Mail chronopost, doute si fraude, virus ou non [Fermé]

Signaler
-
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
-
Bonjour, je viens de recevoir un mail de chronopost, ce mail me dit qu'un colis est arrivé au point relais et qu'il sera disponible sous 14 jours.
Le mail est sans fautes d'orthographes, il y'a bien l'enseigne chronopost, il a vraiment l'air "clean". Cependant il 'a un lien qui est censé donner des informations sur le point relais et le colis.
Ce lien est du domaine vk.com, l'url est assez bizarre et surtout, c'est un lien de téléchargement vers un .exe qui s"appelle tracking paket - suivre votre colis.exe
y'a une belle faute à paquet, ça pue l'esbroufe
Je ne l'ai pas téléchargé, ça m'a l'air très douteux, mais le souci c'est que l'adresse mail de l'expéditeur est ne-pas-repondre@chronopost .fr, je crois bien que c'est l'adresse chronopost officielle.
En vérifiant des vrais mails chronopost de ma boite de réception, ils ont la même adresse mail.




9 réponses

Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088
Ce malware installe Teamviewer... en msiexec.exe et injecte aussi le processus msiexec.exe

La détection n'est pas terrible :

SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name: Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio: 4 / 56
Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
0 1
Analysis
File detail
Additional information
Comments 0
Votes
Behavioural information
Antivirus Result Update
Avira (no cloud) TR/Dropper.yfzs 20160607
Kaspersky UDS:DangerousObject.Multi.Generic 20160607
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160607
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160607




Veuillez appuyer sur une touche pour continuer la désinfection...
9
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60383 internautes nous ont dit merci ce mois-ci

Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 >
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020

ouais mais il est un peu buggué : https://twitter.com/malekal_morte/status/740120530091659265

Ca semble être semi-pro.
Par contre, jamais vu ce genre de malwares.
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Par contre, à part avoir pirater une adresse mail de chronopost, je ne vois pas comment ils ont fait pour en avoir une :(
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 >
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020

L'adresse de l'expéditeur ne veut rien dire : https://forum.malekal.com/viewtopic.php?t=13809&start=

Tout comme je peux envoyer une lettre papier à tes amis en signant à la fin "Pierre1310".
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Hum pas faux, mais tu vois pour les arnaques paypal, ils n'ont pas réussis (on ne veulent pas va savoir) à obtenir une adresse officielle de paypal, d'où la détection "facile" de leurs arnaques. Alors que la, si tu ne connais pas un minimum, tu te fais avoir.
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 >
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020

bha encore heureux qu'ils spoofent et n'ont pas pu envoyer depuis l'adresse email officielle sinon bonjour les dégâts.
Après c'est pas facile et ce serait sur un court laps de temps, Paypal s'en aperçoit et corrige le problème.

quand même =)
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Salut,

De toute façon si tu n'as rien commandé c'est forcément une arnaque :)
j'ai il y'a peu commandé sur un site americain, ça m'a donc fait douter
et j'ai aussi reçu il y'a peu un colis chronopost donc bon :)
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Un chronopost des usa?
Messages postés
961
Date d'inscription
mercredi 26 avril 2006
Statut
Membre
Dernière intervention
23 janvier 2020
205 >
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020

USPS priority mail → Colissimo
USPS priority mail Express → Chronopost
non europe pour le chronopost, usa c'est dhl je crois
Messages postés
961
Date d'inscription
mercredi 26 avril 2006
Statut
Membre
Dernière intervention
23 janvier 2020
205 > azerty
DHL USA → DHL France
USPS priority mail Express (USA) → Chronopost France
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088
C'est possible d'avoir un screenshot du mail pour faire un article ?
Je masquerai les adresses emails (ou fais le).
bonjour,
j'ai reçu la même chose, j'ai fait une recherche et sur le site de chronospost ils disent que si on reçoit depuis leur adresse ***@*** c'est tout bon. Du coup j'ai cliqué sur le lien ça m'a ouvert un fichier.exe que je n'ai pas ouvert. J'ai tout fermé mais est-ce que je risque quand même quelque chose rien qu'en cliquant sur le lien??
merci de votre réponse bonne journée
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 > carojul
Si tu ne l'as pas exécuté, c'est bon.
Tu peux faire une capture d'écran de ce mail stp.
ah merci! non je ne l'ai pas exécuté car je me suis dit que c'était quand même bizarre d'avoir un .exe pour un chronopost. J'ai tout fermé.
je vais faire un screen du mail et le poster sur un hébergeur
le screen : http://www.hostingpics.net/viewer.php?id=954037capturemail.jpg
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 > azerty
Merci beaucoup =)
Messages postés
6
Date d'inscription
mardi 7 juin 2016
Statut
Membre
Dernière intervention
16 juin 2016

