Tutoriale PC » SPAM

Spam Hallmark contine trojeni si virusi de tip irc flood

Ionut — Fri, 16 Oct 2009 23:03:42 +0000

Astazi am primit un email cei adevarat in folderul de Spam si care parea a provenii de la Hallmark. La prima vedere parea a fi un email adevarat, dar la o trecere a mouse-ului peste unul din link-uri continute, acesta redirectiona browserul catre: hxxp://80.91.123.7/hallmark.jpg.exe .

Din cate observati in aceasta poza, link-ul redirectioneaza utilizatorul catre un site care in primul rand nu are o denumire ci doar o adresa Ip si care in continuarea are un fisier cu dubla extensie ce incearca sa pacaleasca utilizatorul pentru al descarca.

Pentru cei curiosi si interesati de continutul acestui fisier, atunci sa stiti ca acesta se poate dezarhiva cu Winrar-ul si contine o colectie de virusi printre care un irc flooder si vreo cativa trojeni.

Continutul arhivei hallmark.jpg.exe este:

03/16/2007 07:56 PM 556 a.reg
11/21/2006 04:47 PM 11 aliases.ini
11/19/2006 02:36 PM 476,103 a_friend.exe
11/19/2006 02:59 PM 61 control.ini
03/16/2007 08:51 PM 593,262 csrss.exe
03/16/2007 09:25 AM 77 Desktop.ini
10/05/2009 12:38 PM 16,856 fullname.txt
08/05/2007 09:33 PM 8,620 hallmark.gif
07/11/2007 05:32 PM 1,067 ident.txt
05/09/2009 07:49 PM 53,191 identd.txt
04/18/2003 06:05 PM 32,256 instsrv.exe
11/07/2004 01:28 AM 5,694 mirc.ico
03/30/2009 04:11 PM 2,966 mirc.ini
05/09/2009 07:50 PM 21,394 nicks.txt
09/27/2008 11:49 AM 0 notify.txt
11/14/2005 05:11 AM 2,639 popups.txt
09/14/2009 12:09 PM 142 remote.ini
09/23/2009 11:31 AM 9,716 script.ini
09/23/2009 11:33 AM 1,724 servers.ini
03/16/2007 08:11 PM 149,742 sup.exe
04/18/2003 06:06 PM 8,192 svchost.exe
03/30/2009 03:08 PM 77 users.ini
22 File(s) 1,384,346 bytes
2 Dir(s) 26,743,336,960 bytes free

Fisierele care vor afecta sistemul in urma rularii acestui virus vor fi:

sup.exe, instsrv.exe, svchost.exe, csrss.exe, a.reg – acesta din urma inregistreaza fisierul csrss.exe ca serviciu de windows.

Am ales sa scriu acest articol pentru a va atrage atentia, ca atunci cand mai primiti email-uri de la diferite site-uri fie ele cu sau fara renume, sa va uitati inainte sa dati click pe vre-un link continut de acel email, chiar daca el pare credibil si in special niciodata sa nu dati click pe link-uri care duc spre descarcarea de fisiere executabile (acestea au extensiile: exe, vbs, com, scr, pif,etc).

Times.ro poate devenii cel mai mare spammer

Ionut — Thu, 15 Oct 2009 16:26:44 +0000

Cu vreo 2 zile in urma am dat din greseala peste un site si anume Times.ro, nimic suprinzator avand in vedere ca in acest site din cate am vazut sunt numai articole facute pe genunchi si probabil de copii care nici nu au implinit nici 18 ani.

De ce zic ca times.ro este sau poate deveni peste noapte cel mai mare spammer:

- pai pentru simplul motiv ca daca o sa ii treaca prin minte cuiva sa bombardeze o casuta de email atunci times.ro ii va sta la dispozitie asta ca sa nu mai pun la socoteala ca prin formul de recomandare se poate trimite si cod HTML

- sincer eu i-am instintat dar se pare ca lucrurile la ei se misca cu viteza melcului si nici un simplu multumesc nu sunt in stare, acum sunt curios care are boala pe contul de mail al vrunui amic sau cine stie poate sa gaseste vrun spammer si programator bun sa se foloseasca putin de formul lor.

Spam/Phishing banca Transilvania

Ionut — Mon, 28 Sep 2009 10:42:57 +0000

Asa cum v-am zis cu ceva timp in urma spam-ul pe banca Raiffeisen o sa inceteze si chiar a incetat, dar urmatoarea banca luata in vizor se pare ca este banca Transilvania.

Chiar daca aceasta banca are o protectie la logarea in contul online printr-un certificat personal, se pare ca spammeri au gasit o solutie prin care sa acceseze contul unora mai creduli si de aceea spamul o sa continue.

Am facut si o poza pentru a va arata ce trebuie sa urmariti intr-un email ca sa puteti sa va dati seama daca e spam sau nu:

In primul rand nici o banca nu trimite intr-un email un link activ (eventual doar un link pe care voi singuri va trebui sa il copiati si sa il pastati in bara de adrese) ceea ce in cazul de fata se dovedeste a fi fals.

Uitati-va la formularea email-ului dupa greseli de exprimare sau greseli ortografice.

Atunci cand email-ul pare a veni de la o banca sau orice site cu renume in online si contine link-uri uitati-va jos in coltul din partea stanga ca acestea sa coincida in cazul de fata coincide dar doar o parte daca va uitati mai atenti o sa observati: bt24.btrl.ro dar acest link nu se termina cu / ci continuua cu onlinebanking.sessionid.doublejservices.com deci domeniul real dar compromis este doublejservices.com

Sau ca sa fiti si mai siguri va puteti uita in header-ul email-ului care aici arata ceva de genul:

Return-Path: <btsupport@spamcop.net>Delivered-To: emailReceived: (qmail 31502 invoked from network); 28 Sep 2009 09:32:23 +0300Received: from 85.159.65.90 by CUPS2 (envelope-from <btsupport@spamcop.net>, uid 201) with qmail-scanner-1.23st (f-prot: 4.4.7/3.14.13. perlscan: 1.23st. Clear:RC:0(85.159.65.90):. Processed in 1.165016 secs); 28 Sep 2009 06:32:23 -0000Received: from unknown (HELO mail.merihvideo.com) (85.159.65.90) by 0 with AES256-SHA encrypted SMTP; 28 Sep 2009 09:32:21 +0300

`Received: from spamcop.net ([66.165.239.12])`

by mail.merihvideo.com (Merak 8.0.3) with ASMTP id A1S40323 for ; Mon, 28 Sep 2009 09:30:55 +0300Message-ID: <20090927233058.AF914CBC31478DB9@spamcop.net>From: "Banca Transilvania" <btsupport@spamcop.net>To: emailSubject: BT24 Mesaj nou - 7737Date: 27 Sep 2009 23:30:58 -0700MIME-Version: 1.0Content-Type: text/htmlContent-Transfer-Encoding: quoted-printable

Si dupa cum vedeti email-ul vine de la: spamcop.net ([66.165.239.12])si nici de cum de la banca Transilvania.