image

DHL malware succes door verborgen extensie

vrijdag 18 september 2009, 16:31 door Redactie, 14 reacties

Met de herfst in aankomst doen mensen meer online aankopen, waardoor er inmiddels een toename zichtbaar is van Trojaanse paarden die zich voordoen als berichten van FedEx, UPS of DHL. In de e-mail staat dat de bezorgdienst een pakketje niet kon afleveren omdat het adres niet zou kloppen. Vervolgens wordt gevraagd de meegestuurde factuur te printen en het pakket bij een lokaal kantoor af te halen. Het ZIP-bestand bevat een .EXE bestand dat van een Excel icoon is voorzien.

Na geopend te zijn, installeert de malware drie backdoors, te weten Zeus, BredoLab en Glecia. Het vervangen van het icoon is volgens Andrew Brandt van Webroot één van de oudste trucs uit het social engineering boekje. "Aangezien veel mensen, zelfs in het Windows Vista tijdperk, hun computer niet zo hebben ingesteld dat bestandsextensies zichtbaar zijn, is het makkelijk om misleid te worden." Een andere reden dat mensen toch de bijlage openen is pure nieuwsgierigheid. "De reactie van veel mensen is vaak hetzelfde: Open het bestand en neem een kijkje."

Reacties (14)
18-09-2009, 22:46 door Anoniem
Je krijgt een engelstalig mailtje van DHL met een niet-dhl emailadres, met de mededeling dat ze enkele maanden geleden een pakje niet konden bezorgen en dat je de factuur/afleverbon in het zipbestand moet afdrukken en meenemen naar het betreffende distributiecentrum van DHL.

Niet echt een mailtje waar je de bijlage van zou willen openen. Om meerdere redenen. [engelstalig, de afzender, het zipbestand, een onbekende levering van enkele maanden geleden, etc.]
Je ogen en een beetje gezond verstand gebruiken voorkomt dat je zo'n trojan installeert.

Zomaar ergens op klikken wat je niet (her)kent is gewoon dom.
Voor hun eigen veiligheid meteen de PC/email account afnemen van zulke mensen :->
19-09-2009, 20:00 door Kyentei
Ik kreeg deze mail al voordat ik dit nieuwsbericht uberhaupt tegenkwam. (ondertussen 4 keer gehad.). Gelukkig redeneerde ik met gezond verstand. Ik heb ook direct de website van het desbetreffende adres bezocht met een BackTrack live CD (veiligheid boven alles hm?) en dit was een pagina die je niet echt van DHL zou verwachten.

Wel een goede waarschuwing voor mensen die hun extensions niet weergeven.
19-09-2009, 20:52 door spatieman
een beetje mail filter kan je instellen die kijkt naar filenames met duibbele bestandnamen.
en idd, een DHL mail die geen DHL adres hebt, en als je daar op intrapt.
dan mogen ze die gasten het internet afnemen.

die klikken dus ook echt op alles..
21-09-2009, 09:35 door Anoniem
"Hello!

We failed to deliver postal package sent on the 19th of June in time
because the recipient?s address is erroneous.
Please print out the invoice copy attached and collect the package at our
office.

DHL Express Services."


Received on: 18/09/09 17:26:33
Received by: mailix
Received from: 124.121.49.246 [Add to Whitelist | Add to Blacklist]

Received Via: IP Address Hostname Country RBL Spam Virus All
124.121.49.246 ppp-124-121-49-246.revip2.asianet.co.th Thailand [ ] [ ] [ ] [ ]

ID: 1907480D3.62876
Message Headers: Received: from ppp-124-121-49-246.revip2.asianet.co.th (ppp-124-121-49-246.revip2.asianet.co.th [124.121.49.246])
by mailix.localdomain (Postfix) with ESMTP id 1907480D3
for <mail@adres.nl >; Fri, 18 Sep 2009 17:26:09 +0200 (CEST)
Received: from 124.121.49.246 by cluster3.eu.messagelabs.com; Fri, 18 Sep 2009 22:23:18 +0700
Message-ID: <000d01ca3873$f2e949d0$6400a8c0@collectsnm0>
From: "DHL Express Services" <services@dhl-express.com>
To: <mail@adres.nl >
Subject: DHL tracking number GLZIMXJ3.
Date: Fri, 18 Sep 2009 22:23:18 +0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_01CA3873.F2E949D0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4927.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4927.1200
From: collectsnm0@redcommerce.com [Add to Whitelist | Add to Blacklist]

