any.run virustarkistajasta löytyy vaarallinen tietokanta

Venäläinen Yandex on perustanut haittaohjelmia tunnistavan sivuston "any.run" MUTTA sen tarjoama virusraporttikanta on merkitty Googlen toimesta VAARALLISEKSI.

Hakutulos kertoo linkistä "https://app.any(.)run/submissions/":
-----------------------------------------

(punainen ajokietomerkki kertoo sivuston olevan vaarallinen. Saattaa olla, että koska kanta on pullollaan vaarallisia "näytteitä", se on ilman muuta vaarallinen ja toiminnee hakkereiden haittakoodien opinto- ja jakokeskuksena?)

------------------------------------------------.

En ota kantaa, onko AnyRun virusanalyysi vaarallinen vaiko ei mutta itse en sitä käyttäisi. Luottamus kaikkeen Venäjältä saapuvaan on mennyt. Verkossa kerrotaan, että perustaja ei edes ole venäläinen MUTTA nyt homma pyörii Yandexin koneella, joka on venäjällä, enkä luota venäläiseen alustaan pätkääkään. Yandexin koneelle johtaa useampikin haittapostilinkki.

Any Runin Perustajasta kerrotaan:
"Any. Run is based out of United Arab Emirates and was founded in 2016 by security researcher Alexey Lapshin.".

Puhelimeen saapuva - virus - viesti

FluBot haittaohjelman asennustiedostoa levitetään puhelinviestien linkkien kautta.
Ohjelma kerää laitteestasi tietoja (mm. mahdollisesti pankkikirjautumisia, osoitteistojasi ja käyttäjätunnuksiasi eri palveluihin). Haittaohjelma saattaa olla muunkin lainen ja eri niminen mutta toiminnan tarkoitus on aina haitallinen. 

Viestit ovat lyhyitä. Lähinnä ilmoitus viestistä. Viestit sisältävät myös ääniviestilinkkejä. Viesti saattaa ilmoittaa postilähetyksestä tai paketista. 

Älä avaa viestin linkkejä! Tarkista puhelinnumero, josta viesti on sapunut. Jos se näyttää tuntemattomalta tai on epäilyttävän muotoinen (esim. ei ole tuntemasi numero tai alkaa ulkomaan tunnuksella, poista viesti, tai älä ainakaan koske siihen). Linkki ei asenna virusta jos et anna asennukselle lupaa. Jos olet ehtinyt asentaa linkin kautta saapuneen tiedoston, käy Kyberturvallisuuskeskuksen sivuilla katsomassa ohje viruksen poistamiseksi. Jos et osaa toimenpidettä tehdä, sammuta laite ja vie se huoltoon putsattavaksi. Ilmoita tapaus myös Kyberturvallisuuskeskukseen ja poliisille.
Poliisin sivuilla on myös kuvauksia verkkorikollisten toimintatavoista.

Näyttäisi, että yleensä puhelinnumero alkaa Suomen maatunnuksella mutta numero vaihtelee mm. 499 alkuisena, eli on ilmeisesti pre-paid, koska numeroita on todella useita? Numeron esto ei juurikaan vähennä viestien määrää.

Tätä kirjoittaessani sain viestin John & Elliotilta, jonka kanssa en ole koskaan ollut missään tekemisissä, enkä diggaa edes rugbya. Viestissä olisi ollut linkki verkko-osoitteeseen "worldpressworlds.com:in" tietokantaan joka on hyvä piilo viruksille. Etusivu osasi vain kiinaa.

Lue myös Viestintäviraston varoitus näistä viesteistä:
https://www.kyberturvallisuuskeskus.fi/fi/tekstiviestitse-levitettavat-android-haittaohjelmat

Tietoa näistä vaaroista löytyy myös Verkon vaarat tukiryhmän sivuilta:
https://www.facebook.com/photo/?fbid=10216456253077591&set=gm.2445840995548392

Verkkohuijaukset toimivat ja voivat hyvin

Tiedotustoiminnasta huolimatta, aina löytyy joku onneton henkilö, joka lankeaa verkkorikollisten ansoihin. Tämä blogi on perustettu eri huijauksista varoituksia ja tietoa levittämään.

Myös Helsingin uutistet kirjoitti 22.11.2021 aiheesta ansiokkaan artikkelin. Aihetta on käsitelty myös YLE:n uutisissa, sekä joukossa aikakauslehtiä. Kyberturvallisuuskeskus tiedottaa myös ajankohtaisita uhista. Viesti menee hitaasti perille ja rikollisten ansat kehittyvät ajan kuluessa.

Helsinginuutisten artkkelissa luokiteltiin huijaukset muutamaan eri tyyppiin

- Sijoitushuijauksilla (on viety 13 milj. € tänä vuonna). Sijoittajat ovat yleensä rahapelureita joilla on ilmeisesti varaa menettääkin omaisuuksia mutta suoranainen huijaus luulisi olevan haistettavissa sijoittajapiireissä. Huijatut ovat ilmeisesti alottelijoita alalla.

- It-tukihuijaukset (esimerkiksi tuntematon IT-tuki haluaa päästä koneesi hallintaan etäohjelmalla, tai jokin taho haluaa päivittää tietokoneesi ajurit, joka saattaa merkitä viruksien asennusta), toimitusjohtajahuijaukset (tiedän ainakin laskuhuijaukset ja tuotetilaukset, joita ei koskaan makseta. samoin ryhmään kuuluu petolliset yhteistyötarjoukset).

- Rakkaus- ja nigerialaishuijaukset (imartelu, suuret lupaukset, valeprofiilit, lainatut nimet ja kuvat vakuutteluina) (viety yli 13 miljoonaa euroa) Rakkaus myy aina hyvin.