reçu le mail mail ce matin à 4h30 et comme j'attendais un colis chronopost aujourd'hui depuis 2 semaines j'ai ouvert le mail. Apres c'est l'ordi de la boite et non mon perso.
en cliquant sur le lien on se redirige vers le telechargement d'un fichier .exe s'intitulant tracing paket. en cliquant dessus ça telecharge et rien ne s'ouvre hormis une page blanche. Rien n'est detecté par office scan.
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Tu sais, il ne vas pas s'amuser à pirater ton pc pour changer ton fond d'écran :)
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Après, c'est du même niveau que pour pirater un serveur, tu te fais une place, puis tu télécharge un lien qui va ramener ta "boite à outils" pour la suite :)
merci mais si je n'ai pas ouvert le fichier .exe je risque quand même quelque chose??
Messages postés
8553
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 juillet 2020
508
Non, si rien ne s'est installé et que le mail n'était pas piégé, 0 soucis.
Messages postés
6
Date d'inscription
mardi 7 juin 2016
Statut
Membre
Dernière intervention
16 juin 2016

Messages postés
6
Date d'inscription
mardi 7 juin 2016
Statut
Membre
Dernière intervention
16 juin 2016

Messages postés
6
Date d'inscription
mardi 7 juin 2016
Statut
Membre
Dernière intervention
16 juin 2016

Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088
Le faux fichier de colis est en cours d'exécution...


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
() C:\Documents and Settings\infirmerie\Mes documents\Downloads\Tracking paket - Suivi Votre colis (1).exe
2012-08-22 01:00 - 2012-08-22 01:00 - 0053178 _____ () C:\Documents and Settings\infirmerie\Application Data\LollBourgeon.rPB
2016-06-06 06:35 - 2016-06-06 06:35 - 0069632 _____ () C:\Documents and Settings\infirmerie\Application Data\SFhelper.dll
2004-07-07 01:00 - 2004-07-07 01:00 - 0002432 _____ () C:\Documents and Settings\infirmerie\Application Data\SkidPiragua.T
CreateRestorePoint:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 >
Messages postés
6
Date d'inscription
mardi 7 juin 2016
Statut
Membre
Dernière intervention
16 juin 2016

ca semble correct.
Change tes mots de passe au cas où.
Messages postés
4214
Date d'inscription
samedi 14 mai 2005
Statut
Non membre
Dernière intervention
18 septembre 2020
1 792
Perso j'ai reçu un appel comme quoi on doit me livrer un colis mais qu'on ne trouve pas mon adresse. il faut que je téléphone à un numéro en
08 pour cela !
c'est purement et simplement de l'arnaque !!!
Messages postés
6
Date d'inscription
mardi 7 juin 2016
Statut
Membre
Dernière intervention
16 juin 2016

nouveaux rapports envoyés
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088
Salut,

oui malicieux, tu peux donner le lien stp =)
et une capture d'écran du mail :)


Veuillez appuyer sur une touche pour continuer la désinfection...
voici le lien (attention à l'exe, c'est un virus)
http://accord-global.eu/inputLTNumbers90041N90041oJahia.do

à la base, le nom de domaine est vk.com, il est inscrit avant l'adresse que j'ai donné; vk.com (un truc russe) redirige vers ce lien

l'adresse mail qui l'envoie est pas une adresse bidon qu'on voir arriver, c'est la même adresse mail que chronopost, et le mail est plutot bien fait
Messages postés
180035
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 septembre 2020
22 088 > azerty
ce serait possible d'avoir une copie d'écran du mail stp ?