Questions sur des spam Nemucod reçus au boulot

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 02 déc. 2016 18:08

nouveau SPAM reçu à 12H40 (détecté sur virus total il y a 4h. détection: 17/56)
mis en quarantaine par mon AV (JS.TeslaCrypt2.gen)

message reçu:
Greetings! Informing you that the contractor requires including VAT in the service receipt.
Sending the new invoice and payment details in the attached file.
Please open and study it as soon as possible - we need your decision.
SHA256: 846fa99641e7041ff42dcb0aa4293fd944f5058658d51e738368d0251232fbf2
Nom du fichier : SCAN_devadip68.zip
Ratio de détection : 20 / 55
Date d'analyse : 2016-12-02 15:50:11 UTC (il y a 0 minute)
0 0
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Antivirus Résultat Mise à jour
Ad-Aware JS:Trojan.JS.Ransom.S 20161202
AegisLab Troj.Downloader.Script!c 20161202
AhnLab-V3 JS/Obfus.S172 20161202
Antiy-AVL Trojan/Generic.ASVCS3S.434 20161202
Avira (no cloud) HEUR/Suspar.Gen 20161202
Baidu JS.Trojan-Downloader.Nemucod.pe 20161202
BitDefender JS:Trojan.JS.Ransom.S 20161202
Cyren JS/Locky.BF!Eldorado 20161202
ESET-NOD32 JS/TrojanDownloader.Nemucod.BSG 20161202
Emsisoft Trojan.JS.Agent.OPO (B) 20161202
F-Prot JS/Locky.BF!Eldorado 20161202
F-Secure JS:Trojan.JS.Ransom.S 20161202
GData JS:Trojan.JS.Ransom.S 20161202
Ikarus Win32.SuspectCrc 20161202
K7AntiVirus Trojan ( 004dfe6d1 ) 20161202
K7GW Trojan ( 004dfe6d1 ) 20161202
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20161202
eScan Trojan.JS.Agent.OPO 20161202
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20161202
Rising Trojan.Obfus/JS!1.A601 (classic) 20161202


Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 06 déc. 2016 03:27

nouveau SPAM reçu à 7h15 hier (détecté il y a 7h sur virustotal. détection: 3/55)

message reçu:
Dear devadip,

Our accountants have noticed a mistake in the payment bill #DEC-0895076.
The full information regarding the mistake, and further recommendations are in the attached document.

Please confirm the amount and let us know if you have any questions.
mail: Sellers.Norberto@makefreecash.org
SHA256: 37ff57cd76ccedc509faf3bc3e1756861c673d5ae6ba59a051a75cadedf2cc89
Nom du fichier : bill0895076.zip
Ratio de détection : 17 / 55
Date d'analyse : 2016-12-06 01:08:20 UTC (il y a 0 minute)
0
0

Analyse
File detail
Informations supplémentaires
Commentaires
Votes

Antivirus Résultat Mise à jour
Ad-Aware JS:Trojan.JS.Agent.QZ 20161206
AegisLab Troj.Downloader.Js!c 20161205
Arcabit JS:Trojan.JS.Agent.QZ 20161205
Avira (no cloud) JS/Dldr.Locky.MXE 20161205
BitDefender JS:Trojan.JS.Agent.QZ 20161205
Cyren JS/Nemucod.FD!Eldorado 20161206
Emsisoft JS:Trojan.JS.Agent.QZ (B) 20161206
F-Prot JS/Nemucod.FD!Eldorado 20161206
F-Secure JS:Trojan.JS.Agent.QZ 20161206
GData JS:Trojan.JS.Agent.QZ 20161206
K7AntiVirus Trojan ( 004dfe6d1 ) 20161205
K7GW Trojan ( 004dfe6d1 ) 20161206
Kaspersky Trojan-Downloader.JS.Nemucod.fh 20161205
eScan JS:Trojan.JS.Agent.QZ 20161206
Rising Trojan.DL-Obfus/JS!1.A509 (classic) 20161206
Sophos Mal/DrodZp-A 20161206
Tencent Js.Trojan.Raas.Auto 20161206

