Поиск
Теги
Aliexpress 181
BLM 21
Calella 147
exler.ru 315
авто 480
аудио 7
Барселона 110
Беларусь 34
бытовуха 1503
в мире 152
вакцинация 18
велосипед 40
видео 4339
вино 363
война 622
выставки 217
гаджеты 1836
гламурье 23
детишки 46
ебанариум 21
еда 542
ЕС 86
железо 361
животные 239
жулики 248
забавно 2136
здоровье 102
игры 119
Израиль 111
ИИ 72
интересно 390
Интернет 1305
искусство 302
Испания 1244
истории 156
история 9
Италия 8
картинки 626
Каталония 136
кино 1642
Китай 6
книги 229
коронабесие 119
коронавирус 298
коронажизнь 65
кретинизм 322
криминал 1
маньяна 19
маразм 218
Маск 45
медицина 47
мне пишут 49
мои фото 218
Мордор 2865
Москва 20
музыка 920
наука 10
новости 27
о высоком 155
о низком 292
обновление 3143
паноптикум 176
поездки 1094
полезное 7
попы 201
праздники 22
происшествия 132
разное 1524
ребенок 13
реклама 426
связь 18
сериал 163
скандалы 11
скорблю 131
СМИ 2890
софт 978
социалка 187
спорт 139
США 219
СЭКС 44
технологии 183
толерастия 12
Трамп 151
трэш 9
туры 19
Украина 47
фотография 210
Франция 48
шарлатаны 31
шоу 6
экотерроризм 26
Экслер 1084
юмор 22
видео 4339
обновление 3143
СМИ 2890
Мордор 2865
забавно 2136
гаджеты 1836
кино 1642
разное 1524
бытовуха 1503
Интернет 1305
Испания 1244
поездки 1094
Экслер 1084
софт 978
музыка 920
картинки 626
война 622
еда 542
авто 480
реклама 426
интересно 390
вино 363
железо 361
кретинизм 322
exler.ru 315
искусство 302
коронавирус 298
о низком 292
жулики 248
животные 239
книги 229
США 219
мои фото 218
маразм 218
выставки 217
фотография 210
попы 201
социалка 187
технологии 183
Aliexpress 181
паноптикум 176
сериал 163
истории 156
о высоком 155
в мире 152
Трамп 151
Calella 147
спорт 139
Каталония 136
происшествия 132
скорблю 131
игры 119
коронабесие 119
Израиль 111
Барселона 110
здоровье 102
ЕС 86
ИИ 72
коронажизнь 65
мне пишут 49
Франция 48
Украина 47
медицина 47
детишки 46
Маск 45
СЭКС 44
велосипед 40
Беларусь 34
шарлатаны 31
новости 27
экотерроризм 26
гламурье 23
юмор 22
праздники 22
BLM 21
ебанариум 21
Москва 20
туры 19
маньяна 19
вакцинация 18
связь 18
ребенок 13
толерастия 12
скандалы 11
наука 10
история 9
трэш 9
Италия 8
аудио 7
полезное 7
Китай 6
шоу 6
криминал 1
Информация
Что ещё почитать
Громовержцы*
07.07.2025
80
Самостоятельная сборка компьютера
15.07.2025
201
Обзор умных часов Huawei Watch FIT 4 Pro
09.09.2025
54
SPF запись у них с ~all и DKIM не настроен. Конечно, множество филиалов и все такое - но почтовые сервера должны бы быть с максимум подтверждения подлинности.
iso открываются многими популярными архиваторами, 7zip например. Так что пользователь может и не сообразить что это не архив.
А вот многие антивирусы могут iso и пропустить (хотя все центровые, по-моему, уже давно проверяют). Плюс в корпоративных сетях могут забыть включить в список запрещенного к пересылке в письмах контента. Мне часто валятся трояны со всякими линуксовыми архиваторами, или там arj, например.
How are you?
I am PATRIARCH KIRILL, the Leader of the Holy Synod of the Russian Orthodox Church. I contacted you because I and some Bishops traveled to Spain to establish another branch of Orthodox Church few days ago and we were attacked by some criminals in Spain and they shot a Bishop dead and stole all our belongings including our Money, phones, watches and passports. Right now, we lost all the contact in Russia because of our phones they took away from us.
Actually,I got your email while I was searching for our church members for help but I could not see any email belonging to any member of Orthodox Church in Russia . Please I need your urgent help so that we can start coming back to Russia while some of the Bishops will go back to other European countries where they came from.
Thanks and God Bless You.
