SPAM Malicieux Français : Zbot/Zeus

Après le billet VBS.Flesh / Worm.VBS.Slogod : Autorun par VBS (le billet peux générer une alerte de votre antivirus dû au code VBS contenu dans la page) et pour changer sur les campagnes de SPAM habituelles.

Un mail pourri remonté par yadlafumé sur le forum : https://forum.malekal.com/mail-bizarre-t34995.html#p270904

Notez que le mail est en français :
Bonjour,

Nous vous informons que votre carte bancaire a été acceptée.

Le paiement concerne la société objetmania sarl (Identifiant commerçant : 6950120).

Référence de la transaction : 96021
Montant de la transaction : 40,06 EUR
Date de la transaction : Le 03 Decembre 2011 à 18h53 (GMT)
Numéro de la carte : 4972 XXXX XXXX XXXX
Numéro d'autorisation : 965002
Numéro de terminal : 6954001

Merci de contacter directement la société Dell pour toute question relative à votre commande.

Nous vous remercions pour votre confiance,

L'Equipe CIC.

Le mail contient un fichier facture.VBS qui ressemble à ça :

http://www.virustotal.com/file-scan/report.html?id=8a8763f1ec306106ab6ad1ad348bd7f84232c69a383b847bed4a081ae4965f59-1323098694
File name: facture.vbs
Submission date: 2011-12-05 15:24:54 (UTC)
Current status: finished
Result: 5/ 43 (11.6%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
Avast	6.0.1289.0	2011.12.05	VBS:Agent-MK [Trj]
DrWeb	5.0.2.03300	2011.12.05	VBS.Siggen.7425
Sophos	4.71.0	2011.12.05	VBS/Agent-RTH
SUPERAntiSpyware	4.40.0.1006	2011.12.03	-

MD5   : 187af96c2be8f08050a2dfb697d82e3a
SHA1  : 6386494ba50c30c3bfee41a964c661ba5ca657d7
SHA256: 8a8763f1ec306106ab6ad1ad348bd7f84232c69a383b847bed4a081ae4965f59

En remplaçant le Execute par un WScript.Echo, on obtient le code ci-dessous.
Ce dernier créer un fichier temporaire avec un nom aléatoire, fichier créé à travers un flux (stream) HTTP puis exécute ce dernier.
La source HTTP : http://www.domain123456789.biz/202.exe (62.149.142.21 – ARUBA-NET – Pays : IT)

File name: file-3223077_exe
Submission date: 2011-12-05 16:01:53 (UTC)
Current status: finished
Result: 9 /43 (20.9%)

AhnLab-V3	2011.12.05.00	2011.12.05	Dropper/Win32.Aspxor
Avast	6.0.1289.0	2011.12.05	Win32:Kryptik-FYH [Trj]
AVG	10.0.0.1190	2011.12.05	Dropper.Generic4.CNSO
Comodo	10849	2011.12.05	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2011.12.05	BackDoor.Butirat.47
Emsisoft	5.1.0.11	2011.12.05	Trojan-PWS.Win32.Zbot!IK
GData	22	2011.12.05	Win32:Kryptik-FYH
Ikarus	T3.1.1.109.0	2011.12.05	Trojan-PWS.Win32.Zbot
Kaspersky	9.0.0.837	2011.12.05	Trojan-Dropper.Win32.Aspxor.jf

MD5   : 382df2a286d35693fa4b1da2d3e943a4
SHA1  : b18b3d08db3e934c33771ac8b7c61a88ab01e1bf
SHA256: 8f128de2abd98fbf747ead1f2f97d696cd819b13241ac01b0799d84e8b2f886c

Ce qui donne :

Ce dernier droppe un autre fichier et ajoute la clef Run correspondate : O4 – HKCU\..\Run: [{0F638720-1C67-7C77-4AED-F493C789E346}] « C:\Documents and Settings\Mak\Application Data\Tey\byzuurc.exe »
(Le Application Data\[A-Z][a-Z]+\[a-z]+.exe est typique des Zbot/Spyeye)

Le fichier prend le contrôle d’explorer.exe par injection qui se connecte à un kimsufi (OVH) :

Côté URL :
1323099409.617    788 192.168.1.27 TCP_MISS/200 200587 GET http://www.domain123456789.biz/202.exe - DIRECT/62.149.142.21 application/octet-stream
1323099444.673  14448 192.168.1.27 TCP_MISS/200 635244 POST http://www.france-facebook.com/1/config.php - DIRECT/94.23.39.5 text/plain
1323099460.516    217 192.168.1.27 TCP_MISS/200 16494 GET http://www.google.com/webhp - DIRECT/74.125.39.104 text/html
1323099497.333  36811 192.168.1.27 TCP_MISS/200 404 POST http://www.france-facebook.com/config.php - DIRECT/94.23.39.5 text/html

94.23.39.5 est le kimsufi.
On peux voit qu’un POST est fait, typique des  Zbot.
La détection du fichier droppé : http://www.virustotal.com/file-scan/report.html?id=cd597b57f6ef319ab5c6786dd64b570d2579744917d2e8837351ea52248d8589-1323104756

File name: byzuurc.exe
Submission date: 2011-12-05 17:05:56 (UTC)
Current status: queued queued analysing finished
Result: 7/ 43 (16.3%)