2eme SPAM reçu à10h40 hier (détecté il y a 3h30 par virustotal, détection: 6/55)

message reçu:
Dear devadip,

The error occurred during payment. Sending you details of the transaction.
Please pay the remaining amount as soon as possible
mail: Becker.Leslie@firehousecookers.org

SHA256: 892f3c2590df0e640943bf7a5c802aaec00f4dba02f9b06fea4e7d8037bf2051
Nom du fichier : payment2771570.zip
Ratio de détection : 7 / 55
Date d'analyse : 2016-12-06 01:13:27 UTC (il y a 0 minute)
0
0

Analyse
File detail
Informations supplémentaires
Commentaires
Votes

Antivirus Résultat Mise à jour
Antiy-AVL Trojan/Generic.ASVCS3S.434 20161205
Cyren JS/Nemucod.FD!Eldorado 20161206
F-Prot JS/Nemucod.FD!Eldorado 20161206
K7AntiVirus Trojan ( 004dfe6d1 ) 20161205
K7GW Trojan ( 004dfe6d1 ) 20161206
Rising Trojan.DL-Obfus/JS!1.A509 (classic) 20161206
Tencent Js.Trojan.Raas.Auto 20161206

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 12 déc. 2016 20:15

slt
2 SPAM aujourd'hui (le même message et le même fichier zip). bloqué par mon AV (nom: JS.Dldr.Locky.PKK)

message reçu:
Hello devadip, it is Rayford.
Sending you the scan of the software license agreement (Order #5667931).
It is in the attachment. Please look into it ASAP.
mail: Bryant.Rayford@seven6eight6.co.uk
et
Hello devadip68, it is Myrtle.
Sending you the scan of the software license agreement (Order #4080926).
It is in the attachment. Please look into it ASAP.
mail: Harper.Myrtle@shiptrip.hrcoxmail.com

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 13 déc. 2016 12:26

nouveau SPAM aujourd'hui bloqué par "quelque chose" (pas mon AV). détecté comme: JS.Downloader
pas de message, juste un fichier zip
mail: teresa.holby@gmail.com

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 06 févr. 2017 16:14

slt
en lisant ton post sur Les alternatives à Google, je me suis rappelé que j'avais une boite mail que tu sites et dans cette boite mail, il y avait un mail avec pièce jointe.
le message date du 22/10/2015
il y avait un fichier word avec un W97M.Downloader bloqué par Symantec Protection Engine (donc pas d'analyse avec virus total)

message:
Bonjour,

Veuillez trouver ci-joint copie d’une facture pour un travail urgent demandé auprès de Julien.
L’originale est dans la bannette dans le bureau de Stéphanie.
Merci
Ruben Rey
mail: ReyRuben27@webmaze.com


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87598
Inscription : 10 sept. 2005 13:57
Contact :

Re: Questions sur des spam Nemucod reçus au boulot

Message par Malekal_morte » 06 févr. 2017 17:24

W97M.Downloader = Macro Word malicieuse
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 03 mars 2017 11:27

nouveau SPAM reçu hier à 16h40 (1er scan survirustotal il y a 17h. détection: 6/56)
pas de message, juste le fichier zip
mon fichier a été scanné sur virustotal hier vers 23h40 avec la même détection que la 1er détection (j'ai pas pu me connecter au forum hier soir)
SHA256: 837fc8a5d661ea2825e51de736fe28448aba38722455a47bd5ce5734421f7aa0
Nom du fichier : 19069290454.zip
Ratio de détection : 6 / 56
Date d'analyse : 2017-03-02 22:48:17 UTC (il y a 9 heures, 52 minutes)
0 0
Analyse
File detail
Informations supplémentaires
Commentaires 0
Votes
Antivirus Résultat Mise à jour
CAT-QuickHeal JS.Nemucod.CGV 20170302
K7AntiVirus Trojan ( 004dfe6d1 ) 20170302
K7GW Trojan ( 004dfe6d1 ) 20170302
Qihoo-360 virus.js.qexvmc.1070 20170302
Sophos Mal/DrodZp-A 20170302
Tencent Win32.Trojan.Generic.Paby 20170302
mail: giving@llu.edu

