torstai 21. maaliskuuta 2019

DHL:n yritysgrafiikalla "kuvitettu" pommikirje

Tällä kertaa on menty askel pidemmälle. Enää et voi päätellä suoraan lähettäjän osoitteesta, mistä kirje on peräisin. Tämä kirje on ikäänkuin lähetetty DHL:n e-mailista. MUTTA näin ei asian laita ole. Liitteenä on kaiken lisäksi VIRUS tai HAITTAOHJELMA. Älä koske liitteeseen.

Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.

Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)


Kirjeen headerin analyysiä alla:

Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
    by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
    (envelope-from <notify@dhl.com>)

TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)

X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations. With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU

LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
 name=DHL_AWB#280991007.pdf

.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
 filename=Dhl.png;

KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:

Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html



2 kommenttia:

  1. En tiennyt, että PDF-liitetiedosto voisi sisältää viruksen. Toisaalta voisin kuvitella, että virus voidaan tiedostoon ilmeisesti ohjelmoida ja avaamisen myötä käynnistää? Täytyykin kysyä mielenkiinnosta veljeltäni kuka paljon työskentelee PDF-muokkausohjelman kanssa, että kuinka usein tällaista tapahtuu. https://mmpro.fi/tuotetiedot

    VastaaPoista
  2. Mikrobitti on aiheesta ainakin varoittanut. Minusta on loogista, että jokainen tiedostomuoto, joka sallii sisällään "ohjelman" voi toimia virusten levittäjänä. Harvemmin käyttäjä edes huomaa käynnistäneensä viruksen, vaikka se pyytäisi asennusoikeutta. Se voi esiintyä muka "välttämättömänä applikaationa" joka mahdollistaisi jonkun kirjeen/liitteen osion esittämisen tai se voi myös esiintyä jonkin ajurin "päivityksenä". En ole lukenut MikroBitin artikkelia, Se kertoo luultavimmin enemmän aiheesta.
    https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
    IS kommentoi DigiTodayn artikkelia, joka varoittaa PDF viruksesta:
    https://www.is.fi/digitoday/art-2000001346106.html

    VastaaPoista

Vaarallinen WEB