- Pankkien nimissä tehdyt huijaukset (viety yli 9 milj. euroa tänä vuonna. Tästä huijaustyypitä olen kirjoittanut ja varoittanut tällä palstalla runsaasti. Esimerkkejä eri tavoista löytyy blogistani kymmenittäin. Huijaustyyppiin sisältyy julkisiin palveluihin pankkitunnistuksen kautta tehdyt tunnistautumistietovarkaudet.

- Lisäisin itse tähän vielä nuo kiristyshuijaukset. Katteettomalla uhkailulla yritetään saada uhri maksamaan lunnaita. Yleensä lunnaat pitää maksaa bittirahalla. Näitä huijaustyyppejä ovat "muka" nauhoitetut arkaluontoiset verkkoistunnot, videovakoilu, äänivakoilu ja niillä saadun arkaluontoisen tiedon levityksellä uhkailu, koneen tiedostojen vahingoittaminen (kryptaaminen ja poistaminen) jollakin koneellesi istutetulla ohjelmalla ym.
Kiristykseen ei tule suostua, vaan pitää viedä kone huoltoliikkeeseen putsattavaksi (jos siinä edes virusta on). Hanki ainakin hyvä virustorjuntaohjelma, jossa on aktiivinen selainsuojaus.

- Samoin Pishing eli henkilötietovarkaudet on myös hyvin suosittu huijaustyyppi. Jollakin tekosyyllä (palkinnon toivossa, perinnön toivossa, lahjoitus ym. tekosyy) pyritään onneton verkkoasioija antamaan henkilötietojaan, jopa pankkitietojaan, joita sitten käytetään esim. verkko-ostoksiin vastuuttomissa verkkokaupoissa tai verkkopelaamiseen.

DHL:n yritysgrafiikalla "kuvitettu" pommikirje

Tällä kertaa on menty askel pidemmälle. Enää et voi päätellä suoraan lähettäjän osoitteesta, mistä kirje on peräisin. Tämä kirje on ikäänkuin lähetetty DHL:n e-mailista. MUTTA näin ei asian laita ole. Liitteenä on kaiken lisäksi VIRUS tai HAITTAOHJELMA. Älä koske liitteeseen.

Jos odotat DHL lähetystä:
1) DHL lähettää suomaliselle asiakkaalleen suomenkielisen viestin.
2) voit tarkistaa lähetyksen aitouden DHL:n sivulta tuolla lähetyskoodilla. Jos koodi ei anna hakutulosta, kirje on pommi. ÄLÄ missään tapauksessa avaa PDF liitetiedostoa.

Lue edelleen analyysi kirjeen alapuoleta (mm. kirje on kuva, eikä todellinen kirje)

Kirjeen headerin analyysiä alla:

Received: from [127.0.0.1] (port=57502 helo=ganesha.w2imailservers.net)
    by ganesha.w2imailservers.net with esmtpa (Exim 4.91)
    (envelope-from <notify@dhl.com>)

TÄMÄ KOHTA KERTOO, ETTÄ KIRJEEN DHL OSOITE ON SAATU "PEILAAMALLA" SE DHL:N PALVELIMELTA (envelope)

X-Get-Message-Sender-Via: ganesha.w2imailservers.net: authenticated_id: surbhit@mrscorporation.com
X-Authenticated-Sender: ganesha.w2imailservers.net: surbhit@mrscorporation.com
AUTENTIKOITU LÄHETTÄJÄ ON mrscorporation.com
MRS:N VERKKOSIVU KERTOO: We are presently delivering services to a portfolio of public and private sector organizations. With office in Delhi and branch associates in Ahmedabad, Bhopal, Chandigarh, etc., we are fast developing a pan-India reach. ELI KIRJEEN TODELLINEN LÄHETTÄJÄ ON JOSSAKIN PÄIN TÄTÄ ORGANISAATIOTA TAI TODENNÄKÖISEMMIN TÄMÄN ORGANISAATION JOKU KONE ON KAAPATTU

LIITETIEDOSTO "PDF" PÄÄTTEELLÄ VOI SISÄLTÄÄ HAITTAOHJELMAN
Content-Type: application/pdf;
 name=DHL_AWB#280991007.pdf

.PNG KERTOO, ETTÄ KYSEESSÄ ON KUVA. TUO YLLÄ OLEVA DHL:N KIRJE ON KUVANA. KIRJE EI SIIS OLE MYÖSKÄÄN AITO.
Content-Disposition: inline;
 filename=Dhl.png;

KOSKA LINKIT EIVÄT AKTIVOIDU KOMMENTEISSA siirrän kommentissani mainitsemat linkit tänne artikkeliin:

Aiheesta kirjoitti MikroBitti:
https://www.mikrobitti.fi/uutiset/haittaohjelma-hyokkaa-nain-tietosi-varastetaan/ff34ef99-4f66-359c-b3ba-5332ab3e9b30
IS kommentoi 8.8.2001 DigiTodayn artikkelia, joka varoittaa löytyneestä PDF viruksesta:
https://www.is.fi/digitoday/art-2000001346106.html

Natalia Openland tactical-firmasta "lähetti" liite-viruksen?

Tämän allaolevan kirjeen mukana saapui liitteenä DOC - tiedosto jossa oli haittaohjelma. Virustorjuntani poisti liitteen mutta julkaisen tämän tiedotteen varoitukseksi niille, joilla ei ole yhtä tehokasta virustorjuntaa.
Asiallisenkaan näköisen firman linkkeihin (tai minkään kirjeen liitetiedostoihin) ei tule koskea, mikäli ei ole 100% varma liitetiedoston alkuperästä.

