Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
DHL notification system
07-03-2011, 15:51 door Anoniem, 25 reacties
Is bij jullie iets bekend over een e-mailbericht (inclusief bijlage) met als onderwerp: DHL notification?
Vandaag ontving ik een bericht van het DHL notification system in de map "Ongewenste berichten".
Omdat ik op dit moment niets verwacht van DHL, en Ziggo mij bovendien heeft gewaarschuwd, heb ik het bericht nog maar niet geopend. Ofschoon ik eigenlijk wel benieuwd ben naar de inhoud.
Jan
N.B In Eigenschappen/Details/Bron van bericht..... staat onder meer vermeld:
Dit is een bericht van de Ziggo MailScanner
----------------------------------------------------------------
De oorspronkelijke e-mail bijlage "DHL_document.zip"
lijkt te zijn geinfecteerd door een virus. De bijlage is vervangen
door deze waarschuwing.
Als u de bijlage alsnog wilt ontvangen, neem dan contact op met de
afzender. U kunt de afzender vragen om gebruik te maken van een
recente virusscanner voordat de e-mail opnieuw wordt verstuurd.
Op Mon Mar 7 15:23:46 2011 gaf onze virusscanner de volgende melding:
Clamd: DHL_document.zip was infected: Suspect.Bredozip-zippwd-11=20
--=20
Ziggo MailScanner
www.ziggo.nl
Vandaag ontving ik een bericht van het DHL notification system in de map "Ongewenste berichten".
Omdat ik op dit moment niets verwacht van DHL, en Ziggo mij bovendien heeft gewaarschuwd, heb ik het bericht nog maar niet geopend. Ofschoon ik eigenlijk wel benieuwd ben naar de inhoud.
Jan
N.B In Eigenschappen/Details/Bron van bericht..... staat onder meer vermeld:
Dit is een bericht van de Ziggo MailScanner
----------------------------------------------------------------
De oorspronkelijke e-mail bijlage "DHL_document.zip"
lijkt te zijn geinfecteerd door een virus. De bijlage is vervangen
door deze waarschuwing.
Als u de bijlage alsnog wilt ontvangen, neem dan contact op met de
afzender. U kunt de afzender vragen om gebruik te maken van een
recente virusscanner voordat de e-mail opnieuw wordt verstuurd.
Op Mon Mar 7 15:23:46 2011 gaf onze virusscanner de volgende melding:
Clamd: DHL_document.zip was infected: Suspect.Bredozip-zippwd-11=20
--=20
Ziggo MailScanner
www.ziggo.nl
Reacties (25)
07-03-2011, 19:12 door
Rubbertje
Het ziet er naar uit dat Ziggo jouw mail ook op virussen scant en een mailtje met een virus heeft onderschept. Dat maak ik uit de mail op. Ziggo meldt dit in het mailbericht maar jouw spamfilter heeft de mail in de map 'ongewenste berichten' gezet.
07-03-2011, 19:15 door
Syzygy
Ofschoon ik eigenlijk wel benieuwd ben naar de inhoud.
Ik neem aan een (besmette) exe .
Als er meer documenten in de zip staan dan moet je de zip cleanen en openen om de rest te lezen.
07-03-2011, 21:03 door
[Account Verwijderd]
[Verwijderd]
Ik denk als je die zip cleant dat er niet veel meer overblijft.
Deze manier is een bekende manier van verspreiden van het Bredolab Trojan
Deze zou overlaatst volgens de nederlandse recherche uit de lucht gehaalt zijn maar dit blijkt toch niet zo te zijn.
http://www.computable.nl/artikel/ict_topics/security/3616128/1276896/bredolabbotnet-is-nooit-opgerold.html
Ook als je even googled naar 'Bredo DHL' vind je ook al snel dit.
http://www.sophos.com/security/threat-spotlight/090709-threat-spotlight.html
Ik zou deze email dus ook gewoon negeren en deze verwijderen.
Tenzij je wat vrije tijd hebt en deze wilt reverse engineeren =)
Mvg
Deze manier is een bekende manier van verspreiden van het Bredolab Trojan
Deze zou overlaatst volgens de nederlandse recherche uit de lucht gehaalt zijn maar dit blijkt toch niet zo te zijn.
http://www.computable.nl/artikel/ict_topics/security/3616128/1276896/bredolabbotnet-is-nooit-opgerold.html
Ook als je even googled naar 'Bredo DHL' vind je ook al snel dit.
http://www.sophos.com/security/threat-spotlight/090709-threat-spotlight.html
Ik zou deze email dus ook gewoon negeren en deze verwijderen.
Tenzij je wat vrije tijd hebt en deze wilt reverse engineeren =)
Mvg
08-03-2011, 07:44 door
Syzygy
Door Cvrler: Aan Syzygy;
zip cleanen; (?) Ik wil graag leren hoe dat te doen. Ik ga er vanuit dat het de bedoeling is de besmetting uit de zip te halen voordat deze wordt geopend?
MvG
Cvrler
zip cleanen; (?) Ik wil graag leren hoe dat te doen. Ik ga er vanuit dat het de bedoeling is de besmetting uit de zip te halen voordat deze wordt geopend?
MvG
Cvrler
Ja, dan "clean" je de zip toch.
Door dat engels lijkt het heel wat maar je Zip "schoonmaken klinkt zo oubollig
Je ontdoet hem van de malware (althans je AV software)
Er steekt geen hitech achter hoor.";-)
Die zip kan je wel openen (of erin kijken of er nog andere bestanden in zitten) want die exe start niet vanzelf op.
Daarnaast kun je ook even in de header info kijken waar het mailtje daadwerkelijk vandaan komt.
Ben je weer lekker mee... een provider die zich met mail gaat bemoeien...
Kijk met een fatsoenlijk OS eens wat er in zit. Alles wat executable is, moet je niet draaien. De rest kan niet zoveel kwaad (als je een fatsoenlijk OS draait...)
Kijk met een fatsoenlijk OS eens wat er in zit. Alles wat executable is, moet je niet draaien. De rest kan niet zoveel kwaad (als je een fatsoenlijk OS draait...)
08-03-2011, 10:40 door
[Account Verwijderd]
[Verwijderd]
ik denk dat het beter is de mail lekker weg te gooien.
De mail word je toegestuurt waardoor er een drang ontstaat om de mail toch te openen.
de mail komt van DHL is een postbedrijf dus vertrouwt.
de mail komt in werkelijkheid echter niet van DHL dat is dus waarschijnlijk fake.
Je verwacht geen mail van DHL en als ze wat van je willen komen ze vanzelf aan je deur dus!!!!
Lekker weggooien die mail want als er een virus inzit 95%kans heb je hele grote problemen!!!!!
Als het een tekstbestand zou zijn had je de gok kunnen nemen echter het is een exe bestand dat is 100%foute boel.
MvG
jos
De mail word je toegestuurt waardoor er een drang ontstaat om de mail toch te openen.
de mail komt van DHL is een postbedrijf dus vertrouwt.
de mail komt in werkelijkheid echter niet van DHL dat is dus waarschijnlijk fake.
Je verwacht geen mail van DHL en als ze wat van je willen komen ze vanzelf aan je deur dus!!!!
Lekker weggooien die mail want als er een virus inzit 95%kans heb je hele grote problemen!!!!!
Als het een tekstbestand zou zijn had je de gok kunnen nemen echter het is een exe bestand dat is 100%foute boel.
MvG
jos
08-03-2011, 11:16 door
peterrus
Door Syzygy:
Ja, dan "clean" je de zip toch.
Door dat engels lijkt het heel wat maar je Zip "schoonmaken klinkt zo oubollig
Je ontdoet hem van de malware (althans je AV software)
Er steekt geen hitech achter hoor.";-)
Die zip kan je wel openen (of erin kijken of er nog andere bestanden in zitten) want die exe start niet vanzelf op.
Daarnaast kun je ook even in de header info kijken waar het mailtje daadwerkelijk vandaan komt.
Door Cvrler: Aan Syzygy;
zip cleanen; (?) Ik wil graag leren hoe dat te doen. Ik ga er vanuit dat het de bedoeling is de besmetting uit de zip te halen voordat deze wordt geopend?
MvG
Cvrler
zip cleanen; (?) Ik wil graag leren hoe dat te doen. Ik ga er vanuit dat het de bedoeling is de besmetting uit de zip te halen voordat deze wordt geopend?
MvG
Cvrler
Ja, dan "clean" je de zip toch.
Door dat engels lijkt het heel wat maar je Zip "schoonmaken klinkt zo oubollig
Je ontdoet hem van de malware (althans je AV software)
Er steekt geen hitech achter hoor.";-)
Die zip kan je wel openen (of erin kijken of er nog andere bestanden in zitten) want die exe start niet vanzelf op.
Daarnaast kun je ook even in de header info kijken waar het mailtje daadwerkelijk vandaan komt.
En wat als de zip nou eigenlijk helemaal geen zip is maar een exploits voor, zeg, 7-zip, winrar oid? Think twice
08-03-2011, 11:48 door
[Account Verwijderd]
[Verwijderd]
08-03-2011, 11:54 door
Tukker66
Dit zijn virussen. Ze worden er hier momenteel om de haverklap uitgehaald door Eset op de mailserver:
ESET Mail Security: Threat alert
3/8/2011 9:29:00 AM - Module Mail Server filter - Threat Alert triggered on computer EXCHANGE3: from: "DHL notification system" <support61m@dhl.com> to: <xxxxxxxxx@xxxxxxxxxx> with subject DHL notification dated Tue, 8 Mar 2011 13:28:57 +0500 contains Win32/TrojanDownloader.Karagany.A trojan.
ESET Mail Security: Threat alert
3/8/2011 9:29:00 AM - Module Mail Server filter - Threat Alert triggered on computer EXCHANGE3: from: "DHL notification system" <support61m@dhl.com> to: <xxxxxxxxx@xxxxxxxxxx> with subject DHL notification dated Tue, 8 Mar 2011 13:28:57 +0500 contains Win32/TrojanDownloader.Karagany.A trojan.
niet openen, weggooien en niet nieuwsgierig zijn....phising of malware infectie
08-03-2011, 13:32 door
[Account Verwijderd]
[Verwijderd]
08-03-2011, 13:40 door
Syzygy
Door peterrus:
En wat als de zip nou eigenlijk helemaal geen zip is maar een exploits voor, zeg, 7-zip, winrar oid? Think twice
Door Syzygy:
Ja, dan "clean" je de zip toch.
Door dat engels lijkt het heel wat maar je Zip "schoonmaken klinkt zo oubollig
Je ontdoet hem van de malware (althans je AV software)
Er steekt geen hitech achter hoor.";-)
Die zip kan je wel openen (of erin kijken of er nog andere bestanden in zitten) want die exe start niet vanzelf op.
Daarnaast kun je ook even in de header info kijken waar het mailtje daadwerkelijk vandaan komt.
Door Cvrler: Aan Syzygy;
zip cleanen; (?) Ik wil graag leren hoe dat te doen. Ik ga er vanuit dat het de bedoeling is de besmetting uit de zip te halen voordat deze wordt geopend?
MvG
Cvrler
zip cleanen; (?) Ik wil graag leren hoe dat te doen. Ik ga er vanuit dat het de bedoeling is de besmetting uit de zip te halen voordat deze wordt geopend?
MvG
Cvrler
Ja, dan "clean" je de zip toch.
Door dat engels lijkt het heel wat maar je Zip "schoonmaken klinkt zo oubollig
Je ontdoet hem van de malware (althans je AV software)
Er steekt geen hitech achter hoor.";-)
Die zip kan je wel openen (of erin kijken of er nog andere bestanden in zitten) want die exe start niet vanzelf op.
