Oprócz rzekomych faktur Plusa doręczane wczoraj były także inne złośliwe wiadomości.
Złośliwa wiadomość
Drugi wariant:
Złośliwa wiadomość
Wiadomości nie mają treści, ich tematy to „informacja” lub „zdjecia cz. 2 – ostatnia”.
Złośliwy załącznik:
- Bez tytułu 1.png.zip / obrazy – cz.2 – 2015.10.pps.zip
- Bez tytułu 1.png.exe / obrazy – cz.2 – 2015.10.pps.exe
- MD5: 48aed305cc4b90e25c8096c742cb714e
- Virus Total
- Malwr.com
- Hybrid Analysis
- pierwsza obserwacja: 2015-10-19 12:00
- zawiera – identycznie jak „faktury Plusa” – konia trojańskiego Tinba
Z kolei dzisiaj ich miejsce zajęły następujące wiadomości:
Fałszywa wiadomość
[Wiadomość wygenerowana automatycznie] z moh1-ve1.go2.pl.
Z przykrością informujemy, że Twoja wiadomość nie została
dostarczona do jednego lub wielu odbiorców. Załączamy jej
fragment. Komunikat o błędzie znajduje się poniżej.
System Poczty o2
Drugi wariant:
Fałszywa wiadomość
Tematy wiadomości to „umowa” oraz „Niedostarczona poczta – zwrot do nadawc”.
Złośliwy załącznik:
- Dokumentu Microsoft Word (2).docx.zip / list-zalacznik-6ba95a-7.bin.zip
- Dokumentu Microsoft Word (2).docx.exe / list-zalacznik-2ca16a-9.bin.exe
- MD5: 545b9bfc4695c0fde3415c2066a14c34
- Virus Total
- Malwr.com
- pierwsza obserwacja: 2015-10-20 11:54
Wszystkie opisane powyżej pliki to Tinba należąca do tego samego botnetu co wczorajsze fałszywe faktury Plusa.
Komentarze
Można by też zacząć tworzyć jakąś listę serwerów C&C, którą według potrzeb można by było wrzucać na firewall lub inne urządzenia sieciowe w celu szybszej blokady ruchu. Co o tym myślicie?
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
No pewnie. Jak email nie dojdzie, to serwer pocztowy go odsyła z powrotem. Normalka.