1390

Как мегафон вместо детализации вирусы от mail.ru присылал

Одним чудесным вечером я решил разобраться в своих расходах и куда уходят деньги, в том числе и заказать детализацию счета. Зашел в ЛК мегафона, заказал на свою почту и приходит мне письмо с html вложением

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Нажимаю я на него, и знаете что мне предлагают сделать при переходе по ссылке? Скачать archive-55-965.zip в котором лежит exe файл с таким же именем. Мое кольцо среагировало.

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Но потом я подумал, не может же оператор мне вирусню присылать, наверняка это какое-нибудь их приложение....

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Эта тварь начала после запуска без каких либо уведомлений распихивать приложения и расширения mail.ru по всем углам компа, благо я уже наученный горьким опытом быстро все почистил и локализовал.

Я подумал, что это ошибка, но повторный заказ детализации во вложении имел такую же ссылку, качать не стал.


Сразу же написал в поддержку мегафона и приложил файл, ответили почти мгновенно, но конкретики не дали, "будут разбираться".

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Варианта два, либо кто-то поимел сайт мегафона, что вполне вероятно, либо Алишер и тут без вазелина влез.
Будьте осторожней! Всем добра. БМ ругался на картинки.

Найдены дубликаты

+133
Или у тебя какое-то расширение левое к браузеру прилипло: оно и подсовывает левые ссылки.
раскрыть ветку 31
+11
это проверяется легко: еще раз открываешь письмо с другого браузера (можно даже для верности с другого устройства)
раскрыть ветку 6
+6

Я так и делал. Сначала с телефона открыл, думал так страничку гляну. А когда скачивать предложил полез за комп...

P.S. Ссылка на вирустотал

https://www.virustotal.com/ru/file/d73dd1646ea7b8b458d7e7c5a...

раскрыть ветку 4
+2

Или роутера, ведь подмену DNS ещё никто не отменял.

+34

100% нет

раскрыть ветку 21
+108

Специально для тебя моя старая картинка

З.Ы.
Мегафон купил мейлгрупп в начале года.

https://pikabu.ru/story/i_have_a_pen_4840223

Иллюстрация к комментарию
раскрыть ветку 7
+38
Автор, я правильно понял, что ты со словами "говно какое-то" не только это лизнул, а еще и пожевал? о_О
раскрыть ветку 2
+5
Только вот письмо с детализацией обычно выглядит вот так
Иллюстрация к комментарию
+9
Отвечаешь?
раскрыть ветку 3
+4
Попробуй, заказать детализацию с телефона, но не через wifi а через 3g. И с телефона прочесть письмо. Возможно роутер подвергся атаке и был заражен, либо модифицирован, такое возможно.
-1
Хром?
раскрыть ветку 3
+8
Маил уже давно купил мегафон
раскрыть ветку 1
+20
Пользуюсь мегафоном лет 15, каждый месяц делаю выписки, аналогичные ТСовской. Ни с чем, описанным в посте, не сталкивался, кроме одного раза – когда как раз поймал левое расширение.
+11

А если посмотреть заголовки, то окажется, что нихера это не мегафон, а с взломанного сайта рассылка.
Видел такое же на днях, но типа от МТС

+9

проверь настройки инета. некоторые вредоносы меняют днс на левый и через такую херню  идет подмена ссылок

+23
благо я уже наученный горьким опытом быстро все почистил и локализовал

Был бы наученным - запустил бы в виртуалке. xD

+32
Если сделка состоялась, то все объяснимо.
Иллюстрация к комментарию
раскрыть ветку 1
+19

Какая в жопу сделка? Усманов деньги из одного кармана в другой переложил? Это настолько формальности

+21
на сколько я помню, с прошлого года, а может с весны нынешнего, компанию меил. ру групп принадлежит мегафону. Так что мы наблюдаем закономерные последствия данного днйства.
раскрыть ветку 3
+9

Ты должен был уничтожить зло, а не примкнуть к нему!