Compact Print results
Antivirus Version Last Update Result
Avast 6.0.1289.0 2011.12.05 Win32:Kryptik-FYH [Trj]
AVG 10.0.0.1190 2011.12.05 Dropper.Generic4.CNSO
DrWeb 5.0.2.03300 2011.12.05 BackDoor.Butirat.47
Emsisoft 5.1.0.11 2011.12.05 Trojan-PWS.Win32.Zbot!IK
GData 22 2011.12.05 Win32:Kryptik-FYH
Ikarus T3.1.1.109.0 2011.12.05 Trojan-PWS.Win32.Zbot
Kaspersky 9.0.0.837 2011.12.05 Trojan-Dropper.Win32.Aspxor.jf 

Additional informationShow all
MD5   : 46865bdf0337d4ed0e734d029914ceff
SHA1  : c0c82f0ec1b07d9c61ffac08839928a963bc6e32
SHA256: cd597b57f6ef319ab5c6786dd64b570d2579744917d2e8837351ea52248d8589

Désinfection

Il est conseillé de faire un scan avec Malwarebyte Anti-Malware

Si Zbot a été détecté, vous devez changer les mots de passe de vos sites (Facebook, Mail etc) et jeux en lignes, ils ont été volés par le malware.

Vous pouvez garder Malwarebyte Anti-Malware pour des scans réguliers, il est très efficace.

EDIT 29 Juin 2012

 

Quelques posts pour signaler qu’apparemment il y a une nouvelle campagne assez active.
Le mail est assez similaire, mais de DELL cette fois-ci :

Bonjour,
 
Nous vous informons que votre carte bancaire a été acceptée.
Le paiement concerne la société objetmania sarl (Identifiant commerçant : 950025).
cliquez ici pour télécharger votre facture
 
Référence de la transaction : 159480
Montant de la transaction : 40,06 EUR
Date de la transaction : Le 29 juin 2012 à 06h53 (GMT)
Numéro de la carte : 4972 04XX XXXX XXXX
Numéro d’autorisation : 363200
Numéro de terminal : 950025
Email : xxxx@orange.fr
Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.
Nous vous remercions pour votre confiance,
L’Equipe CIC.

 

Cette fois, ce n’est plus un VBS mais un fichier ZIP : hxtp://www.asem.it/libraries/joomla/user/PayboxFacture.zip
=> http://www3.malekal.com/malwares/index.php?hash=9036681695cf2b9b68989ed0cf2fd911

 

La détection est mauvaise : https://www.virustotal.com/file/5c662a4f57af4453d4309f7ef3db1bf6b99e334f60987e29e159f995593d3aca/analysis/1340955137/

SHA256: 5c662a4f57af4453d4309f7ef3db1bf6b99e334f60987e29e159f995593d3aca
File name: PayboxFacture.exe
Detection ratio: 2 / 42
Analysis date: 2012-06-29 07:32:17 UTC ( 16 minutes ago )

AhnLab-V3 Trojan/Win32.Zbot 20120628
Microsoft PWS:Win32/Zbot.gen!Y 20120629

Les connexions effectués par le BOT :

1340955721.008 423 192.168.1.27 TCP_MISS/200 13817 POST http://www.lisgo.it/cheats/fr/index.php – DIRECT/62.149.140.171 text/plain
1340955721.564 406 192.168.1.27 TCP_MISS/404 982 POST http://www.asem.com/config/bot.php – DIRECT/206.188.192.109 text/html
1340955721.949 483 192.168.1.27 TCP_MISS/404 982 POST http://www.asem.com/config/bot.php – DIRECT/206.188.192.109 text/html
1340955721.984 158 192.168.1.27 TCP_MISS/200 512 POST http://www.mode-sport.fr/config.php – DIRECT/213.186.33.19 text/html
1340955722.324 336 192.168.1.27 TCP_MISS/200 18308 GET http://www.lisgo.it/price.exe – DIRECT/62.149.140.171 application/octet-stream
1340955722.541 118 192.168.1.27 TCP_MISS/200 512 POST http://www.mode-sport.fr/config.php – DIRECT/213.186.33.19 text/html

price.exe : http://www3.malekal.com/malwares/index.php?hash=0343b3301daf03b351d22c8c8b624d15 qui droppe dans C:/ProgramData/system32/explorer.exe
https://www.virustotal.com/file/d4eac49566c766715ea4ed6cd057b0d337efba1ac96722762bf0b240577849e6/analysis/

/Users/BIG/Desktop/VBProject/Hcinou/Hcinou/obj/x86/Release/Hcinou.pdb

 

SHA256: d4eac49566c766715ea4ed6cd057b0d337efba1ac96722762bf0b240577849e6
File name: 0343b3301daf03b351d22c8c8b624d15
Detection ratio: 5 / 42
Analysis date: 2012-06-29 07:57:11 UTC ( 8 minutes ago )

AhnLab-V3    Trojan/Win32.Keylogger    20120628
Jiangmin Trojan/MSIL.cak 20120629
Kaspersky UDS:DangerousObject.Multi.Generic 20120629
nProtect Trojan/W32.Small.17920.MG 20120629

EDIT 23 Août

Nouvelle campagne avec rue du commerce : service.client@rueducommerce.com

Contenu du mail :

