Novinky
Led
12

Fiktivní objednávka z obchody24.cz obsahuje škodlivý kód

Autor: Martin Buchta | Vytvořeno: 12.01.2015 08:27:44

V nové vlně podvodných e-mailů její autoři rozesílají uživatelům informace o fiktivní objednávce provedené na internetovém obchodu obchody24.cz. V těle e-mailu se nachází informace, že objednávka byla přijata a fakturu společně s platebními informacemi naleznete v příloze. Přílohu v žádném případě nestahujte, neotevírejte a zprávu rovnou smažte! Obsahuje totiž škodlivý kód. Pokud jste na daném eshopu skutečně prováděli objednávku, důkladně si zkontrolujte, že objednané zboží odpovídá vaší objednávce.

Pokud máte aktivní technologii ESET Live Grid, pokus o stažení infikované přílohy bude zablokován již nyní. Produkty ESET škodlivý kód detekují standardními technikami od verze virové databáze 10999 jako další variantu Win32/TrojanDownloader.Elenoocka a Win32/Kryptik.CVBD.

Vzor zprávy:

Vážená paní, vážený pane,
děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

Číslo objednávky (variabilní symbol): M5E82635AC42484
Datum a čas objednávky: 10.01.15 52:52
Kontaktní údaje:
Chaoki Nasreddin
+420 605 852 382

Vaše objednávka:
------------------------------
Leadtek WinFast A360-TD128, FX5700, 128 MB DDR,TV, DVI, VIVO, bílá: 1 x 3 343,00 Kč =3 343,00 Kč
Doúprava PPL: 111 Kč
------------------------------
Celková cena nákupu vč. DPH: 3 454,00 Kč
Způsob platby: Platba předem – platební karta
Poznámka: Potvrzení platby a fakturu najdete v přiloženém souboru (invoice426F4C5.zip)
-
Nyní prosím vyčkejte na našeho operátora,
který se s vámi spojí maximálně do 1 pracovního dne a dohodne podrobnosti ohledně Vaší objednávky.

Komentáře (5)

Avatar
Lukáš Picko
12.01.2015 22:05:42
Dnes jsem bohužel otevřel přílohu. Co s tím můžu dělat?
Avatar
Martin Buchta
13.01.2015 07:50:52
Dobrý den,
pokud jste soubor s příponou .src spustil, proveďte kontrolu počítače v Nouzovém režimu prostřednictvím nástroje ESET Online Scanner.
Avatar
Dusan Mankos
13.01.2015 10:19:38
Dnes jsem prilohu otevrel ale zadne varovani nebo omezeni ze strany ESETu neprislo.
S T ndpoint AntivirusT Version 5 0 2237 0
The next generation of NOD32 technology
Copyright 1992 2014 ESET, spol s r 0 All rights reserved
Installed components:
Virus signature database: 11004 20150113
Rapid Response module: 5345 20150113
Update module: 1055 20141118
Antivirus and antispyware scanner module: 1447 20141215
Advanced heuristics module: 1153 20140915
Archive support module: 1216 20141127
Cleaner module: 1104 20141205

Windows 7 nterprise (32-bit), Version 6 1 7600
Intel R Core TM i5 3350P CPU @ 3 10GHz 3193 MHz , 3072 MB RAM
Avatar
Karel Malý
20.01.2015 19:19:05
Tak jsme taky otevřeli přílohu a vir spustili. Když později byla aktualizace, našel ESET jen jeden exe soubor. Vážně tam není už nic dalšího? Ví se kam to co zapisuje a kopíruje? Registry atd.? U dřívějších verzí (elenooocky atd.) se psalo, co vir dělá a kam se kopíruje. Tady žádné info.
Avatar
Karel Malý
20.01.2015 19:42:33
E-mail obsahoval přílohu - dvakrát zazipovaný archiv se spustitelným soubore scr (jinak přípona pro spořič windows), který, pokud byl spuštěn (kromě zobrazení jistého nesouvisejícího textového dokumentuv rtf), stáhnul (snad až po několika minutách čekání) z internetu další škodlivý kód - bankovní malware Tinba, soubor s názvem spcommon.exe do adresáře "C:\Documents and Settings\User\Application Data\SpeechEngines" a své spuštění si zajistí zápisem do klíče Run v registrech.
Vložit nový komentář

(Upozornění: Komentáře neslouží k řešení požadavků na technickou podporu. Pro kontaktování technické podpory klikněte sem.)

 
Ochrana před roboty 
 
Pro přidání komentáře musíte vyplnit ochranu před roboty.
Kolik je dva krát tři?