые продуманные товарищи используют мега-лайфхак. Автоматическое монтирование диска при клике на файл iso и разрешенный автозапуск. А что, удобно же.
Теги
Сортировать по алфавиту или записям
BLM 18
Calella 113
exler.ru 138
авто 358
видео 2868
вино 299
еда 383
игры 107
кино 1340
ПГМ 1
попы 148
РКН 2
РФ 1
РЩД 708
СМИ 1634
софт 775
США 21
тип 2
тмп 11
шоу 6