Scam-mail till synes från elgigantens domän

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012

Scam-mail till synes från elgigantens domän

Idag fick jag det här fantastiska mailet.

Mailet levererades till en mail-adress som jag använder för privata ärenden och inte ger ut till någon jag inte känner. Det är inte samma mailadress som jag registrerat mig hos Elgiganten med. (dock bara toppdomänen som skiljer sig)

Mailets headers gav mig avsändarens domän och IP-adress. Received: from d28-74.icpnet.pl (d28-74.icpnet.pl [77.65.28.74])

Den bifogade filen hostar jag här med filnyckel frHcPcQ2a_fjHHsJOE8iWskIlhO4Cl6qEq7MDDY2e7g. Gör inget dumt med den!!! Zippen innehåller "beställning_16.04.15.exe", som vidare ger följande information.

Exen innehåller utöver metadatan och kompilerad kod lite spännande bilder.
400.bmp
DISKIMAGE.bmp
TITLE_BMP.bmp

Detta är resultatet från en omgång på Virustotal.
https://www.virustotal.com/sv/file/50bb2850e82387a206fa4d5eba...

Någon som vet vad det är för program som vem försöker få mig att köra?

Elgiganten varnar också för detta. http://www.elgiganten.se/cms/20140820_145716/Bluffmail

Skrivet av Elgiganten:

Bluffmail i Elgigantens namn
Varning för bluffmail som skickas ut i elgigantens namn!
Just nu är det en mängd olika bluffmejl som florerar och det brev du mottagit är ett av dessa. Det kommer INTE från elgiganten. Man kan se den egentliga avsändaren genom att titta i det kompletta brevhuvudet. Det är tyvärr väldigt enkelt för den kunnige att maskera en epostavsändare så att det ser ut som att det kommer från en tillförlitlig källa.

Står i ämnesfältet: Din bestallning nr xxxxxx ( en nummerserie presenteras med sex siffror ) frеn den xx/xx/14

Den bifogade filen innehåller ett virus och jag rekommenderar dig därför att radera mejlet och inte öppna den bifogade filen. Om du redan gjort det, använd genast anti-virusprogram för att rensa din datorn.

Mvh Elgiganten

Senast uppdaterad 2015-01-15 12:06:40

Min (misslyckade) jakt på filens syfte:

Skrivet av LemonIllusion:

Har en kontrollerad Windowsmiljö på min laptop nu. Första försöket att starta exen rakt av utan någon uppkoppling gav inte mycket till resultat. Nästa steg är att testa att sätta upp en lokal webbserver och servera de önskade filerna eller några andra med samma namn.

Försök två var mer lyckat. Med en modifierad hosts-fil, en lokal webbserver och en fejkad calc.exe kördes programmet till fullo, laddade ner två exemplar (kan vara olika om den får tillgång till rätt servrar, ska undersöka vidare) av calc.exe till %localappdata%\Temp och gav dessa namnen news.exe och news3.exe. news.exe kallades från mappen som beställning_16.04.15.exe låg i. Den stora hemligheten ligger alltså i de två calc.exe som ska hämtas från två riktiga webbservrar. Ingen output till konsollen från beställning_16.04.15.exe.

Efter att ha kört många gånger på samma sätt dök news4.exe upp. Även den var en omdöpt calc.exe.

Jag testade de två domänerna i hostsfilen en och en, och så länge en av dem fanns tillgänglig dök både news.exe och news3.exe upp. Det är alltså ingen skillnad mellan dem även om rätt webbservrar tillhandahålls. Jag ska nu koppla upp datorn mot internet utanför LAN och brandvägg för att ladda ner de två calc.exe och experimentera med.

Webbservrarnas IP-adresser överensstämde med vad Virustotal sade. Båda svarade dessutom på ping. Det var däremot bara den ena som hade calc.exe på det hänvisade stället. Den andra returnerade ett 404 vid förfrågan.

