1. Dator och IT
  2. IT-säkerhet

Suspekt mail med attachment ("efax.com")

Svara
2014-02-17, 09:33
  #1
Lajtel
Medlem
Lajtels avatar
Hej Flashback,

Kom idag över ett mail som hade en suspekt attachment/länk.
Mailet ser ni här; http://i.imgur.com/ayJ6D1N.png

I mailet finns det en länk till
Dock pekar inte länken dit, utan den pekar mot
Går man in på (Varning, kan innehålla skadlig kod) hxxp://hackthecancer.com så möts man endast av en statisk bild i form av ett hjärta med text i.

Jag är inte säker på om filen i fråga fanns bifogat i mailet, eller om personen fick ner den på datorn när han klickade på länken.
Jag har kört en online scan på filen och resultatet hittas här; http://virusscan.jotti.org/en/scanresult/caa82dce31f5f8c947a74e6ade1f1ca019fc8801
Scan av zip-filen som innehöll filen i fråga:
http://virusscan.jotti.org/en/scanresult/6e4aee13ad55c02b71d1f5158648a87958c4ddf2

Filen i fråga låg i ett zip-arkiv och har filändelsen .pif.
När man klickar på filen så märker man inte att något händer, men tittat man i aktivitetshanteraren så kan man se den under "Applications".
Högerklickar man och väljer "go to process", så pekar den mot explorer.exe.

Man kan inte märka av att något händer med datorn efter att man har kört den, men då jag inte har någon superkoll på virus och liknande så vet jag inte hur man kan analysera filen.

Här är länk till zip-arkivet som innehöll filen:

Någon som kan ta reda på mer om denna filen?
Citera
2014-02-17, 14:43
  #2
bergsturk
Medlem
bergsturks avatar
En pif är en gammaldags "Windows-genväg" som definierar hur DOS-program skall köras, alltså från windows 1 till och med 3.1-tiden. Ni newfags känner inte till den men det var ett hyfsat vanligt sätt att sprida malware på förr i tiden. Det är givetvis något slags försök att sprida en trojan och ingen vidare analys behövs, bara att kasta. Kompetenta admins blockerar PIFar redan i mailservern då det inte finns något scenario då en sådan behöver spridas.
Citera
2014-02-17, 16:07
  #3
Lajtel
Medlem
Lajtels avatar
Citat:
Ursprungligen postat av bergsturk
En pif är en gammaldags "Windows-genväg" som definierar hur DOS-program skall köras, alltså från windows 1 till och med 3.1-tiden. Ni newfags känner inte till den men det var ett hyfsat vanligt sätt att sprida malware på förr i tiden. Det är givetvis något slags försök att sprida en trojan och ingen vidare analys behövs, bara att kasta. Kompetenta admins blockerar PIFar redan i mailservern då det inte finns något scenario då en sådan behöver spridas.
Jag förstår vad en *.pif fil används till, men min egentliga fråga är om man kan ta reda på vad denna specifika filen försöker göra.

Jag misstänker att användaren hämtade filen via länken i mailet, och av ren nyfikenhet skulle jag vilja veta lite mer exakt vad den har gjort.

Informationen du gav kan vem som helst hitta via en snabb googling.
Citera
2014-02-17, 16:13
  #4
bergsturk
Medlem
bergsturks avatar
Du får väl köra filen i en virtuell maskin och titta på disk- och processaktiviteten.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in