Näytetään tekstit, joissa on tunniste PNG. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste PNG. Näytä kaikki tekstit

torstai 21. maaliskuuta 2019

DHL:n yritysgrafiikalla "kuvitettu" pommikirje

Tällä kertaa on menty askel pidemmälle. Enää et voi päätellä suoraan lähettäjän osoitteesta, mistä kirje on peräisin. Tämä kirje on ikäänkuin lähetetty DHL:n e-mailista. MUTTA näin ei asian laita ole. Liitteenä on kaiken lisäksi VIRUS tai HAITTAOHJELMA. Älä koske liitteeseen.

Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.

Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)


Kirjeen headerin analyysiä alla:

Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
    by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
    (envelope-from <notify@dhl.com>)

TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)

X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations. With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU

LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
 name=DHL_AWB#280991007.pdf

.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
 filename=Dhl.png;

KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:

Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html



maanantai 26. helmikuuta 2018

Voiko PNG tiedosto sisältää viruksen?

Onko PNG-virus mahdollinen? Sitä on pohdittu eri verkkosivuilla ja ainakin yhdessä tapauksessa sen on todettu voivan sisältää viruksen. Lue koko sivu loppuun ajatuksella.

Sain tänään tyhjän sähköpostin jonka liitteenä oli PNG - tiedosto. PNG on kuvatiedosto jonka ei pitäisi olla vaarallinen. Kuva oli kilotavuiltaan pieni, eli ei pitäisi voida sisältää koodia. MUTTA.
ÄLÄ sinäkään missään tapauksessa luota onneesi virusten kanssa, vaan heitä tällaiset epämääräiset kirjeet roskiin ja tyhjennä roskis.



Minun kirjeeni saapui venäjältä ja se pyydettiin kierrättäämään epämääräiseen g-mail osoitteeseen. En tietenkään tehnyt niin.

"Brasilialaisen" PNG-viruksen toimintatavasta kertoo venäläinen verkkosivu: https://securelist.com/png-embedded-malicious-payload-hidden-in-a-png-file/74297/

Vapaa käännös SecureListin (Kaspersky Lab) tekstistä joka on sinänsä täyttä asiaa:

Brasilian virushyökkäykset kehittyvät päivittäin, yhä monimutkaisemmiksi ja tehokkaammiksi. On syytä olla varovainen tuntemattomista lähteistä peräisin olevien sähköpostien suhteen, erityisesti on varottava niiden linkkejä ja liitteitä sisältäviä tiedostoja.

Koska PNG-tiedostoon upotettuja haittaohjelmia ei voida suorittaa ilman sitä suorittavaa ohjelmaa, sitä ei voida käyttää tärkeänä saastuttajakomponenttina joka toimitetaan postilaatikkoosi, joten viruksen toimeenpaneva ohjelma on asennettava erikseen (siitä syystä kenties tuo kiertokirje jonka paluupostissa saattaisi saapua tuo toinen viruskomponentti, tai sitten ihan muuta kautta).

Tämä tekniikka mahdollistaa rikollisten piilottaman binaarikoodin tiedoston sisälle, joka näyttää olevan PNG-kuva. Se myös tekee virusanalyysimenetelmistä vaikeampia ja ohittaa automaattisen prosessin, haittaohjelmien havaitsemiseksi isäntäpalvelimilla.

-----------------loppusanat--------------------

Mielenkiintoista tässä myös on, että tämä Kaspersky Labin sivu tulee Googlauksessa ensimmäisenä ja Kaspersky Lab toimittaa virustorjuntaohjelmia jotka kuulemma estävät tämän PNG hyökkäyksen.
En uskaltaisi ladata tuota Kasperskyn ohjelmaa koneelleni ihan vaan syvistä ennakkoluulosyistä. Sehän saattaa olla juuri SE viruksen laukaiseva ohjelmakomponentti?
Verkossa kaikki on mahdollista :)

Verkkolehti WIRED kertoo tarinaa Kasperskysta
. Näissä asioissa kannattaa luottaa omaan terveeseen järkeen, ei propagandaan: https://www.wired.com/story/kaspersky-russia-antivirus/