Kártevő a Vodafone nevében

2013. január 24. 18:25 - Csizmazia Darab István [Rambo]

A mai napon több bejelentést is kaptunk, hogy látszólag a Vodafone-tól érkezett e-mail mellékletében kártevő érkezik.

Maga a levél látszólag a hollandiai mms@mms.vodafone.nl feladótól jön egy 70-es telefonszám nevében "Elkuldott MMS" tárgysorral. Az archivált MMS üzenet mellékletében azonban nem egy nekünk szóló hír vagy kép van, hanem egy kártevő található, egész pontosan egy jelszólopó trójai. Semmiképpen ne kattintson senki a csatolmányra, ami általában .ZIP kiterjesztésű. A tömörített állományt kibontva egy .JPG kiterjesztésű képnek látszó fájlt találunk, azonban ez valójában egy futtatható EXE, maga a kártékony kód.


Írtuk már korábban, hogy érdemes minden Windows verzióban az "ismert fájl típusok megmutatása" című alapértelmezetten rejtett opciót feloldani, ez is egy hasznos dolog a kettős kiterjesztéssel trükköző állományok esetében. A kampány látszólag nem csak nekünk érkezik magyarul, hanem ezzel egy időben angolul is terjed világszerte a HOTforSecurity beszámolója szerint.



A NOD32 és az ESET Smart Security programok Win32/PSW.Fareit.A trójai néven detektálják a kártevőt. Kéretlen üzenetek esetében az eleve gyanúsakat érdemes mindig olvasatlanul törölni, kérdéses esetben pedig előbb mentsük el egy mappába, keressünk rá a levél tárgysora, feladója alapján nem átverésről van-e szó, illetve hagyatkozzunk vírusirtónk figyelmeztetésére, de indokolt esetben akár megvizsgáltathatjuk a Virustotal szolgáltatással is - még megnyitás előtt.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr705041532

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Takika 2013.01.24. 20:29:53

Nem tudom ez valtozott-e napkozben, de eleg sokaig egy fix vegzodes volt a message-id-ban, igy egesz jol lehetett akar arra is szurni.

fidesz = házmesterek pártja 2013.01.31. 00:04:42

Poén a dologban, hogy a header szerint valóban a vodafone hálózatáról jött... Persze lehet, hogy ilyen mértékben hamisított volt a header.