Tiek izplatīti kaitīgi e-pasti ar JavaScript pielikumu
CERT.LV informē par jaunu mēstuļu kampaņu. Izsūtītie e-pasti pielikumā satur kaitīgu JavaScript dokumentu.
Šādus pielikumus nekādā gadījumā nedrīkst vērt vaļā.
Atverot pielikumu, datorā tiek lejupielādēts kaitīgs EXE (izpildāmais) fails, kurš, savukārt, nodrošina ļaunatūras nonākšanu datorā. Konkrētā ļaunatūra pieder saimei "NetWiredRC" un tas ir ar plašu funkcionalitāti apveltīts attālinātas administrēšanas rīks ļaunprātīgiem nolūkiem. Šo ļaunatūru atpazīst tikai daži pretvīrusu programmatūras ražotāji.
Ja esat saņēmuši sekojošu e-pastu un atvēruši pielikumu, lūdzam sazināties ar savu datorspeciālistu.
Tehniskā informācija
Skriptam izpildoties, tiek lejupielādēts EXE fails no vietnes "http://189.204.71.134/winsv.exe" lietotāja % TEMP% direktorijā un izpildīts.
Pretvīrusu programmatūras ražotāji to atpazīst kā "Trojan-Spy.Win32.Recam.vvo".
Pēc CERT.LV pieejamās informācijas, lai identificētu inficētās iekārtas, ir iespējams monitorēt infrastruktūras tīkla datu plūsmu, kurā notiek komunikācija ar sekojošām IP adresēm/portiem:
- - 189.204.71.134
- - 46.20.33.82
- - 62.102.148.185
- - 46.20.33.82:3361
- - 62.102.148.185:3829
Ja tiek konstatēta saziņa ar šiem resursiem, identificētās iekārtas ir jāpārbauda un infekcijas gadījumā jāveic to tīrīšana.
Pēc failu kontrolsummām ir iespējams meklēt šādas vērtības:
- sha256 "winsv.exe |bdda37c9f062eb43b0c8059a3f1bf4af73af8b76a0e875dd3c5550bedb133584"
- sha256 "bill.txt |d68299423aeb8fb367ec34e524ac231f328ba0e97bc1e84a3a55b89d43fa9d39"
- md5sum "winsv.exe |4e92241287e4fc1cd243f38fc7a9cf00"
- md5sum "bill.txt |0a5f8bcd6eca16fa016de5979681e34d"
Minētie kaitīgie faili izveido jaunus failus ar sekojošām kontrolsummām:
- sha256 "34d88b04956cbed54190823c94753b0dc6d8c19339d22153127293433b398cf1"
- md5sum "759545ab2edad3149174e263d6c81dce"