Tämäkin firma löytyy ja domannimitiedustelu osoittaa sen olevan asiallisen yrityksen, kuten firman verkkosivutkin osoittavat MUTTA, tämä kirje ei olekaan lähetetty tästä firmasta, vaan sen on lähettänyt verkkorikollinen joka on liittänyt sen liitteeksi DOC tiedostoviruksen. Kirje on saapunut "server.murphioncvs.com" palvelimen kautta ja sen lähettäjäksi on "peilattu"  italialaisen "openland tactical.com" domannimi. "murphioncvs.com" domannimeä ei enää ole onneksi rekisterissä lähettelemässä pommikirjeitä.

Jos jonkin mainoskirjeen tuote kiinnostaa, mene verkon kautta firman omille sivuille (ei kirjeen linkeistä) ja tutustu siellä tuotteisiin. Google haun kauttakin on turvallisempaa, kuin suoraan e-mail linkeistä.Selainten turvaohjelmat saattavat varoittaa joistakin sivuita ja varoitus kannattaa ottaa vakavasti.

-----------------------------KIRJE------------------------------------- 

Otsake:

NEW ORDER TRACKSUITS model PREMIUM / 2T SPORT
Lähettäjä: Natalia

Hello,

hereby to place a new URGENT order for 25 pcs of the suit as samples,

5pcs for each size. Attached you can find the picture of the exact model.

We need to send this samples to our client in order to take their measurements and let us have the exact division for each size.

We inform you that the hole order is for 1170pcs, as soon as the size identification will be done.

Looking forward to your reply.

Many thanks

Best regards

Natalia Vitoroi

Openland Tactical S.r.l.

Via Barcis 1/E

33170 Pordenone ( PN ) – Italy               

P.IVA / VAT Number 01804490934

Tel. +39 0434 551292

    

Le informazioni contenute in questo messaggio sono riservate e confidenziali ed è vietata la diffusione in qualunque modo eseguita. Qualora Lei non fosse la persona a cui il presente messaggio è destinato, La invitiamo ad eliminarlo e a non leggerlo, dandocene gentilmente comunicazione.  Rif. D.L. 196/2003

This e-mail (including attachments) is intended only for the recipient(s) named above. It may contain confidential or privileged information and should not be read, copied or otherwise used by any other person. If you are not the named recipient, please contact us and delete the e-mail from your system. Rif. D.L. 196/2003.

---------------------------------------------------------------------------------

Softonic haittaohjelma

JOS olet ladannut jotakin Softonicin sivuilta, poista ohjelmat. Softonic levittää haittaohjelmapakettia mm. hakuohjelmaa jolla ohjataan hakuja tarpeettomille sivuille tai jopa haitallisille sivuille.
Jos et osaa, tai tiedä, miten tuo ohjelma poistetaan, käy lukemassa ohjeet sivulta:
https://virukset.fi/softonic/

Liitepommi sekoiluviestissä

Toisinaan nämä ansaviestit ovat sangen huvittavia ristiriitaisuuksineen.
Liennee tarkoituksena saada syvää hämmennystä aikaan?

Tässä kirjeessä on taatun varma LIITEPOMMI, ei kannata avata liitettä missään tapauksessa.

Ristiriitaisuudet alkavat sähköpostini sulkemisella (otsake). Kirjeessä on venäläinen ID (.ru). Kirje kertoo, että olisin saamassa saatavia tilauksesta (jollaista en ole koskaan toimittanut, eikä minulla ole ollut koskaan mitään tekemistä kyseisen firman kanssa), lisäksi toimiala on laskutusosoitteen e-mailin mukaan "sushibaar" eli ravitsemuspuolella jonka kanssa minulla ei ole mitään tekemistä.
Oletan, että "standingsushibar.com"-e-mail osoite on kapattu spämmäystarkoitukseen.
Kirjeen asioiden sekoilu saattaa johtua spämmirobotin sekoilusta tai spämmerin omasta sekoilusta. Sikäli hyvä, että syvien epäilysten tulisi herätä jokaisella vastaanottajalla.

findbetteresults.com - verkkosivu on vaarallinen

Malwarebytes virustorjuntaohjelma  löysi koneeltani (ilmeisesti junk-kansioni haittapostien joukosta) findbetterresults.com:in linkin ja ilmoitti plokanneensa sen. Hyvä niin, vaikka en ollut siihen aikonut edes koskea.
Tämän artikkelin otsakkeessa oleva domanosoite on hieman muokattu, vaikka se ei ole edes linkkinä. Vahinkojen välttämiseksi.

Tietoja tästä ikävästä troijjalais-viruksesta on saatavilla verkosta runsaasti mutta jokaisen on hyvä tietää, että tällainen osoite on VAARALLINEN. Osoite piiloitetaan johonkin spämmi e-mailin linkkiin (linnkki teksti saattaa näyttää tekstinä jotakin aivan muuta, vaikkapa "poista minut tältä sähköpostilistalta"), e-mailissa kehoitetaan klikkailemaan sitä sun tätä ja linkeistä saapuu koneellesi sitten tuo virus. Haittapostien erilaisia sisältöjä ja tunnistusmahdollisuuksia, on lueteltu tässä Blogissa runsaasti.
Virustorjuntaohjeet ja ohjelma, löytyvät alla olevasta osoitteesta:

Remove findbetterresults.com - Trojan Killer
https://trojan-killer.net/get-rid-findbetterresults-com-hijacker-full-tutorial/

https://trojan-killer.net › Removal Guides

12.4.2017 - Are you among those whose default homepage and search engine have been replaced by "findbetterresults.com"? If yes then you are clarified that your PC is no more infection free. It has been infected by a malware program. This malware is categorized as a browser hijacker because of three major factors: ...

VAPAASTI KÄÄNNETTYNÄ
Jos havaitset, että selaimesi kotisivu ja hakuohjelmasi on käännetty tuohon findbetterresults.-com:in osoitteeseen, sinun koneesi on saastunut. Koneellasi on haittaohjelma. Tämä haittaohjema on luokiteltu selaimen haltuunottajaksi (selainkaappari), (sitten seuraa lista haittaohjelmaluokittelusta, joita en käännä). 