Daarnaast kun je ook even in de header info kijken waar het mailtje daadwerkelijk vandaan komt.
En wat als de zip nou eigenlijk helemaal geen zip is maar een exploits voor, zeg, 7-zip, winrar oid? Think twice
Zoals die die RARdropper die door een bufferoverflow een besmette exe file in je temp dir zet die niks doet maar wel je virusscanner aan laat slaan ??
Vandaag hetzelfde mailtje ontvangen, het gebruikte engels is verschrikkelijk slecht en vol typefouten (Hint 1). Ik verwacht niets van DHL (Hint 2), Info en tracking nummer in een zipfile is niet de gebruikelijke manier van werken bij transporteurs (Hint 3). Al met al redelijk amateuristisch.
ik moet echter toegeven dat het een zekere aantrekkingskracht heeft, dat Zipje, even kijken of je het virus de baas kan zeg maar :)
Bring It On Rusky! (vermoedelijk)
M@K
ik moet echter toegeven dat het een zekere aantrekkingskracht heeft, dat Zipje, even kijken of je het virus de baas kan zeg maar :)
Bring It On Rusky! (vermoedelijk)
M@K
08-03-2011, 16:45 door
Syzygy
Ik zou bijna zeggen stuur het hierheen dan open ik de boel in een geconditioneerde omgeving en dan kijken we wel wat er allemaal gebeurt.
Heeft iemand met dat mailtje niet zo'n omgeving ??
Heeft iemand met dat mailtje niet zo'n omgeving ??
Door Anoniem:
Ofschoon ik eigenlijk wel benieuwd ben naar de inhoud.
Jan
Ofschoon ik eigenlijk wel benieuwd ben naar de inhoud.
Jan
Inmiddels heb ik de e-mail toch maar even geopend. Die was leeg. Het attachment was vervangen door een tekstbericht van Ziggo zoals aangegeven in mijn openingsbericht. Ziggo had haar werk goed(?) gedaan en het virus onderschept en vervangen door een ander attachment, ........uh, mag dit zo maar? Was dit bericht niet "mijn eigendom"?
Ook heb ik via de website van DHL om opheldering gevraagd. Is support6mm@dhl.com wel bekend bij hen? Kan zij dan de e-mail opnieuw sturen met een gescande attachment?
Zodra een vermeldenswaardige reactie van DHL binnen is, laat ik het wel weten.
Jan
Door Syzygy: Ik zou bijna zeggen stuur het hierheen dan open ik de boel in een geconditioneerde omgeving en dan kijken we wel wat er allemaal gebeurt.
Als je goed leest, zie je dat de ZIP verwijderd is door een virus scanner.
De email is niet van DHL, de afzender en inhoud is volledig vals. Dergelijke mails worden op grote schaal verstuurd. Het is niet nieuw of onbekend.
Er valt niets te cleanen, de bijlage is niet besmet met een virus, de nu niet meer aanwezige executable in ZIP file was de malware, in zijn geheel.
Ziggo maakt gebruik van Clam, een gratis virus scanner die veel op mail servers wordt ingezet.
Ik zou zeggen, zet hier maar een slotje op, de hoeveelheid onzin in deze thread is overschreeuwt de goede informatie zoals die van Bastos en Tukker66.
Kan het ook gevaarlijk zijn als je dergelijke mail via je telefoon opent, met andere woorden kan je telefoon ook geïnfecteerd raken (ook als je de bijlage niet geopend hebt)?
Thx.
Thx.
Inmiddels heb ik de e-mail toch maar even geopend.
Doe dit nooit, het is nergens voor nodig risico te lopen. Je bent geen malware expert, dit is werk voor malware experts.Die was leeg. Het attachment was vervangen door een tekstbericht van Ziggo zoals aangegeven in mijn openingsbericht. Ziggo had haar werk goed(?) gedaan en het virus onderschept en vervangen door een ander attachment
Goede detectie door Clam. Wat Ziggo wel beter had kunnen doen is het hele bericht te blokkeren. Cleanen van mail is een slecht idee, aangezien het vrijwel altijd een bericht betreft afkomstig van malware verspreiders. Die hoeven niet te worden bezorgd.uh, mag dit zo maar? Was dit bericht niet "mijn eigendom"?
Kijk in de voorwaarden. Als je graag malware wilt ontvangen, zul je daar anno 2011 toch een aparte mail server voor moeten gebruiken of een slechte provider moeten vinden (weinig kans). Providers voor consumenten filteren doorgaans email op malware.Ook heb ik via de website van DHL om opheldering gevraagd. Is support6mm@dhl.com wel bekend bij hen? Kan zij dan de e-mail opnieuw sturen met een gescande attachment?
DHL heeft niets met dit bericht te maken. Je valt hen lastig met nodeloze vragen.Zodra een vermeldenswaardige reactie van DHL binnen is, laat ik het wel weten.
DHL is geen malware expert, heeft niets met deze malware te maken, is dus geen partij. Je hoeft dus van hen niets te verwachten.Door Anoniem: Kan het ook gevaarlijk zijn als je dergelijke mail via je telefoon opent, met andere woorden kan je telefoon ook geïnfecteerd raken (ook als je de bijlage niet geopend hebt)?
Als je de bijlage niet opent is er geen gevaar bij dit bericht. In dit geval gaat het om Windows malware, die draait op Windows of op Windows emulatoren.
Er zijn twee belangrijke beveilgingsmaatregelen voor zowel een PC als een smartphone: je eigen gedrag (open geen malware) en het up-to-date houden van software met beveiligingsupdates. Vergeet niet updates voor plug-ins voor browsers zoals Flash, PDF readers, media players en eventueel Java.
ben vandaag getroffen door een nieuwe: supportletter2@dhl.com. had er op gegoogled maar kon niets vinden en ik zit te "wachten" op pakjes via dhl....
Deze mailtjes, met daaraan een zip archief met daarin een virus, zijn de afgelopen week een ware plaag. Ze (lijken) niet alleen uit naam van DHL te komen, maar ook van Post Express en UPS. En nee, daar komen ze natuurlijk niet echt vandaan.
Onze provider zou spam en virussen moeten filteren uit de binnenkomende mail, maar er komen er veel teveel doorheen. En dan zijn er ook nog gebruikers die deze rotzooi niet herkennen en gewoon dom het zip bestand EN de executable aanklikken. Alsof zo'n bedrijf een executable zou opsturen naar een gebruiker, maar de meeste gebruikers hebben gewoon het benul niet, die moet je daarin trainen. Het 3e probleem is vervolgens dat onze (up-to-date) virusscanner de virussen niet of te laat herkend, het meeste leed is dan al geschied.
Wanneer je zo'n pc dan overneemt met RDP om de zaak op te schonen en je hebt per ongeluk je lokale drivemappings aan staan, dan wordt het virus op die drivers ook meteen overal in de root gezet (compleet met autorun bestand erbij).
Kortom, het vervelendste virus dat we hier in tijden gezien hebben.
Onze provider zou spam en virussen moeten filteren uit de binnenkomende mail, maar er komen er veel teveel doorheen. En dan zijn er ook nog gebruikers die deze rotzooi niet herkennen en gewoon dom het zip bestand EN de executable aanklikken. Alsof zo'n bedrijf een executable zou opsturen naar een gebruiker, maar de meeste gebruikers hebben gewoon het benul niet, die moet je daarin trainen. Het 3e probleem is vervolgens dat onze (up-to-date) virusscanner de virussen niet of te laat herkend, het meeste leed is dan al geschied.
Wanneer je zo'n pc dan overneemt met RDP om de zaak op te schonen en je hebt per ongeluk je lokale drivemappings aan staan, dan wordt het virus op die drivers ook meteen overal in de root gezet (compleet met autorun bestand erbij).
Kortom, het vervelendste virus dat we hier in tijden gezien hebben.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