To: mail@adres.nl
Subject: DHL tracking number GLZIMXJ3.
Size: 58.6Kb
Anti-Virus/Dangerous Content Protection
Virus: N
Blocked File: N
Other Infection: N
SpamAssassin
Spam: Y Action(s): store, notify
High Scoring Spam: N
SpamAssassin Spam: Y
Listed in RBL: N
Spam Whitelisted: N
Spam Blacklisted: N
SpamAssassin Autolearn: N
SpamAssassin Score: 8.03
Spam Report: Score Matching Rule Description
cached not
score=8.027
4 required
1.00 BOTNET Relay might be a spambot or virusbot
1.37 DCC_CHECK Listed in DCC (http://rhyolite.com/anti-spam/dcc/)
0.50 FH_HELO_EQ_D_D_D_D Helo is d-d-d-d
2.94 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr 1)
0.51 RCVD_IN_PBL Received via a relay in Spamhaus PBL
1.61 RCVD_IN_SORBS_DUL SORBS: sent directly from dynamic IP address
0.10 RDNS_DYNAMIC Delivered to trusted network by host with dynamic-looking rDNS


Dit laat ESVA zien. (spam mail)
17-02-2010, 20:49 door Anoniem
Ik kreeg ook zo'n mailtje van DHL. Heb eerst op de DHL site het trackings nummer opgevraagd, was onbekend.
Ben niet van gisteren en heb DHL klantenservice gebeld. Daar bevestigden ze mijn vermoedens. Trojans!
Maar mijn computer had er al voor gezorgd dat ik de bijlages zowiezo niet kon openen. Lucky me!
Ook al mails gehad van Fedex en UPS. Gewoon niks mee doen, verwijderen.
27-04-2010, 10:17 door Anoniem
Heb ook een DHL pakketmail ontvangen en geopend. Of ik dom ben? Nou nee! Maar de datum die in de mail werd genoemd (een engels talige mail) was de datum waarop er in een engels talig land een pakket is gepost voor ons. Alleen niet met dhl, maar per post en boot. Wij wachtten op dit pakket, op zaterdag kwam de mail en (geloof het of niet) op maandag het pakket. dussssss of er dan toch ergens iets te linken valt??????
10-11-2010, 09:29 door Anoniem
En ze zijn er weer. De mailtjes van DHL komen ook in 2010 weer binnen.

"This is a post notification.

Your package has been returned to the DHL office.
The reason of the return is - "Error in the delivery address"

Attached to the letter mailing label contains the details of the package delivery.
You have to print mailing label, and come in the SDF office in order to receive the packages.

Thank you for attention.
DHL Logistics Services."
16-11-2010, 19:49 door Anoniem
Ja, gelukkig belet [!] mijn anti-virusprogramma dat ik het betreffende bestand open. (Ik was het echter wel van plan)

En ja, ik verwacht een pakketje, zoals velen in deze periode. Wat zijn ze toch slim he?
Gelukkig was mijn AVG slimmer!!
05-03-2011, 18:08 door Anoniem
Mijn vriend heeft die mail ook gekregen en niet geopend, Windows had hem direct in quarantaine gezet, maar toch is z'n pc aangetast. Probleem; opstarten gaat nog enkel in beveiligde modus.
07-03-2011, 18:35 door Anoniem
Nu hebben wij hem wel geopend: heb 2 linkerhanden wat computergebruik betreft.
Nog tips wat verder te doen ?
03-05-2011, 23:33 door Anoniem
vrienden hadden zelfde mail maar niet geopend. Hij werd onderschept door Norton en verwijdert
anderen hebben 'm wel geopend en nu big problem.
Ga morgen hopelijk oplossen
09-06-2011, 15:56 door Anoniem
ook 3 mails ontvangen van DHL en 2 van FedEx daar dat ik nooit iets besteld bij deze 2 vond ik verdacht. Ze zaten dan ook bij spam van yahoo.
10-11-2011, 16:21 door Anoniem
Nu zelf mail ontvangen, wel geopend, virusscanner wel laten lopen en 1 infectie verwijders. Is dit voldoende?? Cookies verwijderd en tijdelijke internetbestanden.
28-02-2012, 09:28 door Anoniem
Heb vandaag ook zo een mail gehad van DHL,gelukkig kon ik het bestand niet openen.Wel gebeld naar DHL die zeiden dat het een virus was(ben ik vet mee!!!).Dus blijven opletten is de boodschap.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.