21:50
26/11/2012

E-maila o takim tytule dostają polscy internauci. Nie pochodzi on oczywiście od Allegro i prowadzi do strony, która próbuje uruchomić na naszym komputerze plik Allegro.exe będący w rzeczywistości trojanem — tutaj wynik skanowania antywirusami (obecnie wykrywają go 2/44 antywirusy).

www.ssl-allegro.uni.me

Poniżej treść e-maila, którego podesłał nasz czytelnik, GLadi:

Delivered-To: x@gmail.com
Return-Path: alledro@home.pl
Received: from v069934.home.net.pl (v069934.home.net.pl. [79.96.75.84])
Date: Mon, 26 Nov 2012 19:00:55 -0000
Message-ID: 20121126190055.21463.qmail@home.pl
To: x@gmail.com
Subject: Twoje Konto w Allegro.pl Zostalo Zablokowane
From: powiadomienia@allegro.pl
Reply-To: powiadomienia@allegro.pl
CC: powiadomienia@allegro.pl

Drogi Użytkowniku!
Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie allegro.pl
Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
Należy udać się pod Adres hxxp://www.ssl-allegro.uni.me/
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Grupa Allegro

Allegro.pl - spam i trojan

Strona, zawierająca złośliwe oprogramowanie, której link znajduje się w mailingu

Ciekawe ile osób da się nabrać — o ile treść e-maila jest napisana w miarę poprawnie, to fałszywa domena jest dość łatawa do rozpoznania.

Przeczytaj także:

78 komentarzy

Dodaj komentarz
  1. Właśnie wchodzę na maila, patrzę i wybucham śmiechem. :D Chcę wysłać screena do Niebiezpiecznika, wchodzę, a tu już post od dwóch minut wisi. Szybcy jesteście :D

  2. Mam nadzieję że nie za dużo osób się na to nabierze. Ludzie nie powinni się już na takie zaczepki nabierać. Dużo już było na ten temat ostrzeżeń.

  3. Dostałem i się nie nabrałem ;]

  4. http://www.ssl-allegro, jakie wygodne szyfrowanie, a naiwniacy płacą za jakieś certyfikaty ;)

  5. Też dostałem, zgłosiłem do ludzi z allegro, ciekawe czy zareagują.

  6. Ja gdy najprawdopodobniej chciał się włamać na moje konto to najpierw próbuje się na nie zalogować. Wszedłem znaczy mail to podpucha. Nie wszedłem to pewnie wyświetli mi się jakiś komunikat z instrukcją co dalej. To takie proste.

  7. Jesteście mega mega szybcy – dzięki !!!! właśnie 5 minut temu wszedłem , a tu “Drogi Użytkowniku!
    Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie allegro.pl
    Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
    Należy udać się pod Adres hxxp://www.ssl-allegro.uni.me/
    Aby w pełni bezpiecznie odzyskać swoje konto
    Postępuj zgodnie z instrukcjami zawartymi na stronie.
    Z Poważaniem Grupa Allegro” pozdrawiam serdecznie

  8. A ja żadnych takich nie dostaję :o(

  9. a ja idiota kliknąłem, bo pasował mi nadawaca, że niby @allegro.pl. Co teraz zrobić? co prawda od razu zamknąłem stronę tzn. po jakiejś 1 sek, teoretycznie się nie skończyła ładować, ale nie mam pojęcia co teraz?

    • Kernel panic.

    • Zrób wirtualkę, z pustym windowsem, zapnij do przeglądarki trochę przydatnych tooli, debugerów, wejdź na stronę, przechwyć ruch, binarkę, trochę reverse engineeringu powie Ci, gdzie jak i na jakich zasadach siedzi to w systemie, wróć do systemu bazowego, znajdź to i usuń. :)

    • Teraz nic. Śpij spokojnie.

    • Zrobiłem format, na szczęście i tak miałem go robić.

  10. MBAM wykrywa jako Trojan.Agent.Gen. I nie zawsze nazywa się allegro.exe, mnie w maszynce wirtualnej pobrało się jako rundll32.exe.

  11. hmn, ciekawy jestem tylko skąd mają bazę mailową…
    też dostałem, chciałem zgłaszać od razu do Was :)
    Widać przed chwilą ktoś się bawił.
    Pierwsze co to mnie zastanowiła dziwna domena.
    Potem brak logo allegro, no i wiadomość w spamie :)
    Chyba trzeba koledze Return-Path:
    odesłać “serdeczne podziękowania” :)

    • Rozsyłają na chybił-trafił – nie mam konta na alledrogo a i tak dostałem.