Jag laddade upp calc.exe till Virustotal. Här är resultatet. https://www.virustotal.com/sv/file/0b41ce8f6a630fa24f35251007... (Notera att fler antivirus reagerar på den här filen än som reagerar på en fil som hämtar OCH KÖR den här filen...)
IPn till domänen som slogs upp svarade inte på ping och hostade ingen webbserver. Jag är inte säker på vad den är till för. UDP-anslutningen över :123 vet jag inte heller vad den gör eller hur jag kan ta reda på det. Nu blir det till att köra hela programmet och se vad calc.exe faktiskt gör. Baserat på Virustotal gissar jag på någon form av toolbar i IE.

Vid körning av calc.exe rakt av får jag erroret "Det här programmet kan endast köras med en appbehållare.". Vet inte riktigt hur jag ska tolka det.

calc.exe innehöll likt den ursprungliga exen kompilerad kod och lite bilder. Inget intressant där. Dags att köra hela skiten och se vad som händer.

Absolut ingenting uppenbart hände när jag körde alltihop. Antingen är det något lömskt som jag inte kan lista ut eller så fungerar inte programmet som det ska längre. Min lilla utredning avslutas här.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Maj 2013

Troligen inget mail från Elgigantens servrar utan någon som låtsas. Kollar du headers så borde det synas.
Prova ladda upp filen till:

https://www.virustotal.com/

och se vad de säger om du är nyfiken.

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012
Skrivet av Aene:

Troligen inget mail från Elgigantens servrar utan någon som låtsas. Kollar du headers så borde det synas.
Prova ladda upp filen till:

https://www.virustotal.com/

och se vad de säger om du är nyfiken.

Inser att det inte är Elgiganten som mailet kommer från, men är nyfiken på dess ursprung. Ska ta en titt och se om jag kan luska ut något.
Lade till virustotal i OP. Den här delen (även den här) tyckte jag var väldigt intressant. Nu är jag sugen på att dra upp en kontrollerad miljö och se vad som försigår.

EDIT: Hittade Received: from d28-74.icpnet.pl (d28-74.icpnet.pl [77.65.28.74]) i headers, så där fick jag mitt svar på vem. Nu är det bara vad vet gör som jag inte vet.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Karlshamn
Registrerad
Nov 2011

|CPU: I5 4690K | MB: ASUS Z97 PRO GAMER |RAM: Corsair 16GB Vengeance LP |GPU: GTX 970 Strix / 290X Matrix | PSU: EVGA Supernova G2 750W | Kylare: NZXT Kraken X61 |Burk: NZXT H440 | SSD: Crucial BX100 250GB / Samsung 850 PRO 512GB

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2002

Ingen som ens bryr sig om vad TS skriver? Fick samma mail för ett år sedan tror jag, men har noll kunskaper men var intressant att följa ditt och eventuellt andras luskande

..:: trickeh2k ::.. https://youtube.com/c/trickeh2k Windows 10 Pro - i7 8700k (delid) @ 5Ghz - ASUS Prime Z370-A - 16GB G.Skill Trident Z DDR4 CL14 3000Mhz - Corsair AX860i - EVGA GTX 1080Ti FTW3 Hydrocopper - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/SteelSeries Sensei RAW Rubberized - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, 3TB Seagate Barracuda - ASUS Xonar DX - ASUS Strix 7.1 Gaming Headset - Corsair 750D - Custom water loop

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012
Skrivet av trickysaer:

Ingen som ens bryr sig om vad TS skriver? Fick samma mail för ett år sedan tror jag, men har noll kunskaper men var intressant att följa ditt och eventuellt andras luskande

Håller på att sätta upp W2G för att få en kontrollerad miljö på min laptop. Återkommer med eventuella resultat.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2006

Känner folk ännu inte till att man kan skriva precis vad som helst i från fältet i epost? Det är precis samma som att välja till, innehåller eller något annat.

Lita inte på "från" adressen, någonsin, aldrig.

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012
Skrivet av Killbom:

Känner folk ännu inte till att man kan skriva precis vad som helst i från fältet i epost? Det är precis samma som att välja till, innehåller eller något annat.

Lita inte på "från" adressen, någonsin, aldrig.

Jag ser inte någon i den här tråden som tror att mailet faktiskt kommer från elgiganten. Har dock förtydligat rubriken nu så att så få missförstånd som möjligt ska kunna uppstå.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2006
Skrivet av LemonIllusion:

Jag ser inte någon i den här tråden som tror att mailet faktiskt kommer från elgiganten. Har dock förtydligat rubriken nu så att så få missförstånd som möjligt ska kunna uppstå.

Bra Det var egentligen mest en allmän klagan (inte riktat direkt på tråden). Hursomhelst bra att du varnar! Se till att du marker det som skräp i din klient okcså så att någon dödar resten av posten!

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2002
Skrivet av Killbom:

Känner folk ännu inte till att man kan skriva precis vad som helst i från fältet i epost? Det är precis samma som att välja till, innehåller eller något annat.

Lita inte på "från" adressen, någonsin, aldrig.

Har dock enbart sett scam-mail med "korrekt" adress när det gäller Elgiganten. Har också för mig att det är lätt att göra, men märkligt att de inte använder det oftare. För oss här på Swec tror jag dock att det krävs rätt mycket för att bli lurad. Fick ett scam-mail igår senast där jag var tvungen att göra ändringar på mitt konto för att de skulle häva blockeringarna på mitt OKQ8-kort... har vare sig bil eller medlemskort där

..:: trickeh2k ::.. https://youtube.com/c/trickeh2k Windows 10 Pro - i7 8700k (delid) @ 5Ghz - ASUS Prime Z370-A - 16GB G.Skill Trident Z DDR4 CL14 3000Mhz - Corsair AX860i - EVGA GTX 1080Ti FTW3 Hydrocopper - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/SteelSeries Sensei RAW Rubberized - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, 3TB Seagate Barracuda - ASUS Xonar DX - ASUS Strix 7.1 Gaming Headset - Corsair 750D - Custom water loop

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012

Fyller på det här inlägget efter hand.

Har en kontrollerad Windowsmiljö på min laptop nu. Första försöket att starta exen rakt av utan någon uppkoppling gav inte mycket till resultat. Nästa steg är att testa att sätta upp en lokal webbserver och servera de önskade filerna eller några andra med samma namn.

Försök två var mer lyckat. Med en modifierad hosts-fil, en lokal webbserver och en fejkad calc.exe kördes programmet till fullo, laddade ner två exemplar (kan vara olika om den får tillgång till rätt servrar, ska undersöka vidare) av calc.exe till %localappdata%\Temp och gav dessa namnen news.exe och news3.exe. news.exe kallades från mappen som beställning_16.04.15.exe låg i. Den stora hemligheten ligger alltså i de två calc.exe som ska hämtas från två riktiga webbservrar. Ingen output till konsollen från beställning_16.04.15.exe.

Efter att ha kört många gånger på samma sätt dök news4.exe upp. Även den var en omdöpt calc.exe.

Jag testade de två domänerna i hostsfilen en och en, och så länge en av dem fanns tillgänglig dök både news.exe och news3.exe upp. Det är alltså ingen skillnad mellan dem även om rätt webbservrar tillhandahålls. Jag ska nu koppla upp datorn mot internet utanför LAN och brandvägg för att ladda ner de två calc.exe och experimentera med.

Webbservrarnas IP-adresser överensstämde med vad Virustotal sade. Båda svarade dessutom på ping. Det var däremot bara den ena som hade calc.exe på det hänvisade stället. Den andra returnerade ett 404 vid förfrågan.

Jag laddade upp calc.exe till Virustotal. Här är resultatet. https://www.virustotal.com/sv/file/0b41ce8f6a630fa24f35251007... (Notera att fler antivirus reagerar på den här filen än som reagerar på en fil som hämtar OCH KÖR den här filen...)
IPn till domänen som slogs upp svarade inte på ping och hostade ingen webbserver. Jag är inte säker på vad den är till för. UDP-anslutningen över :123 vet jag inte heller vad den gör eller hur jag kan ta reda på det. Nu blir det till att köra hela programmet och se vad calc.exe faktiskt gör. Baserat på Virustotal gissar jag på någon form av toolbar i IE.