Lääkkeitä kiristysohjelmia vastaan

Jos olet saanut viruksena koneellesi "kiristysohjelman" (SO ohjelman joka "kryptaa" kaikki tiedostosi siten, että et saa niitä enää itse auki), on mahdollista, että selviät tietojen kadottamisen uhkasta muullakin kuin maksamalla kiristäjälle. Verkkosivustolta "No More Ransom" löytyy ohjeita ja ohjelmia, sekä avainkoodeja kryptattujen tiedostojen palauttamiseksi.

Sivu löytyy osoitteesta:
https://www.nomoreransom.org/

Android laitteitten haavoittuvuusongelma

Android-laitteesi haavoittuvuuden voit tarkistaa osoitteessa:
https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector

Helsingin sanomat julkaisi 19.3.2016 Viestintäviraston varoituksen (Päivitetty 21.03.2016) vanhojen Android laitteitten; puhelimien ja tablettien haavoittuvuusongelmasta.

http://www.hs.fi/tekniikka/a1458355879140

HS "Haitallista sisältöä sisältävä mediatiedosto voidaan toimittaa laitteeseen esimerkiksi multimediaviestin, sähköpostin, bluetooth-yhteyden tai verkkosivulla vierailun kautta.
Nyt löydetty Metaphor-haavoittuvuus toimii Android-versioissa 2.2–4.0 sekä versioissa 5.0–5.1. Androidin virallisten sivujen mukaan noin viisi prosenttia käytössä olevista Android-laitteista käyttää versioita 2.2–4.0.4. Vastaavasti 5.0–5.1-versioita käyttää yli kolmannes kaikista Android-laitteista."

Viestintäviraston sivuilla kerrotaan tarkemmin asiasta:
"Loppukesällä 2015 Zimperiumin julkistama Stagefright on joukko haavoittuvuuksia mediatiedostojen käsittelyyn käytetyn Stagefright-kirjaston mediaserver-komponentissa. Haavoittuvuudet mahdollistavat haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä jopa ilman käyttäjän toimia, jos haitallista sisältöä sisältävä mediatiedosto toimitetaan laitteeseen esimerkiksi multimediaviestin, sähköpostin, Bluetoothin tai verkkosivulla vierailun avulla."

Viestintävirasto ohjeistaa Android laitteitten käyttäjiä erityiseen varovaisuuteen:
"Niitä Android-laitteita, joihin korjauspäivitystä ei ole saatavilla, kannattaa käyttää harkiten. Rajoitusmahdollisuutena voi poistaa käytöstä MMS-viestien automaattisen lataamisen ja estää tuntemattomista numeroista tulevat viestit. Tämä ei kuitenkaan poista mahdollisuutta siitä, että haavoittuvuutta hyödynnettäisiin esimerkiksi sähköpostin tai verkkosivujen kautta. Tällä hetkellä ei ole tietoa, auttavatko Android-laitteiden tietoturvaohjelmistot rajoittamaan haavoittuvuuden hyväksikäyttöyrityksiä. "

OIKEUSTOIMILLAKIN uhataan

Dolores "ikäänkuin" karhuaa laskun osasuoritusta ja uhkaa oikeustoimilla. Tällaisia karhuja ei tarvitse maksaa. Tämänkin liitteenä on ZIP tiedosto joka sisältää viruksen tai muun haittaohjelman. ROSKIIN. Dolores olisi ainoa joka tässäkin tapauksessa joutuisi oikeuteen jos hänet jostain, jollain muulla nimellä, joskus tavoitettaisiin.

---------------------------------------e-mail----------------------------------
Dear Customer!

According to our data you owe our company a sum of $545,50. There are records saying that you have ordered goods in a total amount of $ 545,50 in the third quarter of 2015.

Invoice has been paid only partially. The unpaid invoice #74083636 is enclosed below for your revision.

We are writing to you, hoping for understanding and in anticipation of the early repayment of debt.

Please check out the file and do not hesitate to pay off the debt.

Otherwise we will have to start a legal action against you.

Regards,
Dolores stroyan
574 N Davis St, Jacksonville,
FL 63208
Phone nr: 962-846-9707
-----------------------------------------------------------------------------

WhatsApp VIRUS liikkui sähköposteissa vielä viime keväänä 2015

... ja saattaa liikkua edelleenkin. Olkaa varovaisia.
Varoitin tästä asasasta jo maaliskuussa 2014. http://vaarallinenweb.blogspot.fi/2014/03/videoansa.html

Panda Security.com kirjoitti aiheesta artikkelin "Virus in the name of WhatsApp! Now via email!"
Marta López •   August 21, 2015

Käännöslyhennelmä Panda securityn artikkelista:

"Você recebeu uma menssagem de voz… (" tai "Offline video mail")

Oletteko saanut tällaisen ilmoituksen ja ymmärtänyt sen tarkoittavan, että sinulla on ääniviesti (tai videoviesti) WhatsApp:issa? Asia ei ole kuitenkaan näin!

Jo toukokuussa varoitettiin tästä asiasta. Verkkorikolliset jatkavat edelleen hyökkäysyrityksiään sähköpostin mm. VhatsApp:in kautta. Kun kuvittelet lataavasi äänipostin koneelle, saatkin viruksen.

Kun klikkaat 'Visualizar " (tai Autoplay"), saat haittaohjelman tai pahimmassa tapauksessa useita haittaohjelmia tietokoneeseen. Mm. sellaisia jotka voivat siepata tiedostoja, lamaannuttaa tietokoneen tai tuottaa mitä tahansa ei toivottuja toimia koneellasi.