    • Sprawdzają losowo strony “O mnie” w poszukiwaniu adresu? taki skrypt bądź program jest łatwy w napisaniu,

  12. U mnie już o 20:01 był mail. Wpadł jednak do spamu :)

  13. A zagladal ktos w zrodlo strony? :)

    • Aktualnie tam jest iframe ze stroną allegro, ale w title strony komuś wycięło litery z ogonkami.

  14. Najpierw przyszedł RSS, potem mail :D
    To jak się pobiera plik exe to znaczy że użytkownicy linuksów bez wine nie będą w stanie odzyskać konta? ;)

    • No właśnie mam nadzieje, że na Linuksa to nie zadziała ;)
      Niestety ze względu na dziwny zbieg okoliczności.. (dostałem dzisiaj prawdziwego maila od blizzarda, o możliwej próbie włamania na konto), z rozbiegu również uwierzyłem w ten z allegro.. Zaakceptowałem nawet aplet java który wyskoczył mi w Chromie ;< Jednak nie uruchomił się Wine, nie mam również żadnego dziwnego procesu odpalonego..
      Więc wychodzi na to, że dla Linuksa te stworzonko niegroźne :)

    • Bez przesady, czy jakikolwiek użytkownik linuxa uruchomi u siebie plik Allegro.exe ponieważ dostał maila, że jego konto zostało zablokowane? Trudno mi to sobie wyobrazić..

    • Dzisiaj dla pewności dodatkowo przeskanowałem całego Linucha Clam’em oraz Avast’em – brak śladu po jakimkolwiek złośliwym oprogramowaniu. Więc 1:0 dla Linuksa ;)

  15. Dostałem identycznego emaila o godzinie 20:24

  16. Wszedłem w linka.

    Jak usunąć teraz tego wirusa ?

    mam w procesach alg.exe

    • 1/10

  17. Czy jeśli NOD32 wykrył od razu zagrozenie (wirusa) to jest jakies niebezpieczenstwo?

  18. mi tam sie jakas java probuje na linuxie uruchomic, nie exec…

  19. No aplet aplet, a kto powiedział, że tak się nie da tego zainstalować ;p ?
    wojciech – nakierowuję – https://www.virustotal.com/file/c3de5bbb130415910819b6c0374483b06092fd1d92ec6737f9ae51a0a5902021/analysis/

  20. W ogóle to ciekawy ten hosting – http://www.yougetsignal.com/tools/web-sites-on-web-server/?remoteAddress=ssl-allegro.uni.me
    Praktycznie przy każdym linku antyvirus mi krzyczy :)

  21. ma ktos raport dla tego pliku z threadexpert.com ???

  22. Konta muszą być losowo wybierane, bo również dostałem na mail spoza Allegro. W pierwszej chwili się przestraszyłem, ale później mogłem tylko wybuchnąć śmiechem. Od razu zrobiłem screeny i chciałem wam wysłać, ale niestety – ktoś był szybszy :)

  23. hej, ja też dostałem tego maila. Widziałem że jest tam coś nie tak ,ale byłem ciekawy więc otworzyłem link, strona jak na zdjęciu tylko że otworzył mi się jakiś komunikat i znikł, ciekawe czy kompa mi już zainfekowało ;(

  24. ciekawsze jest skad ma maile uzytkownikow allegro.

    • na chybił trafił wysyłają. Tak to najczęściej wygląda. Mają pewnie jakiś generator adresów mailowych na różne domeny i już.

    • Maile są rozsyłane na chybił-trafił.

  25. czyli trzeba uruchomić Javę tak ?

  26. Ja na szczęście nie dostałem takiego maila, a nawet jakbym to pierw sprawdzam swoje konto czy faktycznie zablokowane. Przykładowo tak zrobiłem z rzekomym mailem od Blizzarda(wcześniejsze od razu ignorowałem, bo nie miałem wówczas konta na battle.net), że niby wykryto nielegalne działania na moim koncie w Diablo 3(handel nim) i że na ten czas konto zablokowane. To dobra, wchodzę, wpisuje login, hasło i tokena z authenticatora i spokojnie mogłem wejść. Rozbrajają mnie takie maile, czasami jest z czego się pośmiać. Tylko mogliby się postarać o jakąś inną treść w mailu, bo czytać któryś raz z rzędu to samo robi się nudne.

  27. Nic z tego, strona jest już zcjęta. Pod FF wczytuje się pusta strona, a pod IE 8 najpierw pokazywał się jakiś komunikat o ramce (nie zdążyłem zapisać) a teraz strona nie wczytuje się.

