Sujet Précédent Sujet Suivant

Mail chronopost, doute si fraude, virus ou non

Fermé
azerty - 7 juin 2016 à 11:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 16 juin 2016 à 13:32
Bonjour, je viens de recevoir un mail de chronopost, ce mail me dit qu'un colis est arrivé au point relais et qu'il sera disponible sous 14 jours.
Le mail est sans fautes d'orthographes, il y'a bien l'enseigne chronopost, il a vraiment l'air "clean". Cependant il 'a un lien qui est censé donner des informations sur le point relais et le colis.
Ce lien est du domaine vk.com, l'url est assez bizarre et surtout, c'est un lien de téléchargement vers un .exe qui s"appelle tracking paket - suivre votre colis.exe
y'a une belle faute à paquet, ça pue l'esbroufe
Je ne l'ai pas téléchargé, ça m'a l'air très douteux, mais le souci c'est que l'adresse mail de l'expéditeur est ne-pas-repondre@chronopost .fr, je crois bien que c'est l'adresse chronopost officielle.
En vérifiant des vrais mails chronopost de ma boite de réception, ils ont la même adresse mail.




A voir également:

9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 7/06/2016 à 11:54
Ce malware installe Teamviewer... en msiexec.exe et injecte aussi le processus msiexec.exe

La détection n'est pas terrible :

SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name: Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio: 4 / 56
Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
0 1
Analysis
File detail
Additional information
Comments 0
Votes
Behavioural information
Antivirus Result Update
Avira (no cloud) TR/Dropper.yfzs 20160607
Kaspersky UDS:DangerousObject.Multi.Generic 20160607
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160607
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160607



Veuillez appuyer sur une touche pour continuer la désinfection...
10
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 11:58
ba tiens tw bizarre tout ça ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2016 à 11:59
ca va là : hxxp://master.dyngate.com/din.aspx?s=00000000&client=DynGate&rnd=376332944&p=10000001

"This site is running TeamViewer."
0
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 12:01
au moins ils sont inventif si je puis dire.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020
7 juin 2016 à 12:04
ouais mais il est un peu buggué : https://twitter.com/malekal_morte/status/740120530091659265

Ca semble être semi-pro.
Par contre, jamais vu ce genre de malwares.
0
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 12:07
Par contre, à part avoir pirater une adresse mail de chronopost, je ne vois pas comment ils ont fait pour en avoir une :(
0
Réponse 2 / 9
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 11:30
Salut,

De toute façon si tu n'as rien commandé c'est forcément une arnaque :)
0
azerty
7 juin 2016 à 11:40
j'ai il y'a peu commandé sur un site americain, ça m'a donc fait douter
et j'ai aussi reçu il y'a peu un colis chronopost donc bon :)
0
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 11:40
Un chronopost des usa?
0
dom17 Messages postés 964 Date d'inscription mercredi 26 avril 2006 Statut Membre Dernière intervention 23 janvier 2020 243 > Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020
7 juin 2016 à 23:42
USPS priority mail → Colissimo
USPS priority mail Express → Chronopost
0
azerty
7 juin 2016 à 13:55
non europe pour le chronopost, usa c'est dhl je crois
0
dom17 Messages postés 964 Date d'inscription mercredi 26 avril 2006 Statut Membre Dernière intervention 23 janvier 2020 243 > azerty
7 juin 2016 à 23:53
DHL USA → DHL France
USPS priority mail Express (USA) → Chronopost France
0
Réponse 3 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2016 à 12:01
C'est possible d'avoir un screenshot du mail pour faire un article ?
Je masquerai les adresses emails (ou fais le).
0
carojul
7 juin 2016 à 13:44
bonjour,
j'ai reçu la même chose, j'ai fait une recherche et sur le site de chronospost ils disent que si on reçoit depuis leur adresse ***@*** c'est tout bon. Du coup j'ai cliqué sur le lien ça m'a ouvert un fichier.exe que je n'ai pas ouvert. J'ai tout fermé mais est-ce que je risque quand même quelque chose rien qu'en cliquant sur le lien??
merci de votre réponse bonne journée
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > carojul
7 juin 2016 à 13:52
Si tu ne l'as pas exécuté, c'est bon.
Tu peux faire une capture d'écran de ce mail stp.
0
carojul
7 juin 2016 à 16:06
ah merci! non je ne l'ai pas exécuté car je me suis dit que c'était quand même bizarre d'avoir un .exe pour un chronopost. J'ai tout fermé.
0
Réponse 4 / 9
azerty
7 juin 2016 à 13:56
je vais faire un screen du mail et le poster sur un hébergeur
0
azerty
7 juin 2016 à 13:59
le screen : http://www.hostingpics.net/viewer.php?id=954037capturemail.jpg
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > azerty
7 juin 2016 à 14:05
Merci beaucoup =)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
7 juin 2016 à 14:45
reçu le mail mail ce matin à 4h30 et comme j'attendais un colis chronopost aujourd'hui depuis 2 semaines j'ai ouvert le mail. Apres c'est l'ordi de la boite et non mon perso.
en cliquant sur le lien on se redirige vers le telechargement d'un fichier .exe s'intitulant tracing paket. en cliquant dessus ça telecharge et rien ne s'ouvre hormis une page blanche. Rien n'est detecté par office scan.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2016 à 14:46
Salut,

Le lien aboutit à un Trojan : https://www.malekal.com/trojan-teamviewer/

Si tu veux vérifier l'ordinateur en cas de doute :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
0
azerty
7 juin 2016 à 15:33
Je viens de lire, en gros ça installe Teamviewer et contrôle le PC grâce à ce logiciel ?

Ca a l'air d'être du sérieux pour le coup
0
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 15:34
Tu sais, il ne vas pas s'amuser à pirater ton pc pour changer ton fond d'écran :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > azerty
7 juin 2016 à 15:34
Un trojan qui installe teamviewer en lousdé oui.
0
Pierre1310 Messages postés 8564 Date d'inscription lundi 21 décembre 2015 Statut Membre Dernière intervention 21 juillet 2020 649
7 juin 2016 à 15:40
Après, c'est du même niveau que pour pirater un serveur, tu te fais une place, puis tu télécharge un lien qui va ramener ta "boite à outils" pour la suite :)
0
Réponse 6 / 9
sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
7 juin 2016 à 16:27
voila le lien:
https://pjjoint.malekal.com/files.php?id=FRST_20160607_i5t11y9w9l11
0
sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
7 juin 2016 à 16:30
https://pjjoint.malekal.com/files.php?id=20160607_j8l13y13y14x7
0
sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
7 juin 2016 à 16:31
https://pjjoint.malekal.com/files.php?id=20160607_b13f7b1411l12
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 7/06/2016 à 22:12
Le faux fichier de colis est en cours d'exécution...


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
() C:\Documents and Settings\infirmerie\Mes documents\Downloads\Tracking paket - Suivi Votre colis (1).exe
2012-08-22 01:00 - 2012-08-22 01:00 - 0053178 _____ () C:\Documents and Settings\infirmerie\Application Data\LollBourgeon.rPB 
2016-06-06 06:35 - 2016-06-06 06:35 - 0069632 _____ () C:\Documents and Settings\infirmerie\Application Data\SFhelper.dll 
2004-07-07 01:00 - 2004-07-07 01:00 - 0002432 _____ () C:\Documents and Settings\infirmerie\Application Data\SkidPiragua.T 
CreateRestorePoint:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Refais un scan FRST et donne les nouveaux rapports via pjjoint.
0
sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
14 juin 2016 à 09:12
de retour et voilà:
https://pjjoint.malekal.com/files.php?id=20160614_t5g11l8d11r10

https://pjjoint.malekal.com/files.php?id=FRST_20160614_k9n14x13y12i7

https://pjjoint.malekal.com/files.php?id=20160614_e5p9s13l11w5
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
16 juin 2016 à 13:32
ca semble correct.
Change tes mots de passe au cas où.
0
Réponse 7 / 9
Christian* Messages postés 4466 Date d'inscription samedi 14 mai 2005 Statut Membre Dernière intervention 28 janvier 2023 2 232
7 juin 2016 à 16:41
Perso j'ai reçu un appel comme quoi on doit me livrer un colis mais qu'on ne trouve pas mon adresse. il faut que je téléphone à un numéro en
08 pour cela !
c'est purement et simplement de l'arnaque !!!
0
Réponse 8 / 9
sharkuter Messages postés 6 Date d'inscription mardi 7 juin 2016 Statut Membre Dernière intervention 16 juin 2016
16 juin 2016 à 13:27
nouveaux rapports envoyés
0
Réponse 9 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 7/06/2016 à 11:28
Salut,

oui malicieux, tu peux donner le lien stp =)
et une capture d'écran du mail :)


Veuillez appuyer sur une touche pour continuer la désinfection...
-1
azerty
7 juin 2016 à 11:39
voici le lien (attention à l'exe, c'est un virus)
http://accord-global.eu/inputLTNumbers90041N90041oJahia.do

à la base, le nom de domaine est vk.com, il est inscrit avant l'adresse que j'ai donné; vk.com (un truc russe) redirige vers ce lien

l'adresse mail qui l'envoie est pas une adresse bidon qu'on voir arriver, c'est la même adresse mail que chronopost, et le mail est plutot bien fait
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > azerty
7 juin 2016 à 11:42
ce serait possible d'avoir une copie d'écran du mail stp ?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Problème avec Chronopost International
Fx13 -
ClaudioAsaro -

12 réponses
Colis en cours d’achinement
Wing69100 -
Christian* -

21 réponses