Pamācības

Simtiem uzlauztu e-pastu izplata inficētus ZIP pielikumus.

22.10.2015. tika izsūtīti inficēti e-pasta sūtījumi no kompromitētām valsts un pašvaldību iestāžu e-pasta adresēm. Tos saņēmuši vairāki simti lietotāju.

Precizējam, ka e-pastu izsūtīšanas kampaņa saistīta ar Dyre banking trojāni, kurš tiek izmantots naudas zādzībām no internetbanku kontiem.

Pielikumā izplatītais .zip fails satur izpildāmo failu NNNNNNNNNNNNNN.exe (10521843658757.exe, 16712003819641.exe,50971996439221.exe utt.) kas lietotāju maldināšanai Windows datorsistēmās attēlojas ar PDF dokumentam līdzīgu ikonu. Fails satur Upatre lejupielādes rīku, kas pēc programmas palaišanas veic datorvīrusa Dyre (zināmu arī kā Dureza.A, Dyreza) lejupielādi un izpildi upura datorā.

Vīrusa izveidotie faili: C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AAAAAA(random)\but11[1].png (MD5 e28be99b530e3453337ac77053f4ad42, izmērs: 463KiB (473905 bytes) C:\Users\user\AppData\Local\Temp\wavemixer.exe (MD5 73e83e35c2da96e9ae92b80b8c13bdeb 589KiB (603136 bytes))

Ieteikums administratoriem monitorēt pieprasījumus uz icanhazip.com un POST pieprasījumus uz IP adresi 197.149.90.166

Vairāk par aktuālo Dyre Trojan kampaņu lasiet CERT.LV sagatavotajās ziņās. 
 

21.10.2015. CERT.LV ir saņēmis simtiem ziņojumu par inficētiem e-pasta sūtījumiem, kas izplatās no uzlauztām valsts un pašvaldību iestāžu e-pasta adresēm.

E-pasta subject: Invoice (bet var būt arī cits). Pielikumā inficēts ZIP arhīvs.

Daži (no daudzajiem) ZIP arhīva piemēriem:

department deed astrologic.zip
partner rent comission.zip
public act bookmark.zip

E-pastā esošais vīruss zog adrešu grāmatas saturu un izplata sevi tālāk, kā arī lejuplādē citus izpildāmos failus un paplašina savu funkcionalitāti.

Pielikumu nekādā gadījumā nedrīkst vērt vaļā. Ja nu tomēr pielikums atvērts, jāsazinās ar savu datorspeciālistu.