+2

Как-то мейл разрастается. Скоро весь рунет будет принадлежать мейлу. А потом и не только он.

А начинали как сайт для почтовых ящиков.

+2
Чёрт, невовремя перешла на мегафон(
+14

@FeelMyGoodness

А правильный ответ - вы словили вирус. У меня уже двое такой ловили. Ни Мега, ни Мейл тут не при чем.


Почему всегда прилетают амиго и иже с ними? Ответ простой - каждая установка оплачивается компанией разработчиком.


Прогоните комп через adwcleaner и будет вам счастье.

+ советую DNS проверить, не подменен ли, для этого, проходим сюда: Панель управления\Сеть и Интернет\Сетевые подключения, правой кнопкой по подключениям - свойства, Протокол Интернета версии 4 (TCP/IPv4) - свойства. Должно быть выбрано "Получать адрес DNS-сервера автоматически", если иное не оговорено провайдером или если вы не используете свой DNS-сервер.

раскрыть ветку 6
0
Прогоните комп через adwcleaner и будет вам счастье.
У меня нод выругался на его сайт. WTF?
раскрыть ветку 1
+1

У сайта есть фейки, возможно вы попали на один из них. Оф. сайт - https://ru.malwarebytes.com/adwcleaner/

-3

Добрый вечер. adwcleaner не панацея. Мне помог только spy hunter

раскрыть ветку 3
+1

Говорю что знаю. Мне в обоих случаях он помог. Модификации появляются чуть ли не каждый день. Тут главное понять направление работы.

0
Помню после спай хантера мне пришлось винду восстанавливать, ибо он загрузочный сектор повредил )
раскрыть ветку 1
+24

Алишер Бурханович негодует! Автор.Тьфу на тебя

Иллюстрация к комментарию
раскрыть ветку 1
+3
Ты пользуешься, а он развивает!
+12
Может быть тебя поимели методом MITM :)
ещё комментарии
+12

Может есть смысл снова потребовать от техподдержки разъяснений, на этот раз ссылаясь на 273 УК РФ? Правда работать будет только в том случае, если вообще никаких уведомлений о том, что будет устанавливаться софт, действительно не было...

раскрыть ветку 1
+5
Это вирус у тупого тса сидит, нормально все присылает
+9

Видно же, что во вложении html лежит. Ты явно что-то недоговариваешь или у тебя уже какая-то херня в системе сидит. Ага, или это тебя гугл поимел.


По поводу Мегафона я особо иллюзий не строю - но в посте полная хуйня.

раскрыть ветку 1
-2

Мне больше делать нечего, сказки по вечерам придумывать. :)

+7

А можно ссылку на этот архив? Проверю у себя на компьютере.

ещё комментарии
+6
Ну можно же на виртуальной машине, ну или на худой конец в песочнице подозрительный софт запускать. Но нет, юзеры все равно голой жопой все проверяют.
раскрыть ветку 10
+8

Можно по крайней вообще не открывать архив и просто отправить на вирустотал,а после выложить сюда пруфы на то что вирус действительно был. Потому что лично я пока вижу только скрины безобидных сообщений.

раскрыть ветку 7
+4
Можно ещё на malwr.com екзешник загрузить, сайт подробный отчёт дает со скринами, интернет трафиком, использованием ресурсов и тд. Правда, там ждать иногда приходится довольно долго (5-10 мин). А ещё сервер у них сейчас лежит походу)
раскрыть ветку 6
+1
Для этого надо уметь это делать.
0
после такого надо отправлять в саперный батальйон, чтоб экономить на приборах
+5

да просто в сапорте перепутали, не тому послали свой амиго, одна контора ведь, человеческий фактор, все дела

Иллюстрация к комментарию
+12

Ты тупенький)

раскрыть ветку 9
-2

А ты хамло, но мама любит тебя таким, какой ты есть. Да и я не в обиде. :)

-6
А что если ты? Автор хотя бы рассказал об опасности, а у тебя хватило мозга сказать что он тупенький. Ну ну.
раскрыть ветку 7
+21

А я не тупенький:)

Он просил в письме детализацию - ему её прислали (аттач снизу).

1. На кой хер он попёрся по ссылке, если файл уже был в письме?

Когда тебе присылают ссылку в письме - смотри куда она ведёт. Наводишь мышкой и смотришь во всплывающем баре. Доверяешь ли ты этому сайту, стоит ли на него переходить?

2. Он даже не удосужился понять куда он перешёл.

Когда тебе присылают файл, допизды какой exe, png или bat - сохранять ты его можешь куда угодно. А вот запускать - уже вдумчиво, если позарез нужно - на изолированной виртуалке.

3. Он запустил exe на своей рабочей ОС (возможно на рабочем ПК организации).

Вот я тебе рассказал об опасности - хвали меня, клейся, обещай сиськи и вкусный ужин:)

раскрыть ветку 6
ещё комментарии
+2

http://truehackers.ru/services/anonymous-send-e-mail
и далее Список сервисов для отправки:

1. LameLab

2. shram.kiev.ua

3. AnonMail(письмо идёт очень долго)

4. Monkeys(использует разные серверы)

5. Anmase(1 письмо раз в 12 часов)


прикрутил автоотправку и шли что хочешь от кого хочешь. Дай мне свой ящик я тебе от Трампа лично письмо пришлю.

раскрыть ветку 2
-1

не работает твоя шайтан отправка))

раскрыть ветку 1
0
Отлично работает, последний раз баловался 2 недели назад. Ждать долго, часов 5-6, потом приходит. Хз почему
+1

А заголовки письма посмотреть можно? Вот адрес отправителя ни о чем не говорит. Я так могу хоть от имени Трампа письмо прислать. А вот заголовки уже не подделать.

раскрыть ветку 3
-1

Я заказываю детализацию с личного кабинета мегафона. Дважды подряд. Мне приходит 2 одинаковых письма. С домена мегафона. report@megafon.ru? Говорит, что мне с этой почты всегда приходила детализация.

раскрыть ветку 2
0
Красный замок возле отправителя говорит о непроверенном отправителе - скорее всего не прошли проверки
0

Еще раз: написать в поле "от" можно что угодно, это очень просто. Мне, например, приходилось получать спам, который я сам (судя по адресу отправителя) послал. А вот если посмотреть в заголовки письма (где IP-адреса), там все видно.

Естественно, если я хочу заставить открыть письмо, я буду посылать его от имени доверенного адресата, а не имени хрен знает кого.

+1
Наученный горьким опытом насторожится при виде html вместо детализации, и запустит это в виртуалке.
раскрыть ветку 2
0

Мегафон всегда присылает в виде html, проблем нет, правда письмо выглядит немного по-другому. У автора или вирусняк или это просто вброс с тонким намеком на мегафон + мэйл.ру

-2

У некоторых операторов детализация приходит в виде html таблицы

+1

Это точно днс, проверь!

0
Лайк, Шер, Алишер
0
Пля, вот для кого придумали песочницы? Sandbox например. Запусти в ней и проверяй. Теперь твой комп скомпрометирован. Я очень сомневаюсь что у тебя получится полностью очистить его от нечисти. Ну кроме тех моментов когда у тебя есть бэкап хотя бы реестра.
0

3 вариант - ты идиот и у тебя вирус на компе.

раскрыть ветку 1
+1
Это не вариант, это факт
-1

Дык Мегафно не так давно выкупило Mail.Ru Group, так что ничего удивительного.

раскрыть ветку 1
0
как тонко
-2

На будущее: есть такая вещь, как виртуализация, и есть песочницы. Песочницы, например, Sandboxie, будут попроще и полегче, и к тому же более user-friendly, та же Sandboxie - бесплатная.

-2
Пиздец теперь. Придется к Амиго в друзья набиваться.
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: