Приключения одного вложения

Чисто почта

добавить в избранное

Приключения одного вложения

Прочитали: 9421 Комментариев: 101 Рейтинг: 114

26 июня 2018

Солнечный летний день, отличное настроение. Почтовый ящик ломится от деловой переписки. Внезапно взгляд выхватывает любопытный заголовок: «Скан»… Интересно, посмотрим:

Отправитель письма – незнакомый, во вложении – файл. Само сообщение гласит: «Здравствуйте, скидываю счет-фактуру. Не получается дозвониться до вас». Красота, да и только! Кстати, пока автор этого выпуска изучал первое письмо, прилетело второе, почти такое же.

Ну что, поиграем? Посмотрим, что там у нас во вложении.

Сохраняем прикрепленный файл на диск, и… Dr.Web Security Space его тут же удаляет. Хорошо, проявим упорство – мы же исследователи. Нарушим правила, отключим антивирус и сохраним вложение еще раз.

Файл представляет собой весьма экзотический LZH-архив, который, впрочем, распаковывается большинством архиваторов. Видимо, ставка делалась на то, что почтовый антивирус не сможет заглянуть в нестандартный архив и пропустит его.

Что же внутри? Файл «скан от 19 июня.scr». Знаете, что такое SCR? Это формат файла хранителей экрана, или, как их еще называют, заставок Windows. Казалось бы, странный выбор, но нет. Расчет злоумышленников вот каков. По сути SCR – это обычный исполняемый файл. Если кликнуть по нему, он запустится, как любой EXE-шник. Только вот EXE-файл под видом документа сразу вызывает подозрения, а SCR можно и не заметить.

Но что же делать дальше? Не запускать же этот файл на своей машине.

Решение есть, ведь совсем недавно появился наш новый сервис Dr.Web vxCube – виртуальная криминалистическая лаборатория для анализа угроз. Давайте устроим сервису боевое крещение и посмотрим, на что он способен.

Загружаем наш подозрительный SCR-файл через веб-форму и отправляем его на анализ. Теперь у нас есть пара минут на кофе.

Готово! Что тут у нас? Да, файл определенно вредоносный:

Теперь понятно, что перед нами – троянец, который как минимум обладает функционалом стилера и умеет красть пароли и прочую конфиденциальную информацию. Он распаковывается в системе, прописывает себя в автозагрузку и внедряется в системный процесс svchost.exe:

Затем троянец удаляет свой загрузчик (тот самый SCR-файл), подгружает необходимые модули и начинает собирать сохраненные пароли и информацию о системе. Всего за несколько секунд наш подопытный прошелся по всем потенциально интересным местам в поисках реквизитов доступа к популярным FTP, почтовым клиентам и аккаунтам Microsoft, покопался в сохраненных паролях из браузеров, заодно прихватив историю просмотра веб-страниц, и попытался загрузить полученный дамп на удаленное файловое хранилище.

Параллельно с этим троянец попытался связаться со своими управляющими серверами, расположенными в США, Нидерландах и Новой Зеландии.

Таким образом, если бы мы легкомысленно запустили вложение из письма на своем компьютере, то наши пароли продавались бы сейчас на одном из сетевых мошеннических форумов. Например, на таком:

Мы детально пронализировали вредоносный файл, который оказался представителем семейства троянцев Dimnie.

Появившийся в 2014 году Dimnie изначально являлся классическим шпионом, но со временем оброс дополнительными модулями и научился красть деньги со счетов юридических лиц, подменяя платежные поручения в популярных бухгалтерских приложениях, что сделало его опасным банковским троянцем.

#почта #Dr.Web_vxCube #троянец

Антивирусная правДА! рекомендует

Постоянные читатели проекта «Антивирусная ПравДА!» знают, что не следует запускать файлы, полученные в письмах от незнакомых людей. Благодаря Dr.Web vxCube мы смогли продемонстрировать, как именно злоумышленники пытаются добраться до ваших данных. Думаете, это все, на что способен Dr.Web vxCube? Вовсе нет. По итогам анализа вредоносного файла сервис создает индивидуальную сборку лечащей утилиты Dr.Web CureIt!, которая поможет справиться с заражением даже в том случае, если ваш антивирус ничего не находит.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Cheshek
04:36:31 2018-08-18

Очень много подобных писем получал. DrWeb их блокировал

Денисенко Павел Андреевич
16:27:22 2018-08-05

Я уже постоянный читатель и фанат Dr.Web.

Любитель пляжного футбола Собкор
12:53:02 2018-07-18

@dyadya_Sasha, с прошедшим Днём рождения! Только недавно добрался до интернета, читаю выпуски за те три недели, что был в отпуске.

@Пaвeл, спасибо, расскажу обязательно, включу в рассылку, возможно сегодня, если будет время, пока не знаю.

Любитель пляжного футбола Собкор
12:44:47 2018-07-18

Как минимум, такое сообщение должно заставить насторожиться. Это в теории. :) Автор не знаком, что за счёт, никакой дополнительной разъясняющей информации. Либо мошенник либо письмо пришло по ошибке. Что ещё может заставить открыть письмо? Наверное, любопытство. А быть любопытным без нормального антивируса опасно. Да и если даже установлен антивирус, то всё равно лучше подобные сообщения не открывать.

El Comandante
21:11:39 2018-07-02

О да, отключать антивирус, потому что он ругается. Очень любят некоторые пользователи. А потом удивляются, что не так с их компьютером и конечно же уверяют, что антивирус они не отключали))

Попокатепетль
19:24:20 2018-06-30

Интересно, раньше не слышала о Dr.Web vxCube!
Виртуальная криминалистическая лаборатория для анализа угроз - звучит круто!

Ruslan
11:41:07 2018-06-29

Очень крутая разработка Dr.Web vxCube. Спасибо!

razgen Собкор
11:29:06 2018-06-29

@Пaвeл, поддерживаю призыв к уважительному отношению по отношению друг к другу.

Damir Собкор
18:11:13 2018-06-27

Интересный выпуск и особенно о Dr.Web vxCube.

Вячeслaв Собкор
10:31:06 2018-06-27

@mk.insta, спасибо за оценку нашего антивируса!

Lia00 Собкор
02:00:16 2018-06-27

интересная система проверки файлов

dyadya_Sasha Собкор
22:50:37 2018-06-26

@Шалтай_Александр_Болтай, @Татьяна, @Toma, @Littlefish, @Sasha50, @Biggurza, @Маша, @alex-diesel,@Пaвeл,

Спасибо вам за поздравления!
За поднятое настроение!

Ольга
22:27:56 2018-06-26

Какой интересный инструмент для анализа. Надо попробовать.

Dvakota
21:50:24 2018-06-26

Индивидуальная сборка-это хорошо!Но лучше до болезни не доводить .

mariana
21:43:49 2018-06-26

scr кажется для любителей красивостей раньше использовали...

Andromeda
21:42:51 2018-06-26

Не приходилось получать подобных писем. Теперь знаю, что из этого может получится уже на подробном примере.

Marsn77
21:34:05 2018-06-26

Очередное напоминание о том, что не стоит открывать все подряд

ek
21:28:05 2018-06-26

Некоторые бухгалтеры могут попасться

Альфа
21:26:31 2018-06-26

Интересный и поучительный получился выпуск. Спасибо!

anatol
21:14:03 2018-06-26

помни как"отче наш" - не открывай неизвестных вложений

НинаК
20:53:34 2018-06-26

Помним, помним про такие письма - предупреждали!

Шалтай Александр Болтай Собкор
20:36:41 2018-06-26

Солнечный летний день, отличное настроение. Почтовый ящик ломится от деловой переписки. Внезапно взгляд выхватывает:
— Привет, Люся! Как в кино сходила? У Маринки как дела? Кошка наконец нашлась? Ребёнок не болеет? Жалко, что вы с Вадиком расстались, он, в принципе, нормальный был.
— А ты вообще кто?
— А это я статусы твои читаю.

Шалтай Александр Болтай Собкор
20:16:42 2018-06-26

@dyadya_Sasha, С Днем рождения! Всего!

В...а
20:05:01 2018-06-26

Снова почта и настойчивость пользователя таят опасность

Сергей
19:53:28 2018-06-26

Познавательная статья о письмах из неизвестных источников.

marisha-san Собкор
19:01:46 2018-06-26

Всю чужую почту в спам .

Пaвeл Собкор
18:38:23 2018-06-26

@robot, ...Чуваки - ... Извините, что делаю вам замечание. Но на мой взгляд,"чуваки" - не самое подобающее обращение к специалистам компании «Доктор Веб». Мне кажется, что самая безобидная "расшифровка" слова "чувак" - это: «Человек, Уважающий Высокую Американскую Культуру». Есть и куда менее приятные.
Думаю нужно более уважительно относится друг к другу. У робота ведь тоже должно быть сердце.

vla_va
18:37:24 2018-06-26

Некоторые упорные пользователи все равно запустят, чтобы им назидательно не писали доктора!

Пaвeл Собкор
18:19:49 2018-06-26

@Oleg, Любопы́тство — бессознательное стремление к познанию, присущее не только человеку, но и многим живым существам. Любопытство является толчком к познанию нового.

kva-kva
18:18:26 2018-06-26

Интересно представлен новый сервис в сочетании со старым инструментом.

Пaвeл Собкор
18:18:21 2018-06-26

@Влад, @Вячeслaв, Реклама – двигатель прогресса. На мой взгляд, у Dr.Web она как-то слабовата. Все больше - сарафанное радио.
Хотя может быть это и правильно. Слишком навязчивая реклама раздражает.

Дмитрий
18:13:16 2018-06-26

Письма от незнакомых людей удаляю. Особенно - с вложениями! Поучительно.

mk.insta
17:52:07 2018-06-26 Именинник

Прекрасная статья, но это ведь для НЕвладельцев нашего антивируса :)

zsergey
17:45:29 2018-06-26

Нужно всегда быть бдительным.

Вячeслaв Собкор
17:08:59 2018-06-26

@Влад, а что делать, если подавляющее количество и клиентов и партнеров новости не читает? Как донести до них наличие полезного инструмента?

Татьяна
16:59:02 2018-06-26

@dyadya_Sasha, Поздравляю Вас с Днем рождения! Крепкого Вам здоровья и благополучия!

Влад
16:24:10 2018-06-26

реклама.._платного инструмента хм

МЕДВЕДЬ
16:17:20 2018-06-26

Любопытной Варваре на базаре нос оторвали.

DrKV Собкор
15:45:40 2018-06-26

Хороший выпуск. Поучительный пример. Спасибо.

Геральт Собкор
15:35:00 2018-06-26

Молодцы что придумали Dr.Web vxCube.

Toma
14:25:02 2018-06-26

Выпуск еще раз напоминает, что не следует запускать файлы, полученные в письмах от незнакомых людей.

Toma
14:23:35 2018-06-26

@dyadya_Sasha, С Днем рождения! Успехов! Удачи!

Littlefish Собкор
13:56:23 2018-06-26

@dyadya_Sasha, поздравляю Вас с днём рождения! Желаю чтобы у Вас всегда было на десерт самое желанное и приятное!

Oleg
13:44:58 2018-06-26

Любопытство,не приводит ни к чему хорошему.

Littlefish Собкор
13:44:26 2018-06-26

Dr.Web vxCube - шикарный сервис. В выпуске наглядно показали его работу.
Остаётся только дождаться его версии для обычных пользователей.

Sasha50 Собкор
13:38:02 2018-06-26

@dyadya_Sasha, с днем рождения! Надежной защиты от зловредов на всегда!

Biggurza Собкор
13:25:09 2018-06-26

Дорогой, @dyadya_Sasha! С днем рождения!! Удачи во всех начинаниях!!!

vinnetou
13:15:56 2018-06-26

Спасибо за интересный выпуск!!!Письма от незнакомых удаляю,а если с вложениями-тем более.

Вячeслaв Собкор
12:27:09 2018-06-26

@a13x, можно конечно. Но у сожалению это гарантии незаражения ваших клиентов не даст. Сканер поверяет наличие файлов непосредственно на сайте. Если же у вас какая уязвимость или внедрен скрипт, вызывающий загрузку с места, которое нами пока не блокируется, то увы это не поможет

Но тем не менее - проверяйте обязательно. К нам обращения по поводу заражений есть. Лучше перебдить, чем недобдить

Masha
12:18:56 2018-06-26

@dyadya_Sasha, с Днем рождения! Всего наилучшего!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Приключения одного вложения

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей