This Blog contains information about suspicious material delivered in Web or by email. The content is in Finnish but as far I have seen, most of the visitors come from all around the world. In most cases from Italy, USA and Russia. Maybe you use browser translators? Hope you will understand the translated content. This Finnish version is important because there are several English pages telling about these same problems but just few in Finnish.
Näytetään tekstit, joissa on tunniste JPG. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste JPG. Näytä kaikki tekstit
keskiviikko 10. lokakuuta 2018
VIRUS kuvatiedostoissa?
Kun näet konellasi - e-mail-viestin liittenä laatamanasi tämän kuvan, on koneesi jo mahdollisesti saastunut. (tämä kuva tässä julkaisussa on 100% puhdistettu viruksista).VARO kaikkia liitetiedostoja. Lue tekstiä eteenpäin ymmärtääksesi miksi myös kuvia on syytä varoa.
Olen kerran aikaisemmin kirjoittanut aiheesta, epäileväni: "Voiko kuvatiedosto sisältää viruksen?". Vastaus on KYLLÄ.
Olen saanut lähiaikoinaa muutamia e-maileja jotka ovat sisältäneet liitteen joka on ollut kuva. Nyt viimeksi pääasiassa JPG - kuva. Joskus BMP -kuva. Nämä kirjaimet löytyvät kuvanimen jälkeen viimeisenä pisteen erottamana. Viruksia kantamaan pystyy suuri määrä muitakin kuva ja tiedostomuotoja. Näistä olen maininnut aikaisemmissa kirjoituksissani.
Näitä liitekuvia ei tule avata turvallisuussyistä Viruskoodi voidaan piiloittaa useampaan kuvaan jotka sittemmin toimivat yhteistyössä, tuhoamalla koneesi tiedostoja, tai saatat varomattomuuksissa ladata verkosta ilmaisohjelman johonkin tarkoitukseesi MUTTA se saattakin olla juuri tuon kuvatiedostossa olevan viruksen laukaiseva komponentti..
Myös liitetiedosto, jonka nimenä on esim. kuva.jpg.exe onkin ohjelma jonka WIndows saattaa "autorun" komennollaan toteuttaa ja tietokoneesi on sen jälkeen saastunut.
Myös on mahdollista, että kuvatiedosto sisältää linkin verkossa olevaan virukseen.
Sen lisäksi, että ei avaa kuvia joiden alkuperää ei tunne, kannattaa estää myös kuvien näkyminen suoraan sähköpostiselaimessasi.
JA vielä tämänkin lisäksi, älä vieraile verkkosivuilla joiden turvallisuudesta ei ole takuuta. E-mailissa ja/tai verkkosivulla olevat linkit saattava ladata tai käynnistää virusohjelman koneellasi.
Näistä ansoista kertoo mm. PC World-lehti, sekä Symatec.
Alla linkit aiheeseen näille sivuilla:
Symatec: https://www.symantec.com/security-center/writeup/2002-030110-3845-99?tabid=2
PC World: https://www.pcworld.com/article/2105408/3/watch-out-for-photos-containing-malware.html
Symatec analysoi Mosquito-viruksen sivuillaan. (Suluissa omia kommenttejani)
Writeup By: Patrick Nolan
Discovered: February 25, 2002 (vanha tekniikka joka vasta hiljan on alkanut yleisrtyä)
Updated: February 13, 2007 11:38:24 AM
Also Known As: Bat/fz, BAT/Cream.A, BAT.Mosq.B (viruksen komponenttien nimiä)
Type: Virus
This virus is actually a two-part file. The first part of the file is a bitmap image, which is displayed if the file has a .bmp extension. The other portion of the file is a BAT script virus, which will execute if the file has a .bat extension, regardless of the .bmp header. (virus jaetaan kahtena eri komponettina = tiedostona)
This virus contains the string "MO§QUITO CREAM II" in a comment statement. (viruksen koodin kommenttirivillä, lukee tuo lainausmerkeissä oleva teksti)
What the virus does depends on its extension when it is run.
If Bat.Mosquito.B.gen is run as a .bmp file
If Bat.Mosquito.B.gen is run as a .bmp (bitmap) file, it displays this image: (jos virus aukeaa ainoastaan kuvamuodossa, näkyy vain kuva)
No other actions are performed if run as a .bmp file.
If Bat.Mosquito.B.gen is run as a .bat file
If Bat.Mosquito.B.gen is run as a .bat (batch) file, it does the following: (jos virus avataa BAT muodossa, se saa aikaan ilkeitä)
Tämän jälkeen tulee lista ilkeistä operaatioista koneellasi. Lue ne Symatcin linkistä, koska on tarpeetonta toistaa niitä tällä sivulla. Oleellista on välttää, tuntemattoman lähettäjän liitetiedostojen aukaisemista olipa liitetiedosto minkä niminen tahansa.
HUOM! Myös saattaa olla, että spämmeri on varastanut kaverisi sähköpostiosoitteen, joten lue huoella ensin kirjeen teksti joka ilmeisimmin paljastaa onko viesti todellinen vaiko spämmerin keksimä. Myös tyhjiä kirjeita saattaa saapua virusliitteillä varuistettuina.
Olen kirjoittanut aikaisemmin PNG-viruksesta helmikuussa:
https://vaarallinenweb.blogspot.com/2018/02/voiko-png-tiedosto-sisaltaa-viruksen.html
Tunnisteet:
BAT,
BMP,
EXE,
JPG,
kuvatiedostossa,
kuvavirus,
MO§QUITO CREAM,
mosquito,
virus
keskiviikko 3. lokakuuta 2018
Spämmiä Googlen nimissä
Näitä saapuu erilaisin tekstein jossa olen voittanut sitä sun tätä. Tämän liitteenä on JPG kuvatiedosto jonka tiedetään voivan sisältää osittaista viruskoodia ja kaikissa tapauksissa se on osa huijjausyritystä.
Tässä Blogissa aikaisemmin mm. https://vaarallinenweb.blogspot.com/2018/08/google-palkito-japanista-tai-venajalta.html
-----------------------------e-mail------------------------------------
Verkossa tiedetään kertoa, että nämä ovat pääasiassa nigerialaista alkuperää.
Kirjeen lähdekoodista tunnistaa helposti spämmin, koska siinä on kertautunutta tietoa spämmisuodinten hakkeroimiseksi. Tässä alla esimerkki headeri eli kirjeen aloitusrivit lähdekoodissa. kaksoissuluissa olevat kommentit ovat minun:
Viimeisin Google-palkinto sapui Japanista ja reply osoite olisi vienyt Bahamalle. Bahaman osoite oli väärennetty @googleprom-team.com. Kuten arvata saattaa, domainnimen rekisteröijän tiedot oli piiloitettu.Siinä oli PDF-liite joka myös pystyy kantamaan viruksen.
Tässä Blogissa aikaisemmin mm. https://vaarallinenweb.blogspot.com/2018/08/google-palkito-japanista-tai-venajalta.html
-----------------------------e-mail------------------------------------
Dear Google User,
We congratulate you for being selected as a winner on our ongoing
promotion, you were selected due to your active use of our online
services, find and read the attached letter for more information about
your winning.
Larry Page,
CEO / CO-Founder
GOOGLE INC
----------------------------------------------------------------------
Verkossa tiedetään kertoa, että nämä ovat pääasiassa nigerialaista alkuperää.
Kirjeen lähdekoodista tunnistaa helposti spämmin, koska siinä on kertautunutta tietoa spämmisuodinten hakkeroimiseksi. Tässä alla esimerkki headeri eli kirjeen aloitusrivit lähdekoodissa. kaksoissuluissa olevat kommentit ovat minun:
Received: via tmail-2007f.2015-sau for fp6592.200; Tue, 2 Oct 2018 21:18:10 +0300 (EEST) Received: from fe22.mail.saunalahti.fi (fe22.mail.saunalahti.fi [62.142.5.27]) by be408.mail.saunalahti.fi (Postfix) with ESMTP id 85740601A6 for <fp6592@be408.mail.saunalahti.fi>; Tue, 2 Oct 2018 21:18:10 +0300 (EEST) X-Client-Addr: 62.75.161.166 ((saksalainen palvelin jolta viesti on saapunut)) X-Client-Addr: 62.75.161.166 X-Client-Addr: 62.75.161.166 Received: from vs161166.vserver.de (static-ip-62-75-161-166. inaddr.ip-pool.com [62.75.161.166]) ((saksalainen palvelin)) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by fe22.mail.saunalahti.fi (Postfix) with ESMTPS id 8C46520006; Tue, 2 Oct 2018 21:18:05 +0300 (EEST) ((tästä alkaa suodattimen hakkeriointi)) X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network X-No-Relay: not in my network ((spämmi-suodatin pettää)) Received: from User (unknown [142.0.38.234]) ((tuntematon USA:sta kotoisin oleva kone)) (Authenticated sender: info@sander-online.com) ((kaikki omistajatiedot on piiloitettu)) by vs161166.vserver.de (Postfix) with ESMTPA id 475A5183CDA; ((sakasalinen palvelin)) Tue, 2 Oct 2018 18:26:50 +0200 (CEST) Reply-To: <jefferydean1960@gmail.com> ((tämä osoite on ilmaisosoite, joten sen todellisen omistajan selvittäminen on hankalaa)) From: "GOOGLE INC"<info@sander-online.com> ((tämä kirje ei tule Googlelta)) Subject: Official Google Notification ((ei siis ole Googlen postia)) Date: Tue, 2 Oct 2018 09:26:55 -0700
On mahdollista, että saksalainen verkkokauppa sander-online.de on rekisteröinnyt rinnakkaisdomanin sander-online.com jota se ei käytä ja tämä domain ja postiosoite: info@sander-online.com on hakkeroitu spämmikäyttöön? Näitä GOOGLE spämmejä tulee aivan samanlaisia muistakin lähetysosoitteista.
Viimeisin Google-palkinto sapui Japanista ja reply osoite olisi vienyt Bahamalle. Bahaman osoite oli väärennetty @googleprom-team.com. Kuten arvata saattaa, domainnimen rekisteröijän tiedot oli piiloitettu.Siinä oli PDF-liite joka myös pystyy kantamaan viruksen.
Tilaa:
Blogitekstit (Atom)