Ma érkezett, gondoltam kielemzem, leírom mit találtam.
A spam megérkezik és valahogy így néz ki (lehet, hogy másnál szebben):
Azt mondja, hogy január 21-én csomagot hoztak nekem az irodába, de nem találtak meg, viszont ha kinyomtatom és beviszem az értesítőt a legközelebbi postahivatalba, megkapom a csomagot. Nice! 🙂
Mindezt persze itt Magyarországon is angolul. Na mindegy… A feladónak nyilván semmi köze a Federal Expresshez, esetemben ez „Office 337” <user-bn@omaha.com>. Ha válaszolnál a levélre, az másfelé menne, az amet123@lory.arvixe.com címre. Oké, tegyük fel, megkajáltam az egészet, bedőlök, és azt mondom, letöltöm és kinyomtatom az értesítőt (kattintok a GET & PRINT RECEIPT gombon)…
Itt már azért óvatosabb voltam, előre megnéztem a kódban, hova akar elvinni engem a kis mocsok. A cím ez nálam: http://www.blizzardofozz.ca/AAZLDTWVKR.php?receipt=801_132915482
Elemezzük kicsit… Kanadai domain, a gép is ott van, de már közepesen sáros kiszolgáló, pár feketelistán nyilvántartott. A www.blizzardofozz.ca címen egyébként egy veszélytelen kamu oldal fogad Ozzy Osbourne-ról.
Viszont a teljes linket – ami a gomb mögött van – megnyitva az oldal rögtön letöltésre ajánl egy PostalReceipt.zip file-t. Ebben pedig egy PostalRecepit.exe file van. Az egyik vírusszűrő szerint PUA.Win32.Packer.Upx-53, a másik szerint Trojan.Win32.Weelsof van benne. Online szűrővel kerestem, és mindössze a ClamAV, és az Ikarus adott eredményt, sem az AVG, Avira, Eset, Kaspersky – és még lehetne sorolni – nem ismert fel semmit, ez persze nem jelenti azt, hogy más nem ismeri fel, egy másik oldalon az Ahnlab-V3 scanner Trojan/Win32.Agent-nek nevezte,de hívják még más scannerek W32/Kryptik.UUD!tr-nek (Fortinet Antivirus) is.
Megnyitáskor (ezt egy elszeparált virtuális XP-n csináltam) kamu word nyíilik, és miközben az áldozat csodálkozik, máris aktiválódik a trójai. Mindenféle vírusszűrő nélküli rendszeren jön ez az üzenet:
Ez egy frissen települt vírusírtó, ami detektálja a vírust, és ha átnézed vele a rendszered, meg is találja a fertőzést, amit az előbb a küldemény okozott…
És persze utána felajánlja, hogy ha megveszed a szarjukat, kiírtja. 🙂 Már-már klasszikus…
Összegzés
Bár a levélen látszik, hogy amatőr munka, ráadásul idehaza angol nyelven kommunikálja le, hogy egy nem is várt küldeményed érkezett. Ennek ellenére gyanítható, hogy van, aki megeszi (inkább Amerikában) és megfertőződik a gépe, majd még mindig tudatlan állapotban meg is veszi az ellenszert attól, aki az egész fertőzésről tehet. A bűnözök (hatályos jogszabályok szerint annak minősülnek) több legyet ütnek egy csapásra. Ugyanis, ha megveszik a programot pénz folyik be. Ha nem, akkor a fertőzött gép, annak adatai is a kezükbe kerülhetnek, és valószínű, hogy a kattintáskor rögtön adatbázisba vésődött, hogy az xy címre küldött ember kattintott, tehát megerősítette, hogy a címe élő, és még kattintani is hajlandó. Tehát még értékesebb lett a spammerek számára, ami az ilyesmiben utazóknak aranyat jelent… Nos, ha még hozzáteszem, hogy egy ilyen levél világszerte hány tízmilliós példányban mehetett ki… Ajjjaj….
Rita