Podvodné zprávy, které zaplavily e-mailové schránky nejméně desítek Čechů, obsahují přílohu ve formátu .zip. Ta má podle informací v e-mailu obsahovat smlouvu a platební údaje. Obsahuje však vir, jak odpoledne potvrdily antivirové společnosti.
Českem se šíří podvodné e-maily. Řeší je už policie |
Ve skutečnosti je totiž v příloze soubor s koncovkou .exe, kterému by se každý rozumný člověk měl vyhnout a neotevírat ho, i když antivirové programy podle serveru Lupa.cz při testu dopoledne (28.4.2014) hlásily, že soubor neobsahuje žádnou hrozbu.
Podle odpoledních informací společnosti ESET je to však s jistotou virus Win32/TrojanDownloader.Tiny.NKK, případně Win32/Injector.BSCO, který stahuje do počítače další malware. Malware je škodlivý program, který může počítač uživatele špehovat, zpřístupnit útočníkům, a tak podobně.
Jak virus najítPokud si nejste jisti, zda je váš počítač nakažen, můžete zkusit on-line službu společnosti ESET, která virus odhalí. |
Přílohou je zazipovaný (přípona .zip) spustitelný .exe soubor, který obsahuje výše zmíněný virus. Pokud někdo omylem soubor spustí, podle ESETu se stane následující:
Do paměti se "naoko" rozbalí dokument: /Users/%USERNAME%/AppData/Local/Temp/smlouva_11.04.2013-signed_B699223420CF4684D.rtf
V tomto souboru však samozřejmě nic není a nákaza se instaluje do registračního klíče:
HKCU[%USERNAME%]\Software\Microsoft\Windows\CurrentVersion\Run\brothel [REG_SZ] = C:\\Users\\%USERNAME%\\AppData\\Roaming\\brothel\\ate.exe
a do adresáře AppData
/Users/%USERNAME%/AppData/Roaming/brothel/ate.exe
Malware odesílá upozornění o své instalaci na adresu picapicachu.com/de.
Ručně se dá vir odstranit následujícím způsobem podle návodu CSIRT: podívejte se do adresáře Users/Vas_uzivatel/AppData/Roaming/brothel a odtud smažte soubor ate.exe.
Zároveň je v registrech nutné odstranit příslušný klíč ve větvi HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. Pokud by se to v normálním režimu nepodařilo, restartujte Windows do nouzového režimu.
Podle některých příspěvků na Twitteru soubor obsahoval i smlouvu mezi hejtmanem kraje Vysočina a nemocnicí Jihlava.
@marekl @ihned_zpravy kolegyně v práci otevřela přílohu a je to smlouva mezi hejtmanem kraje Vysočina a nemocnicí Jihlava.
Po internetu a zejména po sociálních sítích se však už šíří řada nářků z firem, kde neinformovaný pracovník přílohu spustil.
Stále platné poučení pro tyto případy zní: Žádná banka v Česku tímto způsobem s klienty nekomunikuje. A proto každý podobný e-mail patří rovnou do koše.
