Skoči na vsebino

SI-CERT 2014-02 / Virus pod pretvezo računa

Opis

Dodano 20. 5. 2014: Po nekaj mesecih se incident ponavlja, zopet prejemamo prijave, tokrat z novejšo različico škodljive kode.

Na SI-CERT smo v zadnjih dneh prejeli več prijav uporabnikov glede sumljivih elektronskih sporočil, ki naj bi jih poslala tuja, predvsem nemška podjetja, v katerem nam pošiljajo dokumente, kot so npr. račun za telekomunikacijske storitve, račun za plačilo plina, bančne izpiske ipd. (gl. primere sporočil spodaj v obvestilu). Povezava v sporočilu na računalnik prenese zip arhiv, v katerem se pod krinko pdf dokumenta nahaja zlonamerna izvršljiva datoteka oz. aplikacija (virus Cridex). Po trenutno znanih podatkih je napad ciljan predvsem na podjetja in ne toliko na zasebne uporabnike.

Pod krinko pdf fokumenta se nahaja zlonamerna izvršljiva datoteka
Pod krinko pdf fokumenta se nahaja zlonamerna izvršljiva datoteka

Gre za poskus prevare, ko napadalec želi, da z nepremišljenim klikanjem uporabnik enostavno sam sebi naloži virus. Cridex je namenjen kraji gesel za dostop do spletnih storitev, podatkov za dostop do e-bančnih storitev in podatkov o kreditnih kaarticah.

Ukrepi

Uporabnikom svetujemo, da ne klikajo na povezave v sporočilih, ter da vedno preverijo identiteto pošiljatelja sporočila in kam vodijo povezave v elektronskem sporočilu. To enostavno storijo tako, da se z miško brez klikanja zaustavijo na povezavi in pokazal se bo pravi spletni naslov.

Uporabniki, ki so kliknili na povezavo, in tudi odprli datoteko v zip arhivu (npr. z 2-kratnim klikom), so zelo verjetno okužili računalnik. V tem primeru svetujemo, da se računalnik izklopi iz omrežja in pregleda s posodobljenim antivirusnim programom. Priporočamo pregled z več antivirusnimi programi v t.i. offline načinu, pri katerem se računalnik zažene iz posebne zgoščenke ali USB ključa, gl. npr.:

Ker je ena od možnih posledic okužbe tudi kraja gesel in osebnih digitalnih certifikatov, uporabnikom okuženih računalnikov priporočamo, da iz čistega  oz. neokuženega računalniku zamenjajo vsa gesla, ki bi lahko bila  zlorabljena (npr. shranjena gesla v brskalniku in gesla, ki so jih  vpisovali na okuženem računalniku). Po potrebi naj tudi prekličejo osebni digitalni certifikat, glede smiselnosti tega ukrepa naj se obrnejo na izdajatelja digitalnega certifikata.

Za več napotkov o varni rabi interneta se lahko obrnete na portal odzivnega centra SI-CERT Varni na internetu.

Povezave

Primeri okuženih sporočil

Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila
Primer zlonamernega sporočila

Preberite tudi

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več