Falešná zpráva s virem

Zdravím, dnes mi přišel e-mail:

Dobrý den,
chtěla jsem se podívat na Vaše stránky http://www.sg-point.info, které mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj počítač. Používám Firefox a dříve se mi to nikdy nestalo.
Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na mě ta hláška vyskočila, abyste si mohli udělat představu.

S pozdravem
Eva Dvořáková

Zkontroloval jsem web přes prohlížeč, napřímo a vše je v normálu. Zaslal jsem odpověď, že děkujeme za info, ale web je ok, ať zkusí zadat adresu napřímo, ale vrátilo se mi to zpět:

"User unknown in local recipient table (in reply to RCPT TO command)"

Součástí první zprávy byl i screenshot, ale v DOC souboru, což bych považovat nejspíš i za vir.

Nesetkal se s tím již někdo?

jj já taky. Ale na webu jsem nic nenašel, tak nevím oco komu jde?

Teď mi přišel taky jeden. Takže rovnou mažu :)

Dekuji za info, ted mi tez prisel stejny email, odpovedet tez neslo. Zjisti nekdo, co je v tom za "vir"?

no já to otvírat nebudu :-D přes mobil (Android) to otevřít nešlo, hlásil chybu, že jde nejspíše o HTML virus.

Ja to prave otevrel na iPhone 5 a nic jsem nezaregistroval, na pocitaci ci macbooku si to tez netroufnu.

To samé mi dnes přišlo.. nejsem klient žádného systému (Shopion,Shoptet, ..), mám Wordpress na vlastní doméně, hostovaný u Wedosu... na mail jsem odpovídal, přišla mi také chybová hláška.. web je v pořádku.. tuší někdo, oč jde ?

Také mi to přišlo. správný mail je eva.dvorakova@gmail.com alespoň takto mi to vyhodnotil thunderbird.
Jde nejspíš o malware podle této stránky http://www.malwaredomainlist.com/mdl.php?sort=IP& kde někde ve spodní části podle jména Eva Dvořáková najdete její údaje.Ip, Od kud to posílá a pod.

Taky mi to došlo, e-shop je čistý, e-mail se vrací s chybou

Taky mi to došlo, známému též. Já jsem dokument bohužel otevřel.

Taky jsem na to skočil a pokusil se ho otevřít, Word při otevírání přestal odpovídat, tak jsem ho ukončil. Nevíte prosím někdo co je v té příloze a jestli jsem si mohl zavirovat počítač? Mám Win7, Eset Smart Security - nikdo nic ani po restartu nehlásil..

Mně to přišlo také a požívám Joomlu. Ale po dlouhé době perfektní vir (pokud to je vir), založený na sociálním inženýrství. Naštěstí jsem četl vlákno, tak jsem to neotevřel, ale jinak bych to asi otevřel.

otevrel jsem to... je tam text a fotka s errorem... jinak mi to nic neudelalo

ale error je nejspíš použitelný na jakýkoliv web ce. Myslím jen screen obsahu, ale ne adresního řádku atd.

je to jen hlaska asi z AVG v EN

Přiložený DOC podle jeho obsahu nevypadá nijak škodlivě. On to vlastně ani není DOC, ale převlečený HTML (rozuměj HTML generované WORDem) kód. Na jeho konci je odkaz na vzdálený screenshot. V mém případě to je "http://mailbox4free.eu/img/58b849a6d9cd80b34419/Screenshot.png". Odkaz ale již není platný.

Obrazek s hláškou není vložený přímo ve Wordu ale je s dokumentem propojený přes odkaz - při otevření dokumentu se obrázek stáhne z netu.

aha. Nu hlavní je, že víme, že jde o hoax :-)

Hmm, vrtá mi hlavou proč se mi při pokusu o otevření ten obrázek nezobrazil a Word přestal odpovídat.. Snad jsem si nic nepoškodil.. Ta moje příloha má 22 kB, je to stejné jako u Vás?

Eshopy na simplia.cz taky obeslali kompletně. Nepodařilo se mi ale vyzkoumat, co mělo být cílem. Ten Word je přinejmenším podivný, ale MS Defender byl v klidu a nevypadá to, že by to něco udělalo.

U mě má přiloha také 22kB. Pokud odkaz na vzdálený PNG už není platný, tak se WORD zasekne, protože se ho stále pokouší neúspěšně stáhnout. Má někdo platný odkaz na ten PNG?

Já mám odkaz: "http://mailbox4free.eu/img/c13325b2a51194e23378/Screenshot.png"
Word se po cca. minutě načte i s obrázkem

Může mě prosím někdo kdo o tom ví víc než já uklidnit, že je to ok a můžu s počítačem dál pracovat?
Mám na něm celé účetnictví atd., normálně jsem extrémně opatrný, ale na tohle jsem skočil a otevřel ;(
(Zkoušel jsem to nejdřív otevřít na telefonu a nešlo to, ale vím že když mi známý posílá doc z Wordu vytořený na notebooku od Applu, tak ho taky na mobilu neotevřu a v pc ano, proto jsem to zkusil na počítači otevřít ;( Díval jsem se na ten doc, a jak už tu psal Brandon78, vypadá to jako XML s okazem na ten obrázek, tak snad jsem měl tentokrát štěstí?
Děkuji za případnou odpověď..

Nejsem specialista, ale hrozba se může ukrývat v odkazovaném PNG, který může obsahovat ve své zTXt části komprimovaný škodlivý kód (pravděpodobně trojský kúň). Vzhledem k tomu, že se mi samotný PNG nepodařilo získat, nemohu říci více.

tak vidim, ze nejsem sam. mail vypada na prvni pohled korektne, ale taky jsem zastrihal usima. priloha vypada ciste (projeto virustotalem). me se kazdopadne prilohu v openoffice otevrit nepodarilo, tak nevim, co si o tom myslet. v html kodu neni zadny javascript...

btw: ma nekdo ten obrazek? nemuzete to dat v archivu nekam ke stazeni na analyzu?

http://mailbox4free.eu/img/b40c68ae4...Screenshot.png

neulozi se to, ta session je asi timeout

pokud to otevřete, tak by Vám žádné nebezpečí hrozit nemělo. Našim klientům (Sun-shop) rovněž přišel stejný email a po prozkoumání přílohy jsme zjistitli, že obsahuje obrázek, který se načítá z externího serveru. Pokud tedy obrázek zobrazíte, pravděpodobně jen potvrdíte existenci své emailové adresy a bude Vám chodit větší množství spamu než obvykle.

http://ulozto.cz/xJ7s5y2/screenshot-zip
Odkaz na cely DOC soubor, 12:20 ještě funkční....

Před chvilkou mi to přišlo také. Pravděpodobně se jedná o robota, který tuto zprávu rozesílá. Projel jsem po otevření této zprávy antivirem (Eset) celé PC a snad je to v pořádku, žádná hláška, uvidím později. V každém případě bych neodpovídal na mailovou adresu, stejně neexistuje. Někdo testuje pravděpodobně funkčnost e-mailových schránek. Kdybych byla nějaká změna vyvěsím to sem.