  28. Acha, w źródle widać, że wczytuje ramkę z src “allegro.pl” . Więc atak zawieszony, tak?

  29. >Allegro.exe
    Muj boshe, serio?
    Btw. naprawdę, nadal jest sens o nim pisać?

  30. Opera od razu zablokowała mi domenę…

  31. Logo Allegro także odbiega od aktualnego.

  32. Jesli wierzyc logom z threatexperta podanymi wyzej, ten plik do serwer DarkCometa, toola do zdalnej administracji (czyt. trojana). RAT probuje laczyc sie do 94.102.63.198.
    Atak prawdopodobnie powiazany z tym https://niebezpiecznik.pl/post/wlamanie-na-twoje-konto-facebook-www-odzyskajfacebook-tk/

    • Armaged0n nabiera nowych skilli ;)

    • @Piotr: albo po prostu kupil custom crypter na jakims zachodnim forum i darkcometem chce zbudowac botnet.

    • AFAIR zapowiadał właśnie kupno cryptera.

    • Odpaliłem sobie XP’ka na virtualce z Wiresharkiem. Wchodzę na stronkę, odpala się applet od javy i cosik instaluje. Wireshark chyba zbiera tylko dane wychodzące ze stronki bo po załadowaniu już żadne pakiety nie lecą (proces javy nadal włączony).

      Łączy się z:
      – 79.125.123.149 – http://te.tt – hosting
      – 82.208.40.4 – http://qualityoffshorebanking.com i http://search.sh , hmm…
      – 174.137.187.69 – nieaktywna strona na http://webair.com
      – 31.170.160.65 – dziwna strona, która wymaga hash, aby się do czegoś zalogować host http://ripe.net
      – 46.51.178.14 – pusta strona – host http://ripe.net
      – 176.34.217.23 – pusta strona – host http://ripe.net
      – 213.174.153.61 – hosting obrazków bez css – http://postimage.org

      Albo coś przegapiłem albo nie na tym polega ten cały reverse engineering. Prawdopodobnie wirus się nie odpalił a te całe adresy są z beznadziejnego hostingu, który
      łączy z tym wszystkim, aby zarabiać kasę. Ech…

  33. Tak piję kawę, czytam i czytam i muszę powycierać teraz monitor.
    Jak można kliknąć w taki link? Jak można nie mieć antywirusa?

  34. Dobra ostatni z mojej strony na ten temat..
    Jak pisałem wyżej dla OS z rodziny Linux / Unix wirus ten nie stanowi raczej zagrożenia – bo i sam exe nie powinien się odpalić – tak było przynajmniej w moim wypadku.
    Natomiast jeżeli już ktoś odpalił aplet java, który był na tej stronie.. To lepiej się go pozbyć, aby przynajmniej nie roznosić tego cholerstwa.

    Plik java, po zaakceptowaniu apletu, zapisuje się w cache icedtea czyli:
    /home/.icedtea/cache/
    Tutaj już zależy od usera w którym folderze się to znajdzie.. Powinno być w najnowszym.

    Najprostszy sposób na lokalizacje:
    Odpalacie w terminalu
    gedit .icedtea/cache/recently_used
    I szukacie wpisu zawierającego:
    stream-pro.com/83457/java.jar
    w linijce z tym wpisem macie dokładną ścieżkę do pliku. W moim przypadku:
    */.icedtea/cache/18/http/stream-pro.com/83457/java.jar

    Usuwamy cały folder “stream-pro.com” czy to przez terminal:
    sudo rm -r ./.icedtea/cache/18/http/stream-pro.com/
    zmieniając odpowiednio ścieżkę, aby pasowała do lokalizacji “stream-pro.com” na naszym komputerze.

    Skąd wiem że to akurat ten katalog i pliki? Bo rozpakowałem zapisany plik javy i odpaliłem w getedit plik z klasą. Co prawda kod był rozwalony, ale znalazłem między innymi info o procesie rundll32, który raczej na Linuksie zbędny. Oczywiście zgadza się również czas zapisu pliku na dysku.

    Jeszcze raz podkreślę – Dla użytkowników Linuksa nie powinno stanowić zagrożenia, nawet dwa antywirusy nie wykryły tego jako zagrożenie – jednak po co mamy ryzykować i trzymać takie śmieci na kompie :)

    Jeżeli coś błędnie napisałem to oczywiście proszę o poprawę.

  35. Dobra, ja mam pytanie z innej beczki. Dlaczego tak często-gęsto te teksty mające nas skłonić do wejścia na “lewą” stronę są tak upstrzone wielkimi literami?
    “Twoje Konto w Allegro.pl Zostalo Zablokowane”
    Toż już od samego nadmiaru kapitalików można stwierdzić że to przekręt jest :)

  36. Ja kilknalem po linuxem, ale firefox 17 pokazal mi ostrzezenie…wiec rzucilem okiem na link i wszystko stalo sie jasne ze to jakis syf. Najgorsze jest to ze stracilem czujnosc i w sumie dzieki temu ze klienta poczty mam na linuxie i ostrzezeniu od firefox nie musze sie teraz z nim walczyc…

  37. Dostalem od Allegro informacje, ze mnie zawirusowalo:
    “Prawdopodobnie odwiedziłeś stronę zainfekowaną złośliwym oprogramowaniem. Trafiłeś na nią przez link, który znajdował się w wiadomości o zawieszeniu konta, wysłanej przez osobę podszywającą się pod Allegro.pl.”.
    Ciekaw jestem, czy przejeli w pelni domene i loguja ruch do niej, czy skorzystali z faktu, ze atakujacy pozniej ustawil w allegro.pl i jakos sprytnie pobieraja po JavaScripcie parent.location…

    • Raczej obstawiam, że phishingowa strona ramkowała stronę Allegro – ty miałeś włączone przekazywanie Referera i byłeś zalogowany (twoja przeglądarka dołączyła ciasteczko). Zostałeś zidentyfikowany po ciasteczku.

    • Wlasnie o to mi chodzilo. Nie wiem tylko, czy atakujacy sam wstawil tego iframe’a jak uznal, ze projekt jest spalony, czy allegro za posrednictwem hostingu to wymusilo (wczesniej nie bylo tam IFRAME tylko chyba cos innego). Tak czy inaczej gratulacje dla zespolu Allegro za przytomny sposob na wylapanie potencjalnych ofiar.

  38. … ustawil w IFRAME allegro.pl. Moglibyscie uzywac htmlspecialchars zamiast strip_tags ;-)

  39. Ja kliknąłem bo pierwszy raz taki e-mail dostałem i google chrome ładnie zablokowało tą stronę :).

  40. I się wrypałem… Dostałem 2x email: od niby blizzarda i od allegro.
    P.s co wirus wysyła??

  41. lokalizacja ipka wskazuje na szczecin

    IP Location

    IP Address:
    79.96.75.84
    City:
    Szczecin
    State/Region:
    Zachodniopomorskie
    Country:
    Poland
    Latitude/Longitude:
    53.429°, 14.553°
    Time Zone:
    Europe/Warsaw
    Current Time:
    12:01 PM on Nov. 28, 2012

  42. Dziś to samo PayPala przyszło.
    Drogi Użytkowniku!

    Ta wiadomość została wysłana do Ciebie automatycznie.
    Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie PayPal
    Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
    Należy udać się pod Adres http://ssl-paypal.tk
    Aby w pełni bezpiecznie odzyskać swoje konto
    Postępuj zgodnie z instrukcjami zawartymi na stronie.
    Z Poważaniem Grupa PayPal

  43. Do mnie też przyszło to, oraz coś podobnego tyle, że z paypal’a.

  44. Do mnie przyszedł mail na konto pocztowe gdzie nie mam żadnego powiązania z Allegro
    tak więc baza kont pocztowych pochodzi z jakiegoś serwisu niezwiązanego z Allegro

  45. Domeny zostały zablokowane. Są zgłoszone między innymi do Google, adminów tych domen i do Opery. Serwery znajdują się w Czechach. IP tych domen to: 93.170.52.31, 93.170.52.21, 82.208.40.4

  46. “anonim 2012.11.28 12:01 | # | Reply

    lokalizacja ipka wskazuje na szczecin

    IP Location

    IP Address:
    79.96.75.84
    City:
    Szczecin
    State/Region:
    Zachodniopomorskie
    Country:
    Poland
    Latitude/Longitude:
    53.429°, 14.553°
    Time Zone:
    Europe/Warsaw
    Current Time:
    12:01 PM on Nov. 28, 2012”

    – To jest adres home.pl
    Nagłówk home.pl tak samo może być sfałszowany.
    Na wszelki wypadek do czasu wyjaśnienia sprawy zgłosiłem do Google także serwer home.pl 62.129.252.10 mail00.home.net.pl

  47. Witam. Ja też dostałem takiego mail’a z allegro i paypal ale na jeden z aliasów jakich używam. Podaję listę stron gzie rejestrowałem się tym aliasem. Jeśli też ktoś z was się tam rejestrował to mamy żródła adresów.
    30dni.com
    aioget.com
    darkmacine.pl
    darmowefilmy.eu
    easyfiles.pl
    goldshare.pl
    hdword.pl
    megawarez.eu
    pliczek.org
    rapidhost.pl
    rapidox.pl
    rapids.pl
    real-debrid.fr
    whouse.pl
    elitewarez.com.pl
    hellshare.pl
    rapidtraffic.pl
    supershare.pl
    wsysacz.pl
    xlimit.pl

  48. Hej, do mnie też przyszło i to tak idiotycznie, że akurat miałam problem z Allegro, więc dałam się nabrać. Weszłam w linka, ale wyszedł mi tylko błąd i nic się nie ładowało. Czym za free mam przeskanować komp pod kątem wirusów?

    • Zainstaluj F-Secure Internet Security 2013, skutecznie i bez niepotrzebnego obciążenia. Ma bardzo dobre wyniki i jeśli chodzi o ochronę rzeczywistą i o skan na żądanie.

  49. Jeśli nie masz żadnego zabezpieczenia na komputerze, to zainstaluj COMODO Internet Security Premium. I zostaw go, jest dość dobry. Nim przeskanuj. Innym narzędziem Conodo jest skaner z monitorem procesów Comodo Cleaning Essentials. Następnym narzędziem jest Ad-Aware free antivirus+, kolejne Malwarebytes.
    Niemal każdy producent ma darmowe skanery Online: ESET, Bitdefender etc.
    Następnym razem używaj ochrony web. Tu jednym z najskuteczniejszych jest ESET i COMODO. Eset słabiej skanuje dyski, ale dobrze blokuje w czasie rzeczywistym niebezpieczne strony i malware z nich.
    Do przeglądarek są dodatki, takie jak Dr Web, WOT, TraficLight, Totalvirus. Może nie są bardzo skuteczne, ale mogą stanowić drugą linię ostrzegania.

    Darmowe skanery online:
    Bitdefender:
    http://quickscan.bitdefender.com/?autostart=1
    ESET:
    http://www.eset.pl/Pobierz/Dodatkowe_narzedzi a/ESET_Online_Scanner
    AVAST:
    http://onlinescan.avast.com/
    F-Secure:
    http://www.f-secure.com/en/web/labs_global/re moval-tools/-/carousel/view/143
    Kaspersky darmowe narzędzia:
    http://www.kaspersky.pl/virusscanner.html

    ArcaVir:
    https://www.arcabit.pl/skaner_on_line
    Norton skaner online:
    http://security.symantec.com/sscv6/WelcomePag e.asp
    Panda:
    http://www.pandasecurity.com/activescan/index /

    po moich osobistych testach na większości z tych antywirów, mogę napisać, że ogólnie Darmowy COMODO Internet Security w tandemie z Ad-Aware, albo Avirą w wersji darmowej z blokowaniem web dają ochronę lepszą niż najlepsze płatne pakiety. I nie mulą, aż tak mocno jak np. Bitdefender. Avasta odradzam. Testowałem pakiet Internet Security i prawie nic nie wykrył. Masa kolorowych ikonek, bajerów, a działanie żadne. Nie blokował szkodliwych stron i nie znalazł u mnie rootkita.

  50. Zainstaluj COMODO Internet Security. Możesz też przeskanować Comodo Cleaning Essentials, lub darmową Avirą, Ad-Aware, Malwarebytes.
    NIe chce mi sie dalej pisac, bo napisałem długi post, dałem linki do wszelkich możliwych skanerów online (ESETA, Bitdefendera itd) i post nie poszedł. szkoda mojego czasu na forum, na którym znikają posty i nawet nie można cofnąć, żeby skopiować treść.

  51. ja się rejestrowałem na:
    darmowefilmy.eu
    megawarez.eu
    rapidhost.pl?
    elitewarez.com.pl – za-friko.com

    • Mój email na który dostałem te wiadomości, też nigdy nie był powiązany z allegro ani z paypalem.
      ALE, z tych które podałeś – mam tylko konto na tym FRIKO…

  52. Dopiero dziś odpaliłem pocztę, miałem też problemy z allegro ostatnio i wszedłem w ten link, na te strone. jakie czynności wykonać żeby zapobiec rozprzestrzenianiu się trojana?

  53. Dodam może, że AVG podczas skanu nic nie wykrył, zainstalowałem COMODO, ale kurczę, strach się bać.

    • AVG i Comodo w tej chwili to wykrywają.

  54. https://www.virustotal.com/pl/file/c3de5bbb130415910819b6c0374483b06092fd1d92ec6737f9ae51a0a5902021/analysis/

    Obecnie 40/46 antyvirów go wykrywa :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.