Joten, kun nyt tiedät ... Älä avaa, epäile, ja katsele tarkkaan mistä e-maili on tullut. Jos viesti on tullut muualta kuin WhatsApp:in lähettämänä, se on virusviesti. Jos sinulla on pienikin epäilys viestin oikeellisuudesta, heitä se suoraan roskakoriin!
Jos viestissä lukee lähettäjän nimi, ota yhteys lähettäjään puhelimella tai erillisellä sähköpostiviestillä osoitteeseen, jonka tiedät varmasti olevan hänen.
WhatsApp ei lähetä ilmoituksia odottelevista ääniviesteistä.

DOC - Laskuliite on ANSA

Kun saat tällaisen e-mailin jossa on laskuliite (tai mikä tahansa liite oudolta lähettäjltä), ole hyvin tarkka mistä se on tulossa ja keneltä.
Tässa e-mailissa halutaan harhauttaa vastaanottajaa aivan tosissaan. Laskun lähettäjä on 
"Patricia Crowe" <accounting@silikaus.com>. http://www.silikaus.com/ on nettikauppa mutta tämä on hämäystä. Lähettäjänimeksi jne. voidaan e-mailiin kirjoittaa mitä tahansa. Viesti ei ole myöskään järkevä, sen on tarkoitus hämätä vastaanottajaa.
Lasku on kuitenkin tullut ikäänkuin väärään osoitteeseen (osoitteeseen joka ei ole sinun):
juha.joku@elisanet.fi

Tämä ei ole mahdollista kuin huijjausposteissa. Osoite on "dummy" eli ei ole todellinen vastaanottaja. ÄLÄ MENE LANKAAN ja lähetä e-mailia takaisin tai Juha Jokulle (nimi muutettu), vaan heitä se roskikseen. ÄLÄ missään tapauksessa koske liitteeseen, se on ANSA.

Ansa saattaa olla vain manoskirje MUTTA DOC tiedosto saattaa sisältää myös ns. macro-ohjelmia jotka voivat toimia haittaohjelmina koneellasi.

E-mailissa esiintyvä redtech.com on Washingtonissa toimiva Redmond Technology Partners verkkomainontaa suunnitteleva ja tuottava toimisto. Jos tämä olisi heidän tekosiaan, en povaa pitkää tulevaisuutta heidän toiminnalleen verkossa.

Hakkeroituja sivustoja joille vievät linkit ovat vaarallisia

Tuon edellisen varoituksen vahvistamiseksi olen kerännyt tämän spämmerin käyttämiä hakkeroituja sivustoja varoitukseksi kaikille sähköpostin käyttäjille (hakkerointi tarkoittaa tässä tapauksessa, että sivulle on päästy tunkeutumaan hallinta-tunnuksin ja sinne on asennettu vierasta materiaalia).

JOS sinulle tulee epämääräinen kirje jonka linkki alkaa osoitteella, jonka osana on jokin näistä seuraavista, älä klikkaa linkkiä. Linkin päässä on mitä ilmeisimmin haittaohjelma joka saattaa anastaa koneesi dataa, tuhota koneesi datan tai jopa käyttää sinun konettasi haittaohjelmien levitykseen.

LISTA:
kyrali.com
hillsdaleart.org
creatingauthenticplaces.com
tai sen alidomaini:
competition.creatingauthenticplaces.com
embarqmail.com

residence-coteaux.fr

Lisäilen uusia osoitteita sitä mukaan, kun niitä saapuu.
Lisätkää kommenttina omia havaintojanne vastaavista sivustoista jos huomaatte sellaisia.
Näistä sivustoista on saatettu haittaohjelmat putsata pois MUTTA älkää siitä huolimatta klikkailto sähköposteissa olevia linkkejä joissa on näitä domainnimiä. Sivustot sinänsä saattavat olla aivan turvallisia.

VAROITUS oudosta e-mailista

Minulle saapui käsittämätön e-mail (ei sinänsä mitään ihmeellistä).
Tämä yhteisö jonka sähköpostilistalla spämmi oli jaettu EI lähetä tällaisia. Varsinkaan englannin kielellä. Eikä tällä tuntemallani organisaatiolla ole mitään tekemistä taiteen kanssa.
Viesti on ikäänkuin tullut tuntemaltani henkilöltä. Tämä tarkoittaa, että henkilön e-mail on väärennetty viestiin sen jälkeen kun hänen käyttämänsä sähköpostilista on kaapattu.

ÄLKÄÄ missään tapauksessa koskeko linkkiin. Sen takana on todennäköisesti haittaohjelma.
(Tässä alla oleva linkki on hieman muokattu).

Alinna on toinen vastaava varoitus eri palvelimelle vievästä hakkeroidusta linkistä.

LEVITTÄKÄÄ TÄTÄ VAROTUSTA, koska edellisen s-postin saajat olivat (useat heistä) langenneet tähän kavalaan "ystävän lähettämään" ansaan. Kehoitin heitä tarkistamaan virussuojansa, ajamaan koneellaan virustarkistuksen ainakin parilla eri virustorjuntaohjelmalla (ilmaisiakin on hyviä) ja seuraamaan koneensa käyttäytymistä viruksen varalta.
Kaapatun koneen sähköpostilöistoja saatetaan käyttää vastaaviin spämmeihin jatkossa ja on mahdollista, että kone jopa kaapataan vastaavia laittomia tarkoituksia varten.

----------------E-Mail leike-------------------

Hello!

Important message, visit http://hillsdaleart.org/hoynnest.php?3wot

arto.xxxxx@pp.inet.fi

 --------------------------------------------------

Googlen hakuun späm filtteri ilmoittaa tiedon:

Art

www.hillsdaleart.org/

Käännä tämä sivu

Tämä sivusto voi olla hakkeroitu.

Art Department, Hillsdale College Art, Painting, Drawing, Sage Center.:

_________________________________

Vastaava  spämmi on lähettetty myös toisella varastetusta e-mailosoittesta, varastetulla sähköpostilistalla ja uudella linkillä.
Googlen späm-filtrattu haku sanoo myös sen kohdesivustosta:

|| Hacked ||

competition.creatingauthenticplaces.com/

Käännä tämä sivu

Tämä sivusto voi olla hakkeroitu.

U Got Hacked By Darkest_light from cyber-71 ||. b>We. Bruting Passwords = Has been bruted Website = Defaced Password = Just Owned Offline Website ...

---------------------------------------------------------
TÄSSÄ ALLA ON UUSI HUIJJAUSYRITYS,
KAAPPARIOHJELMA ON UUDEN HAKKEROIDUN SIVUSTON ALLE PIILOITETTUNA
Tässä on käytetty saman ystävän "lähettäjä" -sähköpostiosoitetta kuin ylinnä.
Linkkiä on hieman muokattu jotta vahinkoja ei tapahdu.
Tämän e-mailin "oikea" lähettäjä oli:
tupica@email.ru eli "herra venäläinen".

 ----------------E-Mail leike-------------------------

Hello!

New message, please read http://residence-coteaux.fr/litlle.htm

Arto XXXXX ---------------------------------------------------------

--------------------------------------------------------

Verkkosivustosta F-secure kertoo:
 

Harmful web site blocked

http://residence-coteaux.fr/

This web site has been reported as harmful.
We recommend that you do not visit this web site.

ANSA uteliaille ihmisille Kiinasta

Vaarallinen Johnnie Rowlandin sähköposti on peräisin Kiinasta.

Epämääräisen e-mailin liitetiedostoja ei tule aukaista missään tapauksessa. Jos ystäväsi, asiakkaasi, työtoverisi tms. luotettava henkilö on takuuvarma liitetiedoston lähettäjä (muista, että spämmerit osaavat käyttää tuttuja e-mailosoitteita eli kirjeen järkevä sisältö ratkaisee) liitteen voi avata. Muista myös, että esim. MS Wordin tiedostoissa olevat makrot voivat sisältää haittaohjelmia. ZIP pakatut tiedostot voivat sisältää haittaohjelman tai viruksen. PDF tiedoistoissa, kuvatiedostoissa ja videotiedostoissa on ollut mahdolista salakuljettaa viruksia. Siksi on turvallisinta muuttaa kaikki lähetettävät tiedostot RTF (muotoiltu mutta ei sisällä makroja) tai TXT (vain puhdas tekstidata) -muotoon turvallisuussyistä. E-mailissa olevan linkin päässä voi olla mitä vain ja linkki voi viedä muualle, kuin miltä se tekstinä näyttää.

 Tässä alla avattuna e-mailin koodi, eli pahalta näyttää. ZIP on koodattu suoraan mailin sisään. Näin se pystytään saattamaan iuseimpien turvaohjelmien läpi (ilmeisimmin, koska se pääsi minunkin laatikkooni).

Aiheesta kiinnostuneille:
---------------------------------e-mailin KOODI AVATTUNA---------------------------

Received: via tmail-2007f.2014-sau for fp6592.200; Wed, 5 Aug 2015 07:25:34 +0300 (EEST)
Received: from fe24.mail.saunalahti.fi (fe24.mail.saunalahti.fi [62.142.5.93])
    by be53.mail.saunalahti.fi (Postfix) with ESMTP id 365BD8206
    for <fp6592@be53.mail.saunalahti.fi>; Wed,  5 Aug 2015 07:25:34 +0300 (EEST)
-----------spamm-esto ei ole havainnut spämmiä----------
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on cng.neutech.fi
X-Spam-Level:
X-Spam-Status: No, score=0.0 required=2.2 tests=HEADER_FROM_DIFFERENT_DOMAINS,
    MIME_IMAGE_ONLY,MIME_NO_TEXT,RCVD_IN_DNSWL_NONE,RCVD_IN_MSPIKE_H3,
    RCVD_IN_MSPIKE_WL,RP_MATCHES_RCVD autolearn=disabled version=3.4.0
Received: (qmail 29319 invoked by uid 89); 5 Aug 2015 04:25:33 -0000
------------poistettu tarpeeton osuus-----------
Received: from p3nlsmtp17.shr.prod.phx3.secureserver.net (72.167.234.242)
  by cng.neutech.fi (envelope-from atymajor@p3nlhg591.shr.prod.phx3.secureserver.net)
     with SMTP; 5 Aug 2015 04:25:32 -0000
Received: from p3nlhg591.shr.prod.phx3.secureserver.net ([184.168.152.162])
    by p3nlsmtp17.shr.prod.phx3.secureserver.net with
    id 0sRT1r01B3WVDnc01sRTAn; Tue, 04 Aug 2015 21:25:27 -0700
Received: from p3nlhg591.shr.prod.phx3.secureserver.net (localhost [127.0.0.1])
    by p3nlhg591.shr.prod.phx3.secureserver.net (8.14.4/8.12.11) with ESMTP id t754PR3l018922
    for <hannu.kuukkanen@webcag.fi>; Tue, 4 Aug 2015 21:25:27 -0700
Received: (from atymajor@localhost)
    by p3nlhg591.shr.prod.phx3.secureserver.net (8.14.4/8.14.4/Submit) id t754PQNe018882;
    Tue, 4 Aug 2015 21:25:26 -0700
Date: Tue, 4 Aug 2015 21:25:26 -0700
Message-Id: <201508050425.t754PQNe018882@p3nlhg591.shr.prod.phx3.secureserver.net>
To: hannu.kuukkanen@webcag.fi
Subject: My passport - Johnnie Rowland
From: Johnnie Rowland <JohnnieRowland@scibest.com>
Reply-To:  (Huomatkaa, että palutusosoitetta ei ole)
Mime-Version: 1.0
Content-Type:multipart/mixed;boundary="----------143874870155C1901DC2C9B"

------------143874870155C1901DC2C9B
Content-type: text; charset="utf-8"
Content-Transfer-Encoding: 8bit

Please find attached copy of the passport for my wife and daughter as requested. please note we need to complete on the purchase in 4 weeks from the agreed date.

Best regards,

Johnnie Rowland


------------143874870155C1901DC2C9B
Content-Type: application/octet-stream;name=""
Content-Transfer-Encoding:base64
Content-Disposition: inline; filename="Johnnie Rowland.zip"
Content-Type: image/png; name="Johnnie Rowland.zip"
Content-ID: <Johnnie Rowland.zip>

KQUAAK4HAAASAAAASm9obm5pZSBSb3dsYW5kLmpzTVVrb924Ef0r
AwELS7iG7sN20Nu1gRoI8oHiS9SDlEiKomT4v3d0b5LdCwjkkGd4ZoY8cwOxME4y
lleinXrdUO5rFYzTDiQTXZcGEay75jALq+11C7O1mmbxdQFEBEKkraGaibOgywaCDlzMGvR9R71f
lQwDdy/dY1+1eHSk0vt0Tdj/7JOjjXVqHUbvc/JU1zVvOtbRxGS2GIFAF0ZSWwJKON2DKydo5tWZ
vHmgUQ6U9Hph1QPVLlSqtavptOkpJ1p490T8aBul9CitIylL2p/Cs35oPre/x5/6ZMxWuCoCJr6y
qWpZebXsDFRPla8tVZ2W0uSrUNYY3le/DnUgrY2/9oayhQ+p/uBPLIvAdxUqyqAt6Nuy2Q10YtKkqKGBKjRktBym UEsDBBQAAAAIACAzBUfE+ceh
OBsHUymg1iuX8wzTvcVKSOWD4/NL/dhVpOF8pJXXaZvQz+HJv/DP/FN7Uvn6Ij9Xn6Z/9c/q2f/u
Ep6ZooUFQuRmzyK5xf3qjmNiKB3mSK3jA3FsWpijfiaLnzmhrJak0Uxq3kIsV3BinJyeqfAU75JoCV3qMvdqoIP6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Ix3E2kyTuqqyqAt6Nuy2Q1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------------143874870155C1901DC2C9B--

HUOM. Olen sotkenut yllä olevan koodin, jotta se ei aiheuta kenellekään vahinkoa. Ehjän koodin ssat tutkimusta varten minulta. Osoitteeni on e-mailissa.

scibest.com DOMAINNIMENTARKISTUS kertoo, ettöä domain olisi kiinalainen:
City:nanjing
Registrant State/Province:Jiangsu
Registrant Postal Code:210016
Registrant Country:China

---Koko domainin tausta on hyvin epämääräinen------------------

Domain Name:scibest.com
Registry Domain ID:
Registrar WHOIS Server:whois.paycenter.com.cn
Registrar URL:http://www.xinnet.com
Updated Date:2015-01-21T02:29:43.00Z
Creation Date:2006-08-31T16:00:00.00Z
Registrar Registration Expiration Date:2016-08-31T16:00:00.00Z
Registrar:XINNET TECHNOLOGY CORPORATION
Registrar IANA ID:120
Registrar Abuse Contact Email:removed email address
Registrar Abuse Contact Phone:+86.1087128064
Domain Status:ok http
Registry Registrant ID:
Registrant Name:
Registrant Organization:nanjinglicongdangtingjuekangfuyouxiangongsi
Registrant Street:yuhuataiquandemen94haoyuhuakejichuangyezhongxin6lou
Registrant City:nanjing
Registrant State/Province:Jiangsu
Registrant Postal Code:210016
Registrant Country:China
Registrant Phone:+86.025 86993869
Registrant Phone Ext:
Registrant Fax:+86.025 86993862
Registrant Fax Ext:
Registrant Email:
Registry Admin ID:
Admin Name:cheng ying
Admin Organization:nanjinglicongdangtingjuekangfuyouxiangongsi
Admin Street:yuhuataiquandemen94haoyuhuakejichuangyezhongxin6lou
Admin City:nanjing
Admin State/Province:Jiangsu
Admin PostalCode:210016
Admin Country:China
Admin Phone:+86.025 52441680
Admin Phone Ext:
Admin Fax:+86.025 52441680
Admin Fax Ext:223
Admin Email:removed email address
Registry Tech ID:
Tech Name:cheng ying
Tech Organization:nanjinglicongdangtingjuekangfuyouxiangongsi
Tech Street:yuhuataiquandemen94haoyuhuakejichuangyezhongxin6lou
Tech City:nanjing
Tech State/Province:Jiangsu
Tech PostalCode:210016
Tech Country:China
Tech Phone:+86.025 52441680
Tech Phone Ext:
Tech Fax:+86.025 52441680
Tech Fax Ext:223
Tech Email:removed email address
Name Server:ns17.xincache.com
Name Server:ns18.xincache.com
DNSSEC:unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

WORD -liiteansa "tuotteesta" jota ei ole saatu

Kun postinne mukana ilmestyy vastaavanlainen ansa, älkää missään tapauksessa avatko tuota WORD-liitetiedostoa!
WORD saattaa sisältää makro-ohjelmia jotka voivat vahingoittaa konettasi ja omia tiedostojasi. Tämä liite sisältää sellaisen erittäin suurella varmuudella.