L'adresse source de courrier électronique IP est: 125.236.213.156
La source de courrier électronique le nom d'hôte IP est: 125-236-213-156.adsl.xtra.co.nz.
Email Source IP info Lookup
Pays: Nouvelle - Zélande
Ville: -
Code régional: -
Latitude: -41
Longitude: 174
FAI: Spark Nouvelle - Zélande
Organisation: Spark Nouvelle - Zélande

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 13 avr. 2017 16:43

1 an après la sortie du ransomware Locky, environ vers mi-février, ce dernier est en perte de vitesse.
ils ont peut être raison parce que depuis janvier, j'ai reçu que 2 SPAM
le 2eme date du 7 avril (bloqué par windows defender)

message:
The message is ready to be sent with the following file or link attachments:
PIC7889333.GIF

Note: To protect against computer viruses, e-mail programs may prevent sending or receiving certain types of file attachments. Check your e-mail security settings to determine how attachments are handled.
mail: Valerie@danntech.com.br

scanné par virus total aujourd'hui
SHA256: 15eee7b7ef1ae28bb716075cfc89720bd24c4d16aa643a2f85f9a5c009f788a7
Nom du fichier : PIC7889333.GIF.zip
Ratio de détection : 32 / 58
Date d'analyse : 2017-04-13 14:01:21 UTC (il y a 0 minute)
0 0
Analyse
File detail
Informations supplémentaires
Commentaires
Votes
Antivirus Résultat Mise à jour
AegisLab Vbs.Downloader.Agent!c 20170413
AhnLab-V3 JS/Obfus.S231 20170413
ALYac Trojan.VBS.Agent.AJM 20170413
Antiy-AVL Trojan/Generic.ASVCS3S.42C 20170413
Arcabit Trojan.VBS.Agent.AJM 20170413
Avast JS:Downloader-EPA [Trj] 20170413
AVG VBS/Downloader.Agent.24_F 20170413
Avira (no cloud) VBS/Dldr.Rogue.rdga 20170413
Baidu VBS.Trojan-Downloader.agent.a 20170411
BitDefender Trojan.VBS.Agent.AJM 20170413
CAT-QuickHeal JS.Cerber.AG 20170412
ClamAV Vbs.Downloader.VBDownloader-6260765-0 20170413
Cyren ZIP/Trojan.DHMO-4 20170413
DrWeb VBS.DownLoader.859 20170413
Emsisoft Trojan.VBS.Agent.AJM (B) 20170413
ESET-NOD32 VBS/TrojanDownloader.Agent.OXE 20170413
F-Secure Trojan.VBS.Agent.AJM 20170413
Fortinet VBS/Agent.OWR!tr.dldr 20170413
GData Trojan.VBS.Agent.AJM 20170413
Ikarus Trojan.VBS.Downloader 20170413
Kaspersky HEUR:Trojan.Script.Agent.gen 20170413
McAfee VBS/Downloader.ea 20170412
McAfee-GW-Edition VBS/Downloader.ea 20170413
Microsoft TrojanDownloader:VBS/Vibrio.N 20170413
NANO-Antivirus Trojan.Script.Vbs-heuristic.druvzi 20170413
Rising Downloader.Agent!8.B23 (cloud:F5O3jHLbPHP) 20170413
Sophos VBS/Agent-AVVT 20170413
Symantec Trojan.Gen.NPE 20170412
Tencent Vbs.Trojan-downloader.Agent.Wpjn 20170413
TrendMicro JS_GEN.6D122CF1 20170413
TrendMicro-HouseCall Suspicious_GEN.F47V0407 20170413
ZoneAlarm by Check Point HEUR:Trojan.Script.Agent.gen 20170413
The email source IP address is: 14.102.54.65
The email source IP host name is: 14.102.54.65.
Email Source IP Lookup Info
Country: India
City: Bahadurgarh
Area Code: -
Latitude: 28.6833
Longitude: 76.9167
ISP: World Phone Internet Services Pvt Ltd
Organization: Interdomain Routing

