Scam-mail till synes från elgigantens domän
Idag fick jag det här fantastiska mailet.
Mailet levererades till en mail-adress som jag använder för privata ärenden och inte ger ut till någon jag inte känner. Det är inte samma mailadress som jag registrerat mig hos Elgiganten med. (dock bara toppdomänen som skiljer sig)
Mailets headers gav mig avsändarens domän och IP-adress. Received: from d28-74.icpnet.pl (d28-74.icpnet.pl [77.65.28.74])
Den bifogade filen hostar jag här med filnyckel frHcPcQ2a_fjHHsJOE8iWskIlhO4Cl6qEq7MDDY2e7g
. Gör inget dumt med den!!! Zippen innehåller "beställning_16.04.15.exe", som vidare ger följande information.
Exen innehåller utöver metadatan och kompilerad kod lite spännande bilder.
400.bmp
DISKIMAGE.bmp
TITLE_BMP.bmp
Detta är resultatet från en omgång på Virustotal.
https://www.virustotal.com/sv/file/50bb2850e82387a206fa4d5eba...
Någon som vet vad det är för program som vem försöker få mig att köra?
Elgiganten varnar också för detta. http://www.elgiganten.se/cms/20140820_145716/Bluffmail
Bluffmail i Elgigantens namn
Varning för bluffmail som skickas ut i elgigantens namn!
Just nu är det en mängd olika bluffmejl som florerar och det brev du mottagit är ett av dessa. Det kommer INTE från elgiganten. Man kan se den egentliga avsändaren genom att titta i det kompletta brevhuvudet. Det är tyvärr väldigt enkelt för den kunnige att maskera en epostavsändare så att det ser ut som att det kommer från en tillförlitlig källa.
Står i ämnesfältet: Din bestallning nr xxxxxx ( en nummerserie presenteras med sex siffror ) frеn den xx/xx/14
Den bifogade filen innehåller ett virus och jag rekommenderar dig därför att radera mejlet och inte öppna den bifogade filen. Om du redan gjort det, använd genast anti-virusprogram för att rensa din datorn.
Mvh Elgiganten
Senast uppdaterad 2015-01-15 12:06:40
Min (misslyckade) jakt på filens syfte:
Har en kontrollerad Windowsmiljö på min laptop nu. Första försöket att starta exen rakt av utan någon uppkoppling gav inte mycket till resultat. Nästa steg är att testa att sätta upp en lokal webbserver och servera de önskade filerna eller några andra med samma namn.
Försök två var mer lyckat. Med en modifierad hosts-fil, en lokal webbserver och en fejkad calc.exe
kördes programmet till fullo, laddade ner två exemplar (kan vara olika om den får tillgång till rätt servrar, ska undersöka vidare) av calc.exe
till %localappdata%\Temp
och gav dessa namnen news.exe
och news3.exe
. news.exe
kallades från mappen som beställning_16.04.15.exe
låg i. Den stora hemligheten ligger alltså i de två calc.exe
som ska hämtas från två riktiga webbservrar. Ingen output till konsollen från beställning_16.04.15.exe
.
Efter att ha kört många gånger på samma sätt dök news4.exe
upp. Även den var en omdöpt calc.exe.
Jag testade de två domänerna i hostsfilen en och en, och så länge en av dem fanns tillgänglig dök både news.exe
och news3.exe
upp. Det är alltså ingen skillnad mellan dem även om rätt webbservrar tillhandahålls. Jag ska nu koppla upp datorn mot internet utanför LAN och brandvägg för att ladda ner de två calc.exe
och experimentera med.
Webbservrarnas IP-adresser överensstämde med vad Virustotal sade. Båda svarade dessutom på ping. Det var däremot bara den ena som hade calc.exe
på det hänvisade stället. Den andra returnerade ett 404 vid förfrågan.
Jag laddade upp calc.exe till Virustotal. Här är resultatet. https://www.virustotal.com/sv/file/0b41ce8f6a630fa24f35251007... (Notera att fler antivirus reagerar på den här filen än som reagerar på en fil som hämtar OCH KÖR den här filen...)
IPn till domänen som slogs upp svarade inte på ping och hostade ingen webbserver. Jag är inte säker på vad den är till för. UDP-anslutningen över :123 vet jag inte heller vad den gör eller hur jag kan ta reda på det. Nu blir det till att köra hela programmet och se vad calc.exe faktiskt gör. Baserat på Virustotal gissar jag på någon form av toolbar i IE.
Vid körning av calc.exe
rakt av får jag erroret "Det här programmet kan endast köras med en appbehållare.". Vet inte riktigt hur jag ska tolka det.
calc.exe
innehöll likt den ursprungliga exen kompilerad kod och lite bilder. Inget intressant där. Dags att köra hela skiten och se vad som händer.
Absolut ingenting uppenbart hände när jag körde alltihop. Antingen är det något lömskt som jag inte kan lista ut eller så fungerar inte programmet som det ska längre. Min lilla utredning avslutas här.
Spela Swemantle! Du vet att du vill.
Ibland har jag fel, men då är det någon annans fel.