Осторожно! Вирусная рассылка под видом UPS!

[DimaNax]

Ситуация произошла прямо сейчас.

Сижу жду мейла, знакомый должен письмецо прислать.
И тут мне Thunderbird радостно оповещает о двух новых письмах.
Смотрю заголовок одного из них: UPS Tracking Number 2035846.
Отправитель: UPS Manager Martina Maynard support@ups.com
Содержание письма:

Hello!

The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.

You may pickup the parcel at our post office personaly*!

Please attention!
The shipping label is attached to this e-mail.
Please print this label to get this package at our post office.

Please do not reply to this e-mail, it is an unmonitored mailbox.

Thank you.
United Parcel Service of America.

*ошибка в слове personally
И к письмецу прикреплен файл с названием: UPS_invoice_NR76234.zip
Открываю архив и наблюдаю вот такой чудо файл. Очень улыбнул ярлычок екселя с разрешением .exe
[attachment=p:100151:ae4e861527d1]
Недолго думая решил потестить файл на вирусы. И вот что я наблюдаю:

Развод/кидок? Но домен у отправителя ups.com (полазил по сайту юпс, не нашел не одного их емейл адреса для сравнения)

 

[Xevus]

Re: Письмо якобы от UPS.

Развод/кидок? Но домен у отправителя ups.com (полазил по сайту юпс, не нашел не одного их емейл адреса для сравнения)

Протокол SMTP древний как известно что. Поэтому в нем не предусмотрена авторизация отправителя, и почтовый сервер верит ему на слово целиком и полностью. Поэтому достаточно найти т. наз open relay и можно рассылать письма с любым адресом.

 

[Vlad_man]

Re: Письмо якобы от UPS.

будь осторожен
я-б подстраховался и поменял бы пароли на ибей

после таких писем и взламывают

 

[altai]

Недавно на ящики mail.ru пришли зараженные письма, отправитель значился parcel.delivery@ups.com

Hello!

Unfortunately we were not able to deliver the package you have sent on the 6th of January in time
because the addressee's address is inexact.
Please print out the invoice copy attached and collect the package at our office.

United Parcel Service of America.

С вложением zip файла, в котором НАХОДИТСЯ ВИРУС! Будьте осторожны и не ведитесь!

 

[Acden]

Ещё такая же от Fedex'a может прийти.

Распознать что это спам и вирус можете по совокупности признаков:
1 вы ничего не заказывали через Fedex
2 там находится zip-архив, а внутри exe
3 если запустить этот exe "ничего" не происходит (на самом деле неизвестно как начинает работать вирус)

 

[altai]

Ещё такая же от Fedex'a может прийти.
3 если запустить этот exe "ничего" не происходит (на самом деле неизвестно как начинает работать вирус)

я бы краааааааайне не рекомендовал переходить по ссылкам в письме/скачивать вложения

 

[selb609]

То что вы видите - это "обвертка, конверт" . Оправитель туда можно написать хоть дед мороз. Смотрите заголовки писем и будет вам счастье в виде
Received: from [IP] (helo=****)
by server_name with esmtp (soft_name)
(envelope-from <server>)

И тому подобное.