Email giả mạo đến từ UPS, DHL và Post Express

Thời gian gần đây, 1 số lượng không nhỏ email nhắc nhở đã được phát tán tràn lan từ hệ thống chuyển phát nhanh DHL, Post Express Notification, Post Express Information, United Parcel Service và Post Express Parcel.

Hiện tượng này bắt đầu xuất hiện từ khoảng ngày 09/03/2011 và hiện tại vẫn đang tiếp tục. Trước khi chúng ta đi tìm hiểu kỹ hơn thì chúng tôi khuyến vào với các bạn rằng đây hoàn toàn là những email giả mạo, bên trong đó có chứa nhiều file đính kèm với nội dung cụ thể, nhưng đó lại là các đoạn mã độc, malware sẽ bí mật cài đặt nhiều chương trình độc hại khác vào bên trong hệ thống.

Cụ thể, những email này đến từ địa chỉ sau:

ioprt14@dhl.com
supportmip11@dhl.com
postmail-usid.3949@greensboro.com
dhltrak11@dhl.com
dhltraki1@dhl.com
postmail-usa.8273@omaha.com
infojs@ups.com
adsupport3@ups.com
dfsupports1@ups.com
adminsuppo2@dhl.com
infoad2@ups.com
infoad22@ups.com
postmail-int69136@durham.com
Các file đính kèm:
Post_Express_Label_No.30845.zip
UPS-document.zip
UPS notification.zip
United Parcel Service Notification Letter.zip
United Parcel Service document.zip
UPSnotify.rar
Post_Express_Label_SER.71816.zip
tracking.zip
Post_Express_Label_VID99184.zip
document.zip
DHL_documents.zip

Nội dung email thông báo cụ thể như sau:

Dear customer. The parcel was send your home address. And it will arrice within 7 bussness day. More information and the tracking number are attached in document below.
Dear Customer. Email notification No.4185840. Your package has been returned to the Post Express office. The reason of the return is “Error in the delivery address”. Important message! Attached to the letter mailing label contains the details of the package delivery. You have to print mailing label, and come in the Post Express office in order to receive the packages! Thank you for your attention. Post Express Service.
Dear customer. The parcel was sent your home address. And it will arrive within 3 business day. More information and the tracking number are attached in document below. Thank you. © 1994-2011 United Parcel Service of America, Inc.

Để kiểm tra, chúng tôi đã mở email và tất cả những file đính kèm này trên 1 máy tính thử nghiệm. Và kết quả như sau:

  • Các file đính kèm sau khi giải nén đều có chung 1 file văn bản – document.doc, trong đó có thông tin cụ thể về những chuyến hàng nào đó.
  • Bí mật download và cài đặt chương trình bảo mật giả mạo Win 7 Anti-Spyware 2011 hoặc Win 7 Anti-Virus 2011, đồng thời hiển thị thông báo Action Center (cũng là giả), với những thông tin cho rằng máy tính của bạn đã bị nhiễm nhiều loại virus khác nhau, yêu cầu người sử dụng nhập mã thẻ tín dụng để đăng ký bản quyền phần mềm an ninh.
  • Khi bật Task Manager, hệ thống tiếp tục hiển thị cảnh báo giả mạo của Microsoft Security Essentials Alert, nếu nhấn nút Scan Online, máy tính sẽ tự khởi động lại và chạy chương trình CleanThis. Không có cách nào có thể khắc phục, cho dù bạn có chuyển sang chế độ Safe Mode, vì CleanThis tự động được kích hoạt trước khi Explorer hoạt động, đồng thời khóa chức năng của Task Manager. Cách khả thi nhất để khắc phục hiện tượng này là sử dụng Antivirus Rescue Disk của Avira hoặc Kaspersky.
  • Thực hiện các kết nối bí mật tới Yahoo SMTP, AOL SMTP, Gmail SMTP, GMX SMTP, Ukraine IP, UK IP.

Hầu hết các file đính kèm cũ đều được phát hiện bởi những chương trình bảo mật phổ biến hiện nay, nhưng với những file mới nhất thì không phải như vậy.

Trong bài thử nghiệm này, chỉ có 18 trong tổng số 41 chương trình phát hiện dược Trojan trong đó. Đáng chú ý là 1 số tên tuổi khá lớn như Avast, AVG, Comodo, Panda và F-Secure đã không thể phát hiện được. Do vậy, các bạn nên chú ý tăng cường khả năng tự bảo mật cho hệ thống bằng những chương trình khác như Avira, Kaspersky, BitDefender, và Norton.

Nguồn bantincongnghe

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s