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 14 juin 2017 14:49

comme j'ai plus rien dans ma boite mail, je vais voir dans celle de ma femme
il y avait 2 SPAM avec le même virus mais détecté que par un seul antivirus. faux positif??
il date du 29 mai 2017 (1er détection sur virustotal)

message:
Valued Customer,

We noticed an attempt to sign in to your Yahoo account from an unrecognized device outside your location. If this was you, you're all set! If you haven't recently signed in from an unrecognized device and believe someone may have accessed your account.

To keep your mail box safe, kindly download attach file and to update your account against spam/ junks. Failure to do this, your yahoo account will be suspension my yahoo mail team

Thanks for taking these additional steps to keep your account safe.
Yahoo @2017!!!
Yahoo Mail Support
mail: cosco@airtelmail.in
et
Dear Customer,

Your DHL parcel arrived at our post office since 5th June 2017. 
Our courier was unable to deliver the parcel to you due to incorrect delivery details. 
To receive your parcel, download attached receipt to view parcel details. 
We apologize for the stress and delay in delivery.

NOTE: Due to network issue, please if you receive the message in
spam/ junk folder,  kindly move to inbox to enable you download the attached file.

DOWNLOAD ATTACHMENT
Dhl Online Notification @ 2017.
mail: vivekbagga@airtelmail.in
SHA256: 75a11da44c802486bc6f65640aa48a730f0f684c5c07a42ba3cd1735eb3fb070
Nom du fichier : Account Update.htm
Ratio de détection : 1 / 56
Date d'analyse : 2017-06-14 12:11:03 UTC (il y a 0 minute)
3 9
Analyse
Relationships
Informations supplémentaires
Commentaires
Votes
Antivirus Résultat Mise à jour
Tencent Win32.Trojan.Raasj.Auto 20170614
PS: je t'ai envoyé les fichiers que j'ai zipper mais quand je passe ces fichiers zippé sur virustotal, il ne trouve rien alors que la version non zippé est détecté par Tencent

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 13 août 2017 09:18

Un nouveau SPAM reçu le 11/08.
Pas de message, juste le fichier PDF.
32/60 détection sur virus total (1er détection le 11/08): https://www.virustotal.com/#/file/fd3be ... /detection
email: elviaoLtyler@gmail.com

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 16 août 2017 08:42

Nouveau SPAM reçu le 15/08 à 21h42. Pas de message, juste le fichier zip.
Detection virus total: 18/59
www.virustotal.com/#/file/c4bbe1347f49d ... /detection
Email: giving@llu.edu

source email:
The email source IP address is: 95.83.18.24
The email source IP host name is: 95-83-18-24.saransk.ru.
Email Source IP Lookup Info
Country: Russian Federation
City: Saransk
Area Code: -
Latitude: 54.1833
Longitude: 45.1833
ISP: Rostelecom
Organization: Branch in Mordovian Republic OJSC VolgaTelecom

