Ziua buna E-mag iti aduce o surpriza – Email cu atasament infectat

Printre magazinele online romanesti, eMAG se bucura de o popularitate in crestere, gratie profesionalismului de care dau dovada.

Tocmai pe asta se bazeaza si atacatorii care trimit email-uri cu atasament infectat. Titlul lor suna: “Ziua buna E-mag iti aduce o surpriza” si suna astfel:

65% discount la produsele din fisierul anexat mailului

Copiaza fisierul atasat si acceseaza-l!

O zi buna.

Contin o arhiva atasata cu o denumirealeatoare. Inauntrul ei se afla fisierul cu numele bogdan.exe (sau orice alt nume), infectat cu Trojan.Zbot.WHE, avand o detectie buna de 23 din 57 de scannere antivirus.

Odata rulat virusul va porni odata cu sistemul si va crea 3 fisiere executabile in folderul C:\Documents and Settings\User\Application Data\osviaoi\ (igijyvyv.exe, xtyjrrv.exe, etc) cu denumiri aleatorii pentru fisierul care ruleaza. Va accesa cateva domenii web descarcand alte fisiere infectate si trimitand date din calculatorul victimei: requirebattle.net, leaderperfect.net, ordermayor.net, pleasantperfect.net, returnmillion.net, difficultwhite.net, etc)

Pentru DEVIRUSARE descarcati si instalati Malwarebytes Anti-Malware. Nu modificati nici o setare in timpul procesului de instalare, iar la final nu restartati PC-ul daca vi se va solicita acest lucru. Rulati o scanare rapida si stergeti infectiile gasite.

Multumesc lui Farcas Gelu Danut pentru atentionare!

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

3 responses to “Ziua buna E-mag iti aduce o surpriza – Email cu atasament infectat”

  1. Farcas Gelu Danut

    Subiect: am troistedter weg 1 99428 nohra
    De la: “Armand Marxsen”
    Data: Mie, Februarie 4, 2015 9:53 pm
    Către: contact@domeniulmeu.biz
    Prioritate: Normal
    Mailer: Carcassonne v0.58
    Continutul e-mailului era:
    Hi,

    ===================================================================
    Am Troistedter Weg 1 99428 Nohra
    GERMANY
    +49 3643 56 30
    Nohra
    +49 3643 97 65 60

    Atasamentul era: contact@domeniulmeu.biz.zip application/zip 43 KiO

    V-am trimis e-mailul spre analiza.

  2. Farcas Gelu Danut

    G-mail mi-a trimis acest mesaj (legat de comentariul meu anterior):

    De la: Echipa Gmail
    Data: 4 februarie 2015, 22:19
    Subiect: Mesaj lăsat pe server: “am troistedter weg 1 99428 nohra”
    Către: Gelu Danut Farcas

    Mesajul “am troistedter weg 1 99428 nohra” de la Armand Marxsen (addled@marstonmail.com) a conţinut un virus sau un ataşament suspect. Aşa că nu a fost descărcat din contul dvs. contact@domeniulmeu.biz şi a fost lăsat pe server.

    Message-ID:

    Dacă doriţi să scrieţi la Armand, faceţi clic pe „Răspundeţi” şi trimiteţi un mesaj la Armand.

    Vă mulțumim,

    Echipa Gmail

    1. geooo

      nu vă recomand să trimiteți un mesaj către e-mail-ul acela
      vă poate afla id-ul și va descoperi un port neprotejat și vă va virusa sistemul întrând un program cu extensia .exe și va rula comenzi in CMD și va șterge fișerele de intrare în sistem,,inportante,,

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.