Kebetulan hari ini saya mendapatkan email phising yang seolah-olah dari expedisi pengiriman DHL, padahal saya tidak pernah pesan barang yang dikirim dari DHL.
Untuk mengetahui sender sebenarnya, kita bisa melihat nya dari menu view - message source di mail client thunderbird dan akhir nya ketahuan IP pengirim nya :
from hosty11.dnshosty.net ([186.64.116.11]
Saya cek di whois itu IP nya dari amerika latin :
NetRange: 186.0.0.0 - 186.255.255.255
CIDR: 186.0.0.0/8
NetName: LACNIC-186
NetHandle: NET-186-0-0-0-1
Parent: ()
NetType: Allocated to LACNIC
OriginAS:
Organization: Latin American and Caribbean IP address Regional Registry (LACNIC)
RegDate: 2007-09-28
Updated: 2010-07-21
Nah yang aneh nya lagi, di dalam email tersebut terdapat attachment file, dan file nya adalah file .exe (DHL DL7593461.exe), tentunya saya semakin curiga terhadap email ini, dan saya ingin mengetahui lebih dalam apa tujuan nya dari email spam/phishing ini.
Pertama kali saya scan dengan menggunakan antivirus dulu, untuk mengetahui ini jenis virus nya apa, saya coba scan dengan menggunakan antivirus KAV yang uptodate, dan ternyata dianggap bersih file nya
Kemudian saya coba buka file exe ini dengan hex editor, dan isi nya ternyata file exe ini tidak dapat dijalankan via DOS mode, berarti file ini akan running di GUI nya windows.
Saya coba lihat lagi ini file exe ini, tenyata ini file ini semacam malware, isi nya ada info “Performance Data Solution Copyright 2008”, apakah ini perusahaan yang mengirimkan spam saya juga tidak tahu pastinya, dan file exe ini juga akan mengarahkan korban ke IP 25.115.48.1
Kalau saya cek ini IP dari kanada :
inetnum: 25.0.0.0 - 25.255.255.255
netname: UK-MOD-19850128
country: GB
org: ORG-DMoD1-RIPE
admin-c: MN1891-RIPE
tech-c: MN1891-RIPE
status: LEGACY
organisation: ORG-DMoD1-RIPE
org-name: UK Ministry of Defence
org-type: LIR
address: Not Published
address: Not Published
address: Not Published
address: UNITED KINGDOM
phone: +443067700816
person: Mathew Newton
address: Network Technical Authority
address: UK Ministry of Defence
phone: +44 (0)30 677 00816
abuse-mailbox: hostmaster@mod.uk
nic-hdl: MN1891-RIPE
created: 2005-03-18T10:42:04Z
last-modified: 2014-01-17T14:55:29Z
Ngeri-ngeri sedap juga ya, salah-salah buka file komputer atau laptop kita bisa menjadi korban kejahatan cyber, maka anda harus lebih berhati-hati dalam membuka email yang tidak dikenal dan juga jika ada email mencurigakan yang ada attachment file nya lebih baik coba di scan dulu dengan antivirus yang uptodate dan pastikan juga OS nya juga uptodate.
Semoga bermanfaat untuk pembaca semua.
Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017
Tidak ada komentar:
Posting Komentar