Nieodebrana paczka – email zawierający link do strony z wirusem

Jak działa socjotechnika phishingu na podstawie własnych doświadczeń.

Otrzymałem emaila od “84259 Poczta Polska [admin1@pol-poczta.org]” o następującej treści:

Informacja!

Twoja paczka nie została doręczona w wyznaczonym czasie w dniu 17 kwiecien 2015, ponieważ nikt nie otworzył drzwi. Kliknij na podanego niżej link, żeby otrzymać informacje dotyczące twojego zamówienia na naszej stronie internetowej. Musisz wydrukować informacje dotyczące przesyłki i zgłosić się do najbliższego biura firmy.

Odbierz dane dotyczące twojej przesyłki

Uwaga!

Jeżeli paczka nie zostanie odebrana w okresie 30 dniu, zostanie naliczona opłata z tytułu przechowywania. W celu otrzymania dodatkowej informacji dotyczącej przechowywania i pobierania opłat, odwiedź naszą witrynę.

Z powazaniem,
Poczta Polska

Nie zdziwiło mnie to bo właśnie zakupiłem coś na aukcji internetowej. Kliknąłem więc na wskazany link i wyświetliła się poniższa strona,

która okazała się oszukaną stroną Poczty Polskiej. Dla porównania niżej pokazuję stronę oryginalną.

Jak widać w adresie fałszywej strony nie ma nazwy domeny, a tylko IP serwera 194.58.39.61.

Fałszywa strona zawierała link do załącznika formularza dokumentu odbioru paczki. Dla nadania wiarygodności zawierała ona również kalkulator captcha chroniący przed spambotami. Dopiero po potwierdzeniu, że nie jesteśmy robotem (przepisaniu wygenerowanych znaków) można było ściągnąć załącznik.

Po ściągnięciu załącznika

i rozpakowaniu go okazało się, że to nie plik wydruku, a złośliwa aplikacja o intrygującej nazwie: “pdf informacja o działki.exe”, która ma nam wmówić, że jest plikiem pdf.

Sprawdziłem jeszcze adres IP serwera fałszywej strony na portalu WhoIs i dowiedziałem się że oszuści mają zlokalizowany serwer w Rosji. Dopuszczam też możliwość sfałszowania adresu IP.

Wniosek:

Metoda phisingu na maila jest stale aktualna, dlatego też należy zachować szczególną ostrożność w otwieraniu wszelkich załączników.

Wirus Ukash Policja

ProblemWirus blokujący przeglądarkę podszywając się pod policyjną stronę WWW.

Usunięcie wirusa za pomocą programów antywirusowych i antymalwarowych nie pomaga. Po pewnym czasie wirus powraca i rozprzestrzenia się w sieci lokalnej infekując nawet smartfona.

PrzyczynaZawirusowany router, a dokładnie podmieniony adres serwera DNS na routerze. Oszust przekierowuje ruch internetowy na własny serwer infekując komputery i blokując internet.

Rozwiązanie

1. Należy zresetować ustawienia routera do wartości fabrycznych  i skonfigurować go ponownie na parametrach operatora pamiętając o ustawieniu zaufanego DNS’a na np. publiczny DNS Googla (Primary: 8.8.8.8 Secondary: 8.8.4.4).
2. Zmienić hasło dostępu do routera, wyłączyć możliwość parametryzacji routera przez sieć WAN (tylko lokalnie przez LAN)
3. Usunąć wirusa z komputerów za pomocą programu antywirusowego oraz odnowić bufor DNS w systemie Windows komendą z wiersza poleceń: ipconfig /flushdns

Żródła:

1. http://multimo.telestrada.pl/uwaga1
2. http://usunwirusa.pl/policja-wirus/
3. http://forum.pcformat.pl/WARNING-Internet-Explorer-Your-Flash-Player-out-of-date-UKASH-usuwanie-t
4. http://www.pcformat.pl/News-Trojan-lamiacy-hasla-do-routerow,n,11680

Drukarka igłowa przestała drukować

Problem
Użytkownik nie może drukować na drukarce igłowej podłączonej do portu równoległego (LPT1) z programu księgowego (stary program DOSowy) w systemie Windows.
Co ciekawe użytkownik do tej pory korzystał z drukarki bez problemu i międzyczasie w systemie nie wprowadzano żadnych modyfikacji.

Przyczyna
Wstępna analiza wykazała, że drukarka nie drukuje w ogóle z systemie tylko kolejkuje zadania.
Sama drukarka jest sprawna, ponieważ można drukować test z pulpitu drukarki.
Reaguje ona również na restart komputera charakterystycznym sygnałem gotowości, czyli komunikuje się z komputerem (kabel ok).
Ponowna instalacja sterowników w systemie nie rozwiązała problemu.

Okazało się, że przyczyna tkwi w BIOSie komputera, a konkretnie zmiany w ustawieniu trybu “Parallel Port Mode” na wartość SPP (Standard Parallel Port).
Tryb ten nie działa w systemach wielozadaniowych do których należy Windows.

(Swoją drogą nie potrafię wytłumaczyć zmian ustawień BIOSa zabezpieczonego hasłem. Użytkownik nie ma możliwości modyfikacji parametrów BIOS).

Rozwiązanie
Należy zmienić w ustawieniach BIOS tryb pracy portu równoległego “Parallel Port Mode” z wartości SPP na ECP (Extended Capabilities Port). Jest to wartość zalecana dla systemów wielozadaniowych.

W tym celu wykonujemy:

1. Restart komputera i uruchomienie interfejsu BIOSa (klawisz F2 lub F10 lub Delete różnie dla różnych BIOSów)
2. Przechodzimy do ustawień “Integrated Peripherals” (BIOS Award) lub “IO Device” (Pheonix) lub innego miejsca w BIOSie zawierającego n/w parametr
   
3. Zmieniamy ustawienie parametru “Parallel Port Mode” z wartości SPP na ECP
   
4. Zapisujemy zmiany parametrów w BIOS (np. klawisz F10 – Enter)
   
5. Zamykamy interfejs BIOS i wchodzimy do Windowsa. Sprawdzamy drukując stronę testową drukarki pamiętając o wyczyszczeniu kolejki wydruku.
   

Można również ustawić parametr “Parallel Port Mode” na wartość “ECP+EPP”.
Ustawienie to jest ustawieniem uniwersalnym do podłączania na porcie LPT drukarki lub skanera.
Parametr ECP (Enhanced Parallel Port) stosowany jest w przypadku współpracy komputera ze skanerem.

Źródła:

1. http://canoncanada.custhelp.com/app/answers/detail/a_id/65/~/unable-to-print-from-windows-(parallel)