Per Hellqvist om IT-säkerhet och sånt

Fick ett mejl idag som fick mig att reagera. Jag har väl sett det mesta i bedrägeriväg, men ibland dyker det upp något som gör att man tittar en gång till:

Ämne: your mailbox has been deactivated

Meddelande:
We are contacting you in regards to an unusual activity that was identified in your mailbox. As a result, your mailbox has been deactivated. To restore your mailbox, you are required to extract and run the attached mailbox utility.

Best regards, symantec.com technical support.

Notera att de klippt in “symantec.com” från e-postadressen så att det ska se ut som om det kommer från din e-postadministratör. Har du Hotmail hade det stått “hotmail.com technical support” och så vidare.

Bilagt mejlet borde det ha funnits en bilaga med filen “Utility.zip” som avsändaren av brevet förmodligen ville att jag skulle köra, men vårt skyddsprogram har plockat bort det.

Första reaktionen på ett sånt här mejl är ungefär “Va?? Jag har inte gjort nåt! Nån måste ha gjort fel!!”. Man känner sig personligen attackerad och förnärmad.  Nästa reaktion blir väl i så fall att köra bilagan så att man får tillbaka tillgången till mejlen.

I detta fall hade det slutat rätt illa. Bilagan är en trojan (såklart) som öppnar en bakdörr och kontaktar en server i Ukraina. (Admin: blocka 193.104.27.91/http-trafik). Den servern är en känd kontrollserver för botnätverket Zeus/ZBot etc.

Det är ofta de enkla attackerna som är de mest framgångsrika.

Taggar: Botnets, Intressant, Trojaner

Kommentarer

4 kommentarer to “Din brevlåda har stängts av – inte….”

  1. Tobias Karlsson on November 16th, 2009 23:20

    hej
    Vill bara tacka för din mail.
    Jag kan ärligt säga att jag är en väldigt försiktigt dator användare och har inte råkat ut för något virus de senaste 10-15 åren. Men att den jag uppskattar verkligen att du tar dig tid och berättar om nya hot som finns. Det är helt enkelt inte möjligt att ha koll på alla nya hot och med din hjälp så är man ofta tillräckligt när de nya patcharna för att vara skyddad.

    Tack för ditt engagemang

  2. Peter Karlsson on November 17th, 2009 09:39

    Obs! Mejlen kommer/låtsas komma inte bara från stora kända it-företag som Symantec eller Hotmail, utan använder även små, i stort sett okända domännamn som mitt eget. Mejlet nådde inte bara mig, som ändå är registrerad som admin, utan även användare som bara har en redirect/forward på servern och inte förekommer med mejladress på någon webbsida under den domänen.

  3. Uffe on November 17th, 2009 13:00

    Fick ett mail från Hallmark idag där man skulle klicka på en länk för att hämta sitt vykort. Länken pekar på 201.140.27.84/postcard.gif.exe

    Jag vill minnas att det tidigare florerade ett hoax angående vykort från Hallmark. Har det övergått från från hoax till riktigt virus?

  4. Kristen student petade mig i ögat « Karl Lettenström on December 21st, 2009 18:39

    […] censurerat i mailet ovan…). Men en snabb sökning på Per Hellqvists blogg ger mig information om ett liknande mail. Där fanns en trojan […]

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.