sunnuntai 22. kesäkuuta 2025

NYT SYÖTETÄÄN VAARALLISTA RAUTALANKAA

Kiinalaiselta postipalvelimelta saapui VAARALLINEN kirje.

Kirjeen ansa on toteutunut jo siinä vaiheessa, kun avaat sähköpostin, eli virustorjuntasi on syytä olla kunnossa. Virustorjuntapalvelu Falcon Sandbox:n raoportti löytyy kuvakaappauksen alapuolelta.

----------------------------KIRJE ------------------------------


Kirje saapui honkongilaisesta osoitteesta:
15009567621<15009567621@163. com>

Return-Path: <teotgbva@uni-hohenheim. de>
Fakultäten & Institute: Universität Hohenheim = saksalainen yliopisto mutta kirje ei saavu sieltä, eikä palautusosoitteella ole merkitystä, koska virus on jo koneellasi, jos virustorjuntasi ei ole kunnossa.

Falcon Sandbox Reports:

MALICIOIUS (VAARALLINEN)
Drops executable files to the Windows system directory 
(pudottaa ohjelmatiedostoja koneesi järjestelmäkansioon)

File type "DOS executable (COM)" was dropped at "%WINDIR%\SystemTemp\chrome _PuffinComponentUnpacker_BeginUnzipping3672_1288410438\Part-RU" (RU saattaa viitata venäläiseen alkuperään?)
File type "PDP-11 pure executable not stripped - version 8" was dropped at "%WINDIR%\SystemTemp\chrome _PuffinComponentUnpacker_BeginUnzipping3672_1999391634\typosquatting_list.pb" 

KÄÄNNÖS
Tiedostotyyppi "DOS executable (COM)" poistettiin tiedostosta "%WINDIR%\SystemTemp\chrome_ PuffinComponentUnpacker_BeginUnzipping3672_1288410438\Part-RU"
Tiedostotyyppi "PDP-11 pure executable not stripped - version 8" poistettiin tiedostosta "%WINDIR%\SystemTemp\chrome_ PuffinComponentUnpacker_BeginUnzipping3672_1999391634\typosquatting_list.pb

TOISIN SANOEN SAMASTA VAARASTA

Persistence
    Installs hooks/patches the running process 
Fingerprint
    Queries sensitive IE security settings
    Queries the display settings of system associated file extensions 
Exploit
    Contains escaped byte string (often part of obfuscated shellcode) 

KÄÄNNÖS
Pysyvyys
Asentaa koukkuja/korjauksia käynnissä olevaan prosessiin
Sormenjälki
Kyseli arkaluontoisia IE-tietoturva-asetuksia
Kyseli järjestelmään liittyvien tiedostopäätteiden näyttöasetuksia
Hyödyntää haavoittuvuutta
Sisältää koodinvaihdolla merkittyjä tavuja (usein osa hämärrettyä komentotulkkikoodia)


Lähettänyt klo
Tunnisteet: ,

Ei kommentteja:

Lähetä kommentti

Vaarallinen WEB

Tilaa: Lähetä kommentteja (Atom)