Тоже решил помочь человеку. Поскольку с онлайн конвертерами в то время было туго, то закинул текст на тестовый сервер (он был под под линухом, и там утилита для конвертации base64, как водится, была из коробки) и конвертнул в бинарник. Переписал бинарник обратно к себе, заглянул внутрь - ага, в начале файла сигнатура "PK", то есть это zip. Добавил расширение, распаковал - так и есть, внутри экзешник. Ну, запускать его уже не стал, неинтересно.
А теперь внимание, вопрос. Вот на хрена мне все это было надо, если и так было понятно, что внутри какой-то вирус?
[From]: DHL Express Cargo
[Subject]: Доставка грузов DHL
[Attachment]: b3778b72.jpeg (28775), DHL 8897209547, квитанция, pdf.iso (389120) Executable PDF.EXE in wrong archive ¤
[Date]: 01/06/2020 10:19:10 Mon
Кстати, закинуть файл на Virustotal и посмотреть что он скажет.
А если серьезно, то о случаях серьезного заражения именно через письмо от "DHL" я уже где-то слышал. Так что, каким бы ни был механизм запуска, к этой ИСОшке легкомысленно относиться не стоит.
Правда, ввиду того, что большинство компьютеров и приводом-то для дисков уже давно не оборудуется, мне кажется, автор трояна тут серьёзно просчитался 😄. Впрочем, можно, конечно, и на флешку образ закатать или на виртуальный привод смонтировать, но уж до этого средний юзер точно додуматься не должен 😄.
10-е форточки позволяют монтировать образ как диск средствами системы.
Выбор формата .iso как носителя зловреда очень страннен, конечно. Exe файл тоже, скорее всего не доедет, прибьют по дороге, обычно выбирают документы и архивы. ISO можно рассматривать как архив, многие архиваторы умеют с ним работать, но как-то это сильно нетрадиционно.
Я нигерийский троян. В виду низкого развития IT- технологий в моей стране, я не могу причинить ущерб вашему компьютеру. Поэтому, прошу самостоятельно удалить какой-нибудь нужный вам файл, не помещая его в корзину.
Спасибо.
Самый честный и информативный, это IP адрес во второй строчке, received from. Это поле ставит твой сервер, при получении почты. Некоторые спамеры заранее ставят аналогичные фальшивые блоки, с нужными ай-пи и именами. Но они всегда будут идти строками ниже.
Кейгены для версий как минимум до 6.2.x существуют. Видать, недаром с версии 6.3.0 "реализован новый формат лицензионных ключей." Впрочем поскольку, как утверждается в официальной рассылке, "Старый формат всё ещё поддерживается.", то есть подозрение, что на полностью новый формат они перейдут в какой-нибудь 7 версии.
От vps.anclead.com / адрес 45.95.169.157 нельзя принимать почту от @dhl.com, твой SMTP слишком добрый.
$ dig -t mx dhl.com
;; ANSWER SECTION:
dhl.com. 300 IN MX 5 mx1.dhl.iphmx.com.
dhl.com. 300 IN MX 10 mx2.dhl.iphmx.com.
;; ADDITIONAL SECTION:
mx1.dhl.iphmx.com. 1763 IN A 68.232.148.171
mx1.dhl.iphmx.com. 1763 IN A 68.232.129.198
mx1.dhl.iphmx.com. 1763 IN A 68.232.148.169
mx1.dhl.iphmx.com. 1763 IN A 68.232.129.199
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.236
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.49
mx1.dhl.iphmx.com. 1763 IN A 68.232.143.139
mx1.dhl.iphmx.com. 1763 IN A 68.232.143.21
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.101
mx1.dhl.iphmx.com. 1763 IN A 68.232.130.32
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.218
mx1.dhl.iphmx.com. 1763 IN A 68.232.141.53
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.98