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 16 août 2017 23:28

slt
un SPAM que j'avais reçu le 24/11/2016 que j'ai oublié de mettre ici (ou alors je l'ai pas vu)
rescanné aujourd'hui par virus total. détection 10/55
détecté par mon AV comme Trojan.Oroles.gen.2 par le moteur Bitdefender
pas de message, juste le fichier zip
email: giving@llu.edu
10 engines detected this file
SHA-256 27b3ae1bb9861e898b4fccd0db6bcc648d989cafdc09db1c1031b390fd832b27
File name Untitled
File size 2.45 KB
Last analysis 2016-11-24 13:43:39 UTC
Detection
Details
Relations
Community
Antiy-AVL: Trojan/Generic.ASVCS3S.40C
DrWeb: JS.DownLoader.1225
ESET-NOD32: JS/TrojanDownloader.Nemucod.BPU
F-Secure: Trojan:JS/Kavala.D
Fortinet: JS/Nemucod.BPF!tr.dldr
K7AntiVirus: Trojan ( 004dfe6d1 )
K7GW: Trojan ( 004dfe6d1 )
Kaspersky: HEUR:Trojan-Downloader.Script.Generic
McAfee: JS/Nemucod.kz
Sophos AV: Mal/DrodZp-A
source: https://www.virustotal.com/#/file/27b3a ... /detection
source email:
The email source IP address is: 103.251.223.163
The email source IP host name is: 103.251.223.163.
Email Source IP Lookup Info
Country: India
City: Lucknow
Area Code: -
Latitude: 26.85
Longitude: 80.9167
ISP: BHOMIKA
Organization: BHOMIKA
je recherchais dans mes mail parce que j'ai reçu plusieurs mail avec la même adresse mail (giving@llu.edu) et quand j'analyse le mail, l'IP, le pays n'est pas le même, est ce que ça veux dire qu'ils utilisent un VPN?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87598
Inscription : 10 sept. 2005 13:57
Contact :

Re: Questions sur des spam Nemucod reçus au boulot

Message par Malekal_morte » 17 août 2017 09:56

non plutôt un botnet.
Les spams Locky sont de retour : Spam du ransomware Locky.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 708
Inscription : 25 févr. 2008 21:01

Re: Questions sur des spam Nemucod reçus au boulot

Message par devadip » 18 août 2017 10:51

Malekal_morte a écrit :
17 août 2017 09:56
non plutôt un botnet.
Les spams Locky sont de retour : Spam du ransomware Locky.
slt
c'est des locky mes 2 derniers spam?

Nouveau spam du 18/08 à 6h30.
1er detection sur virustotal à 8h30, detection: 19/57
Pas de message, juste le fichier zip
19 engines detected this file
SHA-256 a1ad017b47586e38a35809e2528983176bf922ab3d666106544a3d8ff4335c45
File name 90281.zip
File size 3.08 KB
Last analysis 2017-08-18 08:40:46 UTC
Detection
Details
Relations
Community
Antiy-AVL
Trojan[Downloader]/JS.Nemucod.dmu
Avira
HTML/ExpKit.Gen2
Cyren
JS/Agent.AAO2!Eldorado
ESET-NOD32
JS/TrojanDownloader.Nemucod.DPD
F-Prot
JS/Agent.AAO2!Eldorado
F-Secure
Trojan-Downloader:JS/Kavala.V
Fortinet
JS/Nemucod.DPD!tr.dldr
GData
Script.Trojan-Downloader.Nemucod.EU
K7AntiVirus
Trojan ( 004dfe6d1 )
K7GW
Trojan ( 004dfe6d1 )
Kaspersky
HEUR:Trojan.Script.Agent.gen
McAfee
Suspicious ZIP!js.c
McAfee-GW-Edition
Suspicious ZIP!js.c
Microsoft
TrojanDownloader:JS/Nemucod
NANO-Antivirus
Trojan.Script.Heuristic-js.iacgm
Rising
Trojan.Nemucod/JS!1.ACD3 (classic)
Sophos AV
Mal/DrodZp-A
TrendMicro-HouseCall
Possibl.454097EA
ZoneAlarm
HEUR:Trojan.Script.Agent.gen
Ad-Aware
Clean
https://www.virustotal.com/#/file/a1ad0 ... /detection
Email: noreply@thaad.com
Dernière édition par devadip le 18 août 2017 17:19, édité 1 fois.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87598
Inscription : 10 sept. 2005 13:57
Contact :

Re: Questions sur des spam Nemucod reçus au boulot

Message par Malekal_morte » 18 août 2017 15:19

Je sais pas, faudrait que tu donnes l'objet le contenu du mail.
Les .exe Locky et Scripts sont détectés en Ceber alors les détections AV.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Bing [Bot], Razaskiel et 17 invités