Veuillez Cliquez ici pour télécharger votre facture 9854500054 concernant votre commande 65800025450 du 23 Août 2012Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement sur notre site http://www.rueducommerce.frNous vous remercions de votre confiance.
Vous pouvez nous contacter :- en vous connectant sur notre site dans la rubrique « suivez votre commande » – http://client.rueducommerce.fr – où après vous être identifié, vous pourrez nous adresser une demande en ligne en sélectionnant le sujet souhaité dans la rubrique « une question, un problème ? » disponible sur la fiche de chaque commande.
– par téléphone, du lundi au vendredi de 8h à 20h et le samedi de 9h à 18h sans interruption (hors jours fériés) : il est nécessaire avant de nous contacter, de vous munir de votre numéro de commande ou de retour. Vous pouvez contacter notre service clientèle au 0891 56 20 20 (0,22 EUR/min). Pour suivre votre commande, connaître une procédure de retour ou bénéficier de votre droit de rétractation, veuillez composer le 0811 74 26 50 (coût d’un appel local depuis une ligne fixe). Pour toute question concernant votre abonnement téléphonique, veuillez appeler le 0811 74 27 50 (du lundi au vendredi de 9H à 18H).Découvrez la Carte de paiement RueDuCommerce :Connectez-vous notre site dans la rubrique La Carte RueDuCommerce : http://www.rueducommerce.fr/carte – Bénéficiez de facilités et de report de paiement, profitez de remises exclusives et cumulez les avantages. (Emmenez la partout avec vous, elle est acceptée dans les 25 000 points de vente du réseau Cofinoga)RueDuCommerce
44-50 Avenue du Capitaine Glarner
93585 Saint-Ouen CedexContribuez à la protection de l’environnement, n’imprimez ce mail qu’en cas de réelle nécessité.PS : vous pouvez télécharger gratuitement le logiciel Acrobat Reader qui vous permet d’imprimer votre facture ici :
http://www.adobe.fr/products/acrobat/readstep2.html

 

 

Le lien conduit toujours à un fichier zip qui contient un executable qui droppe l’infection : hxxp://www.namiporte.it/downloads/facture.zip

On retombe sur : O4 – HKCU\..\Run: [{74481B58-F9AE-0ADF-3352-94EDB4E76B5B}] « C:\Documents and Settings\Mak\Application Data\Wynomi\ossoax.exe »

et surtout le même serveur asem.it

1345724880.706 210 192.168.1.27 TCP_MISS/200 8318 POST http://www.asem.it/typo3_src/typo3/gfx/faner/config.php – DIRECT/195.223.241.230 text/plain
1345724880.953 263 192.168.1.27 TCP_MISS/200 406 POST http://www.asem.it/typo3_src/typo3/gfx/c_wiz/config.php – DIRECT/195.223.241.230 text/html

 

https://www.virustotal.com/file/cd41d5ae48c4a083f54fd3b47523c1c22318fc1e3ae253079d46dd9c507c3628/analysis/1345724292/

 SHA256: cd41d5ae48c4a083f54fd3b47523c1c22318fc1e3ae253079d46dd9c507c3628
File name: facture.zip
Detection ratio: 6 / 42
Analysis date: 2012-08-23 12:18:12 UTC ( 1 minute ago )
AhnLab-V3 Spyware/Win32.Zbot 20120823
Avast Win32:Susn-AU [Trj] 20120823
GData Win32:Susn-AU 20120823
Norman W32/Cridex.M 20120823
Panda Suspicious file 20120823
Sophos Mal/BredoZp-B 20120823
 

EDIT 13 Octobre

De retour avec toujours la même adresse avec un mail DELL: http://www.asem.it/typo3_src/typo3/sysext/belog/doc/facture.php?facture_Amandine_6686587

 

Bonjour XXXX,
 
Nous vous informons que votre carte bancaire a été acceptée.
 
Le paiement concerne la société Dell (Identifiant commerçant : 6686587).
 
Référence de la transaction : 6686587
Montant de la transaction : 84.00 EUR
Date de la transaction : Le 12 October 2012 à 04h53 (GMT)
Nom sur la carte : XXXX XXX
Email : xxxx@hotmail.fr
 
cliquez ici pour télécharger votre facture
 
Merci de contacter directement la société Dell pour toute question relative à votre commande.
 
Nous vous remercions pour votre confiance,
 
L’Equipe CIC.

 

 

La détection est moyenne :

 https://www.virustotal.com/file/3a4421dc79a641cb52da7cb723f24da0bf9a5be29f0a335acf4271be671ef507/analysis/1350121611/

SHA256: 3a4421dc79a641cb52da7cb723f24da0bf9a5be29f0a335acf4271be671ef507
File name: facture.exe
Detection ratio: 6 / 44
Analysis date: 2012-10-13 09:46:51 UTC ( 0 minute ago )

AntiVir TR/Dropper.Gen8 20121012
DrWeb BackDoor.IRC.NgrBot.42 20121013
Emsisoft Trojan.Win32.Yakes!IK 20120919
ESET-NOD32 a variant of Win32/Injector.XQJ 20121013
Ikarus Trojan.Win32.Yakes 20121013
Panda Suspicious file 20121013

EDIT 3 Décembre 2012

Nouvelle campagne, toujours en se faisant passer pour CIC :

Bonjour xxxxxxx,

Nous vous informons que votre carte bancaire a été acceptée.

Le paiement concerne la société objetmania sarl (Identifiant commerçant : 690287).

Référence de la transaction : 6302120
Montant de la transaction : 985,06 EUR
Date de la transaction : Le 03 Décembre 2012
Numéro de la carte : 4972 04XX XXXX XXXX
Numéro d’autorisation : 98950251
Numéro de terminal : 690287

Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

Nous vous remercions pour votre confiance,

L’Equipe CIC.

 

On revient aux fondamanteaux avec un facture.zip qui renforme un VBS : https://www.virustotal.com/file/76c8a5431e89a341e7739b3467a1ebe2813eee06d23da7d35b8ed76eed68d635/analysis/1354525102/

SHA256: 76c8a5431e89a341e7739b3467a1ebe2813eee06d23da7d35b8ed76eed68d635
File name: facture.vbs
Detection ratio: 4 / 46
Analysis date: 2012-12-03 08:58:22 UTC ( 2 minutes ago )

AVG JS/Heur 20121203
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20121203
karus Virus.JS.Heur 20121203
TrendMicro-HouseCall TROJ_GEN.F47V1203 20121203

 

 

qui va chercher le dropper à l’adresse : http://www.stadiomobile.it/tmp/soft4.exe
(Pas de VirusTotal – j’arrive pas à le scanner dessus).

Si vous n’avez pas ouvert le fichier, vous ne craignez rien.
Si vous avez ouvert le fichier zip et son contenu et que votre antivirus n’as pas réagi, vous êtes infectés.
Faites un scan Malwarebyte’s Anti-Malware : Malwarebyte Anti-Malware
puis changez tous vos mots de passe WEB (Facebook, mail etc).

EDIT Janvier 20

Reçu un autre toujours à destination des entreprises, ce dernier se fait passer pour LaPoste, adresse de l’expéditeur : reponse-automatique@laposte.net

 

Scan de 0814066
Format de fichier: PDF MMR(G4)
Resolution: 200dpi x 200dpi
Le fichier joint est une image numerisee au format PDF. Utilisez Acrobat(R)Reader(R) ou Adobe(R)Reader(R) d’Adobe
Systems Incorporated pour visualiser le document. Il est possible de telecharger Adobe(R)Reader(R) de l’adresse suivante:
Adobe, le logo Adobe, Acrobat, le logo Adobe PDF et Reader sont des marques deposees ou des marques commerciales
d’Adobe Systems Incorporated aux Etas-Unis et dans les autres pays. http://www.adobe.com/

 

zbot_mail

header du mail :

Received: from 188.230.122.186 by web-host1 (envelope-from <fraud@aexp.com>, uid 888) with qmail-scanner-1.25-st-qms 
 (spamassassin: 3.3.2. perlscan: 1.25-st-qms.  
 Clear:RC:0(188.230.122.186):SA:0(-87.6/5.0):. 
 Processed in 2.188281 secs); 30 Jan 2014 11:27:43 -0000
X-Antivirus-xxxx-Mail-From: fraud@aexp.com via web-host1
X-Antivirus-xxxxx: 1.25-st-qms (Clear:RC:0(188.230.122.186):SA:0(-87.6/5.0):. Processed in 2.188281 secs Process 25957)
Received: from etas.vl.net.ua (188.230.122.186)
  by xxxx.com with SMTP; 30 Jan 2014 12:27:41 +0100
Received: from INT.ironport.tc8.navaho.fr ([192.168.160.156]) by mailrelay132-out.ornis.com (8.14.4/8.14.4) with ESMTP id 12GS163UKG7U for <xxxxx>; Thu, 30 Jan 2014 13:27:39 +0200

Sample : https://www.virustotal.com/fr/file/ea1f481ca5e66f909beaf3de64b1ed61eda98e3f80575b59e8501d5c93626d80/analysis/1391086576/
SHA256:ea1f481ca5e66f909beaf3de64b1ed61eda98e3f80575b59e8501d5c93626d80
Nom du fichier :Scan_301_30012014_001.exe
Ratio de détection :8 / 49
Date d’analyse :2014-01-30 12:56:16 UTC (il y a 0 minute)

A noter qu’il existe des campagnes « classiques » anglophones qui touchent tout le monde :

zbot_mail2

EDIT 18 Février

Reçu un mail à l’instant d’Apple Store – sujet : Nous avons bien reçu votre commande.

Envoyé de :

Received: from [37.187.67.100] (100.ip-37-187-67.eu [37.187.67.100]) (authenticated)
by smtp04.msg.oleane.net (MSA) with ESMTP id s18EY3XO022373
for <mailling@malekal.com>; Sat, 8 Feb 2014 15:34:04 +0100
X-Oleane-Rep: REPA
Reply-To: <commande@apple.fr>

Zbot_apple_store
Le fichier zip contient un script VBS, ce dernier va afficher un message d’erreur The Application failed to initialize properly blalba » sur AcroRd32.exe (Acrobat Reader).
puis executer du code.
Zbot_apple_store2

Le code va chercher un binaire à l’adresse http://www.clctf.com/calc.exe
Le site en question semble avoir été piraté.