Tyypillistä tässä ansassa on tuo ikäänkuin "väärä vastaanottaja" (jonka olen piilottanut palkin alle yksityisyyden suojan vuoksi). Maili on ikäänkuin tullut minulle virheellisesti lähetettynä. Se on yksi tapa levittää viruksia. Pahaa aavistamaton henkilö saattaa lähettää mailin eteenpäin.

Ansa on myös vastaanottajan uteliaisuuden herättäminen "epämääräisyyksillä".

Toinen vakava varoitus lukee liitetiedoston nimessä "scanned" eli ikäänkuin liite olisi virustarkistettu.
Se on hämäystä.

SIIS ROSKIKSEEN tällaiset mailit!

Kaksi uutta DOC - liitetiedostohyökkäysyritystä. LogMeIn ja Washington, DC

Epäilyttävä e-mail LogMeIn nimellä lähetettynä.

Windows WORD DOC tiedosto saattaa sisältää makro-ohjelmia joilla voidaan koneellasi saada pahoja aikaan.

En ole asiaks, enkä ole muutenkaan ollut tekemisisssä LogMeIn palvelun kanssa.
JA tässä e-mailin mukana on Windows DOC muotoinen liite, joka herättää vankan epäilyksen kirjeen asiallisuudesta, aitoudesta ja todellisesta lähettäjästä.
On syytä muistaa, että e-mail-osoite josta kirje "on ikäänkuin lähetetty" EI tarvitse olla sen yrityksen tai henkilön osoite joka todella on kirjeen lähettänyt.

ÄLÄ avaa tuota liite dokumenttia. Jos olet kiinnostunut LogMeIn:in palveluista ota suoraan heihin yhteys virallisen verkkosivun kautta.

LogMeiIn hyökkäysvaroitus verkossa: https://techhelplist.com/index.php/spam-list/775-easter-discount-30-off-any-logmein-purchase-malware

------e-mail - varsinainen hyökkäys tehdään DOC liitteellä joka on tästä poistettu-------

Dear customer,

LogMeIn is offering a 30% Easter discount for any purchase made on the our website in the next 5 days.
This is a limited time offer and it includes purchases , upgrades and subscription changes.
To claim the discount, enter the coupon code on the LogMeIn billing page, when finishing an order.
The coupon code can be found in the attached document.
Please note that the coupon code is unique for each LogMeIn account and can only be used once.


Thank you for choosing LogMeIn

--------------------------------------------------------------------------------------------------

Toinen hyökkäysyritys liite-DOC tiedoston kautta. Ilmeisesti kyseessä on sama hyökkääjä.

Tämä huijaus osuu kovin huonosti suomalaisille ellei sitten uhri sattumalta ole ollut Washingtosissa duunissa.
Linkiit vievän kyllä U.S.A.:n verovisrastoon mutta se ei poista liitteessä olevaa ansaa. Teksti ja todelliset linkit ovat hämäystä.
ÄLÄ avaa liitettä jos saat tällaisen kirjeen.

Näistä scammeista varoitetaan U.S. veroviraston virallisilla sivuilla lisää.
http://www.irs.gov/uac/Report-Phishing


-------toinen e-mail ja hyökkäys DOC liitteellä (joka on poistettu tästä). ---------

Dear taxpayer,

You are receiving this notification because your tax refund request has been processed.
Please find attached a copy of the approved 1040A form you have submitted, containing your personal information and signature.
On the last page, you can also find the wire transfer confirmation from the bank.

Transaction type : Tax Refund
Payment method : Wire transfer
Amount : $7592
Status : Processed
Form : 1040A

Additional information regarding tax refunds can be found on our website: http://www.irs.gov/Refunds.
Please note that IRS will never ask you to disclose personal or payment information in an email.


Regards,
Internal Revenue Service
Address: 1111 Constitution Avenue, NW Washington, DC 20224
Website: http://www.irs.gov
Phone: 1-800-829-1040

FaceBook viruksista on tietoa saatavilla. Se kannattaa lukea.

FaceBookin kautta on tunnetusti saapunut silloin tällöin saastuneita viestejä tai kaveripyyntöjä. Jokaisen FaceBookin käyttäjän kannattaa käydä lukemassa sivu: http://virukset.fi/facebook-virus/
Sivulta löytyy suuri kokoelma virusvariaatioiden kuvauksia suomenkielellä.

LIITEANSA canadapost.ca nimellä. ÄLÄ avaa liitetiedostoa!

Vastaavia postipakettiansoja on tässäkin blogissa aikaisempia mutta tämä on hieman erilainen. Liitteenä on Word DOC tiedosto joka todennäköisesti sisältää haittaohjelman (viruksen?) makro-ohjelmakoodina. Canada Post kertoo sivuillaan, että he eivät lähetä sähköpostihuomautuksia epäonnistuneista lähetyksistä vaan jättävät postilaatikkoon tai ovelle, paperilapulla tarpeellisen tiedon lähetyksestä.

Canada Post varoittaa näistä spämmeistä verkkosivuillaan:
http://www.canadapost.ca/cpo/mc/personal/support/helpcentre/others/suspicious_email.jsf?LOCALE=en

--------------------------e-mail------------------
Dear client,  

A delivery attempt was made for your parcel, today, 19th March 2015.
The delivery status has changed to "Missed", because no person was present at your postal address.
More information about this delivery can be found in the enclosed Delivery Notice Card.

Label/Tracking Number: 19286398782122
Delivery Date: March 19th, 2015 
Status: Failed 
Reason: No person at the delivery address
Delivery Notice Card: electronic copy sent ( see attachement )

The parcel can be picked up or scheduled for a new delivery, by visiting the nearest Canada Post office, with a printed copy of the Delivery Notice Card.
The shipment will be canceled and the parcel returned to the sender, if a new delivery is not scheduled within 48 hours. 


Thank you


© 2015 Canada Post Corporation
*** Do not reply, this email has been automatically generated ***

---------------------------------------------