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.99
mx1.dhl.iphmx.com. 1763 IN A 68.232.129.11
mx1.dhl.iphmx.com. 1763 IN A 68.232.135.103
mx1.dhl.iphmx.com. 1763 IN A 68.232.142.240
mx1.dhl.iphmx.com. 1763 IN A 68.232.141.220
mx1.dhl.iphmx.com. 1763 IN A 68.232.143.176
mx1.dhl.iphmx.com. 1763 IN A 68.232.148.170
mx2.dhl.iphmx.com. 102 IN A 68.232.143.139
mx2.dhl.iphmx.com. 102 IN A 68.232.129.11
mx2.dhl.iphmx.com. 102 IN A 68.232.129.198
mx2.dhl.iphmx.com. 102 IN A 68.232.135.103
mx2.dhl.iphmx.com. 102 IN A 68.232.143.176
mx2.dhl.iphmx.com. 102 IN A 68.232.135.101
mx2.dhl.iphmx.com. 102 IN A 68.232.135.98
mx2.dhl.iphmx.com. 102 IN A 68.232.143.21
mx2.dhl.iphmx.com. 102 IN A 68.232.130.32
mx2.dhl.iphmx.com. 102 IN A 68.232.135.99
mx2.dhl.iphmx.com. 102 IN A 68.232.148.170
mx2.dhl.iphmx.com. 102 IN A 68.232.142.218
mx2.dhl.iphmx.com. 102 IN A 68.232.129.199
mx2.dhl.iphmx.com. 102 IN A 68.232.142.49
mx2.dhl.iphmx.com. 102 IN A 68.232.142.240
mx2.dhl.iphmx.com. 102 IN A 68.232.141.53
mx2.dhl.iphmx.com. 102 IN A 68.232.142.236
mx2.dhl.iphmx.com. 102 IN A 68.232.148.169
mx2.dhl.iphmx.com. 102 IN A 68.232.141.220
mx2.dhl.iphmx.com. 102 IN A 68.232.148.171
dig -t txt dhl.com
;; ANSWER SECTION:
dhl.com. 3431 IN TXT "EdxElN/3sVlFjzSKXxxVKGq+IYxdS4pSMWQbt6ywwM3oTAiYPbNIbchNR6Ao9PwGUlroQGmq8BtXCYUAUXsfAg=="
dhl.com. 3431 IN TXT "docusign=6d733f59-f916-4426-9028-c800fc5e2ba1"
dhl.com. 3431 IN TXT "amazonses:vZIwNHsWyidott2txnpN8dQQnLoaWdTjw3JSUXFU7a4="
dhl.com. 3431 IN TXT "adobe-idp-site-verification=00c0593e27f3b625df20796c2aea6a9d18005694df716a444a53ac7242f672a1"
dhl.com. 3431 IN TXT "L91kINvx88YCqJ/wMAXC4VRNuA4yrmierly03AXCROo="
dhl.com. 3431 IN TXT "google-site-verification=h6mXSTONkVtLT3Mh4RFoSbmODc95pkatzqvmZ8H4CmE"
dhl.com. 3431 IN TXT "globalsign-domain-verification=7ECAE2C133A46DE8192ADDF1C223F51A"
dhl.com. 3431 IN TXT "amazonses:cs5ESybxQXz/pzJzcpJ3O0mTc7yvAmmcB7q+k2QeCx8="
dhl.com. 3431 IN TXT "google-site-verification=wgBmoJAFK9zhf8IoYIGzJzHe0wiplj_ByI9gAXw2WJY"
dhl.com. 3431 IN TXT "atlassian-domain-verification=mmsERGyn2rlOT8eOe12PbNcvgZ4mxzeOq+e75gQbAYUO3cOhU4Fr7+UfTRKRzrfs"
dhl.com. 3431 IN TXT "globalsign-domain-verification=9D971E639CAE3D0524366C2BF53D04AC"
dhl.com. 3431 IN TXT "v=spf1 include:dpdhl._spf.dhl.com include:3a._spf.dhl.com include:3b._spf.dhl.com include:3c._spf.dhl.com include:3d._spf.dhl.com include:3e._spf.dhl.com include:3f._spf.dhl.com include:mrsc._spf.dhl.com include:e2ma.net include:spf.mandrillapp.com ~all"
dhl.com. 3431 IN TXT "amazonses:7Rkht4Gq3WfHkrDp9jS2z4O1zavJf5ZuJAiUvQW/qK8="
dhl.com. 3431 IN TXT "google-site-verification=VJlpX-mE44v_Put-A6riC5EH3unMXdFmx6wI07u89EE"
dhl.com. 3431 IN TXT "ATc8lGyDthFoMrS6MOeLImo44DeurOX12Myc5QgWEVpjUmMZSrEzyGP4f61DxdFNXXbPUFRH1/GaqXXyMlZ1Fw=="
Правда с такого адреса и без DKIM и .. без TLS и с вложениями ( так что правда добрый сервер). Другое дело что городить большой почтовый сервер для пары ящиков как-то лишне.
Из блока TXT к почте относится только SPF, перечисляющий свои адреса, с правилом ~all, что не является запретом а только советом проверить письмо внимательнее.
У "отправителя" просто нормальная vps судя по всему
Представляю, сколько людей попадет с такими подделками под службы доставки.
Причем в офисах даже не от незнания, а по запаре можно запросто нажать ссылку в письме.
Представляю, сколько людей попадет с такими подделками под службы доставки.