Zbot_apple_store3

On reconnaît la patte d’un Zbot :

Zbot_apple_store4

 

La détection est plutôt mauvaise : https://www.virustotal.com/fr/file/033c4f2c5d376c055d4dc2b22e98b5f833b98ff3577589a8e5a0d000a41234ca/analysis/1391871118/

SHA256:033c4f2c5d376c055d4dc2b22e98b5f833b98ff3577589a8e5a0d000a41234ca
Nom du fichier :calc.exe
Ratio de détection :1 / 49
Date d’analyse :2014-02-08 14:51:58 UTC (il y a 0 minute)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 134 times, 1 visits today)

83 thoughts on “SPAM Malicieux Français : Zbot/Zeus

  1. je viens de recevoir cette coànnerie, mais toujours ,méfiant j’ai verifié le N° cb qui est bidon, et que ce genre de commande me disait rien, d’autant que je ns’i jamais rien commandé a ce genre de site ni même a Dell… alors j’ai cherché ce site par GOOgle et j’ai eu la confirmation que c’etait une vacherie de pirate enfoiré… donc je n’ai rien ouvert ni zip ni rienet je vais le basarder au plus vite. En fait ma découverte de cette Merde a été sur mon Ipad, et par prudence j’ai été sur mon Pc verifier ce que j’etais sur de n’avoir jamais rien acheté un 31 decembre a 18h35 … Voila je continuerais a etre tres méfiant de ce que je ne connais pas. et donc viré de ma vue et de ma boite a lettres;
    MG

  2. Je viens de le recevoir! Le num de CB ne correspondant pas au mien j’ai senti que c’était bidon. Et en cherchant le nom de la société sur google je tombe sur ce forum, merci pour l’info car sans ça j’aurais surement cliqué sur la piece jointe par curiosité…

  3. J’ai reçu ce message le 31/01/2012
    et pour vous dire je me suis presque fait avoir
    car il utilise le nom d’une application iphone que j’ai
    acheté sur itunes.
    Comment ? je sais pas mais en tout cas ils sont balaises
    et çà va faire mal.

  4. Bonjour,

    Je viens de recevoir cet email…. et comme un bleu je me suis fait avoir. Etant donné que j’avais passé recemment une commande d’un montant quasi identique à ma commande, j’ai ouvert la facture… Rah !
    Mon antivirus Bitdefender 2012 n’a rien détecté, j’ai passé le pc sous spybot, rien n’est détecté ..
    Quelqu’un sait comment virer ce virus svp ?

  5. je viens de recevoir ce mail :
    « Bonjour,Nous vous informons que votre carte bancaire a été acceptée.Le paiement concerne la société objetmania sarl (Identifiant commerçant : 6302202 ……. Date de la transaction : Le 31 Février 2012 à 05h53 (GMT) »etc ….

    en regardant de plus prés, mon n° cb est faux et j’avoue que le 31 février 2012 m’a fait mourir de rire.
    j’ai toutefois contacté la société objetmania qui m’a informé qu’ils étaient tout à fait au courant de ce piratage.
    bref, je n’ai pas ouvert la pièce jointe …….

    A bon entendeur !!

  6. Bonjour,

    merci à tous ceux qui nous ont contacté (et vous étiez nombreux) !

    Suite à ces envois malveillants (étranger à notre société) nous avons effectué les démarches nécessaires pour ne plus subir ce genre de problèmes.

    Ce virus et l’envoi de ce spam n’a plus lieu d’être actuellement.

    Nous tenons à rappeler que nous étions tout à fait étranger à l’envoi de ces spams vérolés.

    Nous vous remercions pour votre confiance.

    Bien cordialement,

    L’équipe Objetmania

  7. Bonjour,
    faites attention ! ce mail frauduleux traîne encore , je viens de le recevoir cet après-midi 25/06/12 !
    Bêtement j’ai voulu voir ce que c’était , j’ai téléchargé le lien vers la facture, et au moment où le fichier zippé s’est affiché dans mes téléchargements, mon antivirus Kaspersky m’a immédiatement alertée; il a détecté 2 menaces dont une qu’il a mis en quarantaine et l’autre inactive… j’ai immédiatement tout supprimé (ficher zippé etc…..) et lancer une analyse de mon pc…. j’espère que ça va s’arrêter là….

  8. Bonjour.
    Je confirme que ce genre de mail circule de nouveau (lundi 25 juin 2012).
    Merci pour ces explications, restons vigilants.

    Cordialement…

  9. bonjour !!!

    Je confirme que ce truc pourri circule toujours car je l’ai trouvé à mon arrivé au bureau ce matin. me disant achat du 25/06/12 !!!!! moi aussi j’ai appelé ma banque et puis je suis retournée chercher sur le net et je vous ai trouvé ! Merci pour les infos et je confirme que cette vacherie est encore d’actualité.

  10. Bonjour! je l’ai reçu ce matin même, mais avec Objet Mania comme soi disant débiteur, petit coup de pression puisque mon num de carte ressemble étrangement à leur numéro de carte bidon!
    Et puis à 5h53 j’étais dans mon lit pas en train d’acheter des cadeaux sur objet mania!

  11. J’ai reçu le même mail aujourd’hui mais j ai ouvert la pièce jointe depuis mon iPhone !!! Est ce qu il est vérolé n’ayant pas d anti virus dessus???

  12. Le site qui héberge ce virus fait-il partie de l’arnaque, ou a t-il été piraté ?
    hxtp://www.asem.it/libraries/joomla/user/PayboxFacture.zip

    Merci.