Vid körning av calc.exe rakt av får jag erroret "Det här programmet kan endast köras med en appbehållare.". Vet inte riktigt hur jag ska tolka det.

calc.exe innehöll likt den ursprungliga exen kompilerad kod och lite bilder. Inget intressant där. Dags att köra hela skiten och se vad som händer.

Absolut ingenting uppenbart hände när jag körde alltihop. Antingen är det något lömskt som jag inte kan lista ut eller så fungerar inte programmet som det ska längre. Min lilla utredning avslutas här.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2002
Skrivet av LemonIllusion:

Fyller på det här inlägget efter hand.

Har en kontrollerad Windowsmiljö på min laptop nu. Första försöket att starta exen rakt av utan någon uppkoppling gav inte mycket till resultat. Nästa steg är att testa att sätta upp en lokal webbserver och servera de önskade filerna eller några andra med samma namn.

Försök två var mer lyckat. Med en modifierad hosts-fil, en lokal webbserver och en fejkad calc.exe kördes programmet till fullo, laddade ner två exemplar (kan vara olika om den får tillgång till rätt servrar, ska undersöka vidare) av calc.exe till %localappdata%\Temp och gav dessa namnen news.exe och news3.exe. news.exe kallades från mappen som beställning_16.04.15.exe låg i. Den stora hemligheten ligger alltså i de två calc.exe som ska hämtas från två riktiga webbservrar. Ingen output till konsollen från beställning_16.04.15.exe.

Efter att ha kört många gånger på samma sätt dök news4.exe upp. Även den var en omdöpt calc.exe.

Jag testade de två domänerna i hostsfilen en och en, och så länge en av dem fanns tillgänglig dök både news.exe och news3.exe upp. Det är alltså ingen skillnad mellan dem även om rätt webbservrar tillhandahålls. Jag ska nu koppla upp datorn mot internet utanför LAN och brandvägg för att ladda ner de två calc.exe och experimentera med.

Webbservrarnas IP-adresser överensstämde med vad Virustotal sade. Båda svarade dessutom på ping. Det var däremot bara den ena som hade calc.exe på det hänvisade stället. Den andra returnerade ett 404 vid förfrågan.

Jag laddade upp calc.exe till Virustotal. Här är resultatet. https://www.virustotal.com/sv/file/0b41ce8f6a630fa24f35251007... (Notera att fler antivirus reagerar på den här filen än som reagerar på en fil som hämtar OCH KÖR den här filen...)
IPn till domänen som slogs upp svarade inte på ping och hostade ingen webbserver. Jag är inte säker på vad den är till för. UDP-anslutningen över :123 vet jag inte heller vad den gör eller hur jag kan ta reda på det. Nu blir det till att köra hela programmet och se vad calc.exe faktiskt gör. Baserat på Virustotal gissar jag på någon form av toolbar i IE.

Vid körning av calc.exe rakt av får jag erroret "Det här programmet kan endast köras med en appbehållare.". Vet inte riktigt hur jag ska tolka det.

calc.exe innehöll likt den ursprungliga exen kompilerad kod och lite bilder. Inget intressant där. Dags att köra hela skiten och se vad som händer.

Absolut ingenting uppenbart hände när jag körde alltihop. Antingen är det något lömskt som jag inte kan lista ut eller så fungerar inte programmet som det ska längre. Min lilla utredning avslutas här.

Kul läsning! Hoppas någon annan kan ta vid och luska vidare, inte för att det spelar så stor roll men ändå lite kul.

..:: trickeh2k ::.. https://youtube.com/c/trickeh2k Windows 10 Pro - i7 8700k (delid) @ 5Ghz - ASUS Prime Z370-A - 16GB G.Skill Trident Z DDR4 CL14 3000Mhz - Corsair AX860i - EVGA GTX 1080Ti FTW3 Hydrocopper - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/SteelSeries Sensei RAW Rubberized - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, 3TB Seagate Barracuda - ASUS Xonar DX - ASUS Strix 7.1 Gaming Headset - Corsair 750D - Custom water loop

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012
Skrivet av trickysaer:

Kul läsning! Hoppas någon annan kan ta vid och luska vidare, inte för att det spelar så stor roll men ändå lite kul.

Trevligt att det kunde underhålla någon mer än mig själv.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.