  13. @bob : je pense que oui.
    Si l’adresse hxtp://www.asem.it/libraries/joomla/user/PayboxFacture.zip change, merci de prévenir pour que je puisse récupérer le fichier et l’envoyer aux antivirus 🙂

  14. J’ai également reçu 2 « tickets récapitulatifs de paiement’ les 25 et 30 juin 2012 de 321,06 € et 40:06 €. J’avoue ne pas savoir qu’en faire !!!

  15. J’ai également reçu 2 confirmations de carte bancaire acceptée par la société objetmania le 25 juin 2012 pour 40,06€ et le 30 juin 2012 pour 321,06€.
    Pas de fichier joint concernant les 40,06€ mais un fichier ZIP joint pour les 321,06€, que j’ai visualisé sans dézipper pour constater qu’il contient un fichier « payboxfacture.exe », avec référence http://www.acem.it sous le fichier téléchargé.
    J’ai supprimé les 2 messages.

  16. Bonsoir , voici le mail reçu cette nuit 😉
    La transaction n’a pas encore été effectuée et je reçois déjà la facture 😉
    **************************************
    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : xxxxx.xxxx@gmail.com

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.
    **************************************

  17. Guillaume aurait t on dormi ensembles????

    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : corbec.bruno@neuf.fr

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

    que dois je faire maintenant????help

  18. Reçu le même mail ce jour!
    Rien de débité!!!!

    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : xxx.x@free.fr

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  19. Bonjour,
    Ici, j’ai reçu deux mails un le 26 juin et un autre identique à celui de Guillaume ci-dessus.
    Objetmania toujours incriminée…

  20. oh la la je l’ai recu aussi, c’est quoi c’est conneries et d’ou ils ont nos mails?

    J’ai flippé un peu y’a de quoi, bref de voir vos messages ca me rassure un peu, et de toute facon le numéro de carte est faux.

    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : sandrinetissier@yahoo.fr

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  21. Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : simon.van………………

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

    Encore un.

  22. Mail reçu lun. 09/07/2012 04:07

    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : xxxx@xxxx.com

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  23. J’ai reçu ce matin exactement le même mail,
    même numéro de CB, même montant, même numéro de transaction.

    Ayant une CB commençant par les mêmes numéros, j’ai fait opposition.

  24. Pareil pour moi… le même mail, les mêmes données, mais envoyé par facture@paybox.fr .
    Le curieux est qu’effectivement j’ai fait un achat sur un site internet vers 0h-1h cette nuit. Mais ni le site ni le montant ni mon numéro de CB ne collent pas. Par contre, comme je suis client CIC, j’étais un peu inquiet… mais maintenant rassuré que d’autres personnes aient reçus exactement le même message.

    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 355021).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 954220
    Montant de la transaction : 721,06 EUR
    Date de la transaction : Le 09 Juillet 2012 à 08h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 985501
    Numéro de terminal : 355021
    Email : …………………@yahoo.fr

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  25. Aucune aide informatique ne sera donnée (désinfection etc) en commentaire, cela ne sert à rien dexposer vos problèmes ici, allez sur le forum pour obtenir de l’aide : http://forum.malekal.com

    J’ai reçu exactement le même mail ce matin.
    Même numéro CB, même montant même n° transaction.
    Mon N° carte ne correspond pas donc je ne pense pas de danger de ce côté là.
    Mais que faire » contre ces arnaqueurs?

  26. Bonjour,

    j’ai reçu exactement le même mail ce jour, avec un fichier zip joint dans lequel il y a un fichier .exe !!?? Je vais viré tout ça ilico presto.
    En lisant votre site je vois que je ne suis pas le seul :-((

    Bonne journée

  27. bonjour,
    toujours actif, ma femme a reçu le même message ce jour sur sa boite « hotmail »:
    numéro CB bidon, achat bidon…jeté et détruit.
    Je précise que notre compte courant a été piraté via sa CB la semaine dernière, trois retraits d’environ 600 euros, à l’étranger.
    (heureusement remboursé par notre banque)
    donc attention…………….
    merci à tous pour vos conseils

  28. Bonjour,
    J’ai reçu un mal similaire ce matin, sauf qu’il n’était pas précisé le numéro de la carte bancaire. Mais mon nom, prénom et email eux étaient bons, j’ai flippé sur le coup (je les ai remplacés par X dans la copie du mail).
    Mais apparemment j’ai reçu le mail (7h24) avant de passer commande. 🙂

    Bonjour X,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société Dell (Identifiant commerçant : 297056).

    Référence de la transaction : POC0600536073
    Montant de la transaction : 18.00 EUR
    Date de la transaction : Le 23 Juillet 2012 à 08h53 (GMT)
    Nom sur la carte : X
    Adresse de facturation : LAVAL , 53000 , France
    Numéro d’autorisation : POB00000000000000536073
    Numéro de terminal : 297056
    Email : X

    cliquez ici pour télécharger votre facture

    Merci de contacter directement la société Dell pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  29. bonjour, je viens de recevoir le meme mail que jerem de la société dell, mais également sans mon numéro de carte bancaire, par contre, concernant le fichier j’ai voulu l’ouvrir pour voir la facture , impossible.

  30. Bonjour,j ai reçu le meme mail que charlotte ce matin, j ai essayé de telecharger la facture mais heureusement , je n ai pas reussi.Par contre j ai essayé de l ouvrir avec mon iphone, y a t il un danger? Existe t il des risques que l on soit infecté par le virus si le fichier n a pas reussi a etre Ouvert?
    Merci

  31. ATTENTION ! Mail toujours en circulation (reçu ce 23.07.2012 société dell)
    très inquiète dans un premier temps mais rassurée par vos coms,
    merci.

  32. Mail reçu ce matin aussi, avec nom, prénom, mail et adresse de facturation correcte.
    Lien identique que celui de Brigitte.
    Par contre, comment connaissent-ils toutes ces informations?!…

  33. Bonjour,

    J’ai également reçu ce mail. Savez-vous comment le pirate fait pour avoir les infos comme « nom/prénom/ville de résidence » ?

    L’adresse du fichier à télécharger est « http://www.asem.it/components/com_facileforms/images/pizzashop/facture(point)zip »

    Merci,

    ____

    Pour : « XXXXX »
    Objet : Ticket récapitulatif de paiement
    Date : mar., juil. 24, 2012 21:56

    Bonjour XXXXXXX,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société Dell (Identifiant commerçant : 1500288).

    Référence de la transaction : OC1002938275
    Montant de la transaction : 40.30 EUR
    Date de la transaction : Le 23 Juillet 2012 à 08h53 (GMT)
    Nom sur la carte : XXXXXXX XXXXXXXX
    Adresse de facturation : XXXXXXXX , XXXXX, France
    Numéro d’autorisation : POB00000000000002938275
    Numéro de terminal : 1500288
    Email : XXXXXXXXX@hotmail.com

    cliquez ici pour télécharger votre facture

    Merci de contacter directement la société Dell pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  34. Bonjour,
    j’ai reçu ce mail aussi ce matin avec mon nom prénom et ville.
    Je joue souvent a des jeux concours gratuit sur internet ,il est fort possible
    que ce soit à ce moment la qu’ils est pris les infos…
    En tout cas contente d’avoir trouvé votre discussion avant d ouvrir!

    Merci

  35. Bonjour

    J’ai mois aussi recu quelque chose de la part de dell alors que je n’ai rien commande, s’agit il d’un spam ou m’a t on fait une fraude à la carte banquaire?

    Bonjour alice,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société Dell (Identifiant commerçant : 6682837).

    Référence de la transaction : 6682837
    Montant de la transaction : 84.00 EUR
    Date de la transaction : Le 12 October 2012 à 04h53 (GMT)
    Nom sur la carte : xxx
    Email : xxxxx

    cliquez ici pour télécharger votre facture

    Merci de contacter directement la société Dell pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  36. Aucune aide informatique ne sera donnée (désinfection etc) en commentaire, cela ne sert à rien d’exposer vos problèmes ici, allez sur le forum pour obtenir de l’aide : http://forum.malekal.com

    Bonjour à tous,

    Cet e-mail + le lien et le fichier virus existent toujours je viens de me faire avoir ce matin car j’ai effectué plusieurs achats hier à la même heure que leur référence, je ne me suis pas méfié car la somme et l’heure concordaient à quelque chose près, mais Avira l’a repéré quand j’ai lancé le .exe . Là j’ai fait un scan avec McAfee Security qui m’a seulement trouvé « un site dangereux » et je vais lancer MalwareBytes Anti-Malware, est-ce suffisant de supprimer les ficiers et l’e-mail lié dont copie ci-dessous, merci de m’aider !
    Cordialement,

    Bonjour,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 950025).
    cliquez ici pour télécharger votre facture

    Référence de la transaction : 159480
    Montant de la transaction : 40,06 EUR
    Date de la transaction : Le 25 Novembre 2012 à 13h53 (GMT)
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 363200
    Numéro de terminal : 950025

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  37. J’ai reçu, ce matin, le même genre de message de OBJETMANIA. Je me doutais bien qu’il y avait une arnaque. J’ai donc voulu vérifier sur google « a société objetmania sarl (Identifiant commerçant : 950025) », pour être tout simplement informée des types d’arnaques. Je n’ai pas été déçue du résultat et c’est comme cela que je suis arrivée sur ce site. Merci pour toutes les infos. Il faut vraiment faire attention à tout et on n’est jamais trop prudent. Bon courage à tous face à tous ces pirates !

  38. Bonjour,
    Je viens de recevoir le même cette nuit, me demandant l’objet de la transaction (bien que ce ne fut pas mon num de carte) j’ai voulu voir la facture et j’ai cliqué sur le lien zip a partir de mon iPhone, qd ils m’ont demandé si je voulais envoyer un message j’ai annulé, je ne peux pas lire les zip de mon téléphone, mais est il infecté même si je n’ai pas téléchargé la pièce jointe ? Si oui que dois je faire ?
    Merci
    Ps je vous transfère le mail reçu.

  39. Je viens aussi de recevoir le message, de sarl objetmania. C ‘ est assez troublant, car il
    commence par « bonjour fabienne + mon nom de famille » et il y a une facture en fichier zip que je n’ai pas pu ouvrir depuis ma tablette. Le fait d’avoir ouvert le mail
    fait-il courrir un risque à la tablette?
    Merci en tout cas pour ce forum, ça m’ a évité d’appeler ma banque pour rien!

  40. Bonjour,
    Nous avons reçu un mail identique (objetmania) ce matin sur I Phone.
    Nous avons essayé d’ouvrir la pièce jointe mais impossible (même avec une appli .zip).
    Ce virus est-il actif sur Mac ?
    Faut-il agir avec une autre appli (désinfection, scan…)?
    Merci par avance de vos réponses.

  41. Salut,

    Si tu n’as pas ouvert le fichier Zip et son contenu, ça ne craint rien.
    En plus de cela, le fichier est à destination de Windows. Si tu es sur Android, tu peux le lancer, ça n’infectera rien du tout.

  42. Je viens de le recevoir, j’ai ouvert le zip mais pas le fichier. J’ai tout de suite vérifié auprès de ma banque et tapé le nom de cette société dans google pour checker !

  43. Merci beaucoup pour cette réponse (et sa rapidité !).
    Nous ne sommes pas sur Androïd, enfin je ne pense pas sur I PHone, mais cette réponse servira certainement à un grand nombre !

  44. Précision (Tout comme Fabienne) le mail contient le NOM de famille et le prénom de mon épouse ! c’est donc assez troublant, cela fait tout de suite penser à une fraude à la CB et donne donc envie d’ouvrir la facture (saleté !!!)

  45. Idem pour moi, reçu ce matin. Message trés personnalisé je n’ai pas pu ouvrir la pièce jointe sur mon I phone mais y a t-il un risque ?

  46. bonjour
    j ai recu ce meme email ,avec mon nom et prenom ? j ai pas ouvre la piece jointe ,je fais quoi maintenant , je risque rien ?

  47. Bonjour, pareil pour moi ce matin…
    Je l’ai reçu sur mon iPad donc je n’ai pas pu ouvrir la pièce jointe et tant mieux.
    Mais est ce que ça craint si j’allume mon pc?

  48. bonjour,
    J’ai reçu le même mail ce matin à 06h35 !!!! La poisse car j’ai ouvert le fichier zippé … Mais pas sûr que j’ai téléchargé…

    merci pour pour vos commentaires

  49. le Bonjour David,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 690287).

    Référence de la transaction : 6272646
    Montant de la transaction : 985,06 EUR
    Date de la transaction : Le 03 Décembre 2012
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 98950251
    Numéro de terminal : 690287

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.
    existe toujours
    email recu ce matin

  50. J’ai aussi recu ce mail ce matin. Les 1ers chiffres de la CB ne correspondant pas j’ai pensé à une arnaque. Merci pour votre site cela m’a permis de me le confirmer et de me rassurer.
    merci pour votre forum

  51. Bonjour …………

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 690287).

    Référence de la transaction : 6364683
    Montant de la transaction : 985,06 EUR
    Date de la transaction : Le 03 Décembre 2012
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 98950251
    Numéro de terminal : 690287

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  52. Bonjour à tous

    Désolé pour ce désagrément, mais sachez que nous sommes tout autant que vous victime de ce mail frauduleux. Puisqu’on a usurpé notre identité.

    Depuis le 03/12/2012 à 03H un e-mail frauduleux se propage et informe qu’il faut contacter la société Objetmania (notre société) pour une transaction d’un montant de 985,06€.

    En ce qui concerne l’infrastructure d’Objetmania.com aucune attaque n’a été détectée et notre fichier client n’a pas été impacté.

    Ce mail ne provient pas de nos services. En regardant de plus près le mail, nous pouvons voir qu’aucun lien, numéro de transaction ou numéro de TPE ne correspond au site Objetmania.com.

    Il s’agit donc bien d’une utilisation frauduleuse du nom d’Objetmania.

    En aucun cas notre base de données, ou notre outil de mailing ne sont impliqués dans ces vagues de mails (les personnes qui reçoivent les mails ne sont jamais abonné au mailing Objetmania ou même client d’Objetmania.).

    Objetmania n’a pas prélevé de commande d’un montant de 985,06€

    Bien cordialement,
    L’équipe Objetmania

  53. bonsoir, meme mail encore qui circule,

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 690287).

    Référence de la transaction : 6314335
    Montant de la transaction : 985,06 EUR
    Date de la transaction : Le 03 Décembre 2012
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 98950251
    Numéro de terminal : 690287

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  54. Bonsoir,j’ai reçu le meme mail qui circule et pour moi c’est très inquietent puisque les 6 numero de la CB c’est bien mes numéros de CB et bien sur avec le nom et prenom!!!!!!!!!!!!!!

    Nous vous informons que votre carte bancaire a été acceptée.

    Le paiement concerne la société objetmania sarl (Identifiant commerçant : 690287).

    Référence de la transaction : 6314335
    Montant de la transaction : 985,06 EUR
    Date de la transaction : Le 03 Décembre 2012
    Numéro de la carte : 4972 04XX XXXX XXXX
    Numéro d’autorisation : 98950251
    Numéro de terminal : 690287

    Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

    Nous vous remercions pour votre confiance,

    L’Equipe CIC.

  55. bonjours a toutes et tous
    Et bien voila encore ce fichu fichier qui revient et que j’ai reçu ce matin le 9/07/15
    Bonjour,

    Nous vous informons que votre carte bancaire a ete acceptee.

    Le paiement concerne la societe objetmania sarl (Identifiant commercant : 013307).

    Reference de la transaction : 4212600
    Montant de la transaction : 685,06 EUR
    Date de la transaction : Le 07.07.2015
    Numero d’autorisation : 096092
    Numero de terminal : 3800890

    Merci de contacter directement la societe objetmania sarl pour toute question relative a votre commande.

    Nous vous remercions pour votre confiance,

    Pettits Of Wallingford Ltd

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *