Email „Nefunkční stránky“ s přílohou screenshot.doc – vyřešeno

Od více lidí, kteří jsou majitelé webových stránek, jsem dostal
potvrzení o šíření emailu s předmětem „Nefunkční stránky“, kde
text upozorňuje česky na nefunkční stránky s žádostí o pomoc a
screenshotem nefunkčního webu v příloze v dokumentu Microsoft Word
(většinou jako screenshot.doc). Odesilatelem je email „Eva Dvořáková
<eva.dvorakova@mailbox4free.eu>“.

Přestože vše vypadá celkem důvěryhodně nedoporučuji přílohu
otevírat protože s největší pravděpodobností obsahuje škodlivý kód
zneužívající chybu v aplikaci Microsoft Office Word.

Přílohu jsem již poslal k analýze Microsoft Malware Protection
Center. 

Jakmile budu mít další podrobnosti dám vědět.

Obsah emailu:

—–Original Message—–
From: Eva Dvořáková [mailto:eva.dvo­rakova@mailbox4fre­e.eu]
Sent: Sunday, December 30, 2012 10:17 AM
To: platná emailová adresa
Subject: Nefunkční stránky

Dobrý den,

chtěla jsem se podívat na Vaše stránky http://www.lightninggroup.org, které
mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj
počítač. Používám Firefox a dříve se mi to nikdy nestalo.
Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na
mě ta hláška vyskočila, abyste si mohli udělat představu.

S pozdravem

Eva Dvořáková

Aktualizace 30.12.2012 19:56: Soubor zaslán
k analýze společnosti AVG Technologies.

Aktualizace 30.12.2012 23:35: V diskuzi mne jeden
čtenář blogu upozornil na vysvětlení od soudního znalce Mgr. Martin Ludma
řešení je opravdu jednoduché, nejedná se o vir/mallware, nicméně autor
spamu pozná, že adresátova schránka je funkční a bude mu nadělen větší
příděl spamu …

E-mail obsahuje jednu přílohu – soubor nazvaný „Screenshot.doc“.
Tento soubor je typu HTML, jedná se tedy o internetovou stránku (vytvořenou
v programu MS Word). Tato internetová stránka při otevření
v internetovém prohlížeči (nebo programu MS Word) způsobí to, že se
zašle požadavek na zobrazení obrázku z adresy
„http://mailbox4fre­e.eu/img//Scre­enshot.png“.

Pokud příjemce e-mailu uvedenou přílohu otevře, nezaviruje se mu
počítač (jak je uváděno v některých diskuzích), ovšem začne mu do
e-mail schránky chodit více spamu.

Otevřením přílohy totiž odesílateli e-mailu potvrdíte, že Vaši
e-mail schránku aktivně používáte, tudíž Vaši adresu zřejmě zařadí
do seznamu, na který budou v budoucnu zasílány nevyžádané zprávy.

Doporučuji tedy přílohu e-mailu raději neotvírat.

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting

9 komentářů: „Email „Nefunkční stránky“ s přílohou screenshot.doc – vyřešeno

  • 31. 12. 2012 (07:36)
    Trvalý odkaz

    Postupně mi tyto emaily přeposílají klienti, kterým spravuji stránky. Je to docela nepříjemná a záležitost, někteří jsou z toho trochu vyděšeni…

    • 30. 12. 2012 (23:31)
      Trvalý odkaz

      díky, nenapadlo mne se kouknout do souboru, myslel jsem že se jedná o skutečný dokument Wordu :). Škoda jen že autor blogu nemá možnost trvalých linků na konkrétní článek.

  • 30. 12. 2012 (21:46)
    Trvalý odkaz

    Ahoj všem, taky mi to přišlo, bohužel jsem ve své dnešní podnapilosti zkoušel přílohu otevřít. Office 2010 a po velice dlouhém načítání (které mi přišlo podezřelé) se soubor otevřel, tam byl velice tučný text a ikona neexistujícího obrázku. Po tom všem mi došlo, že jsem asi naletěl a použil strýčka googla. Už jsem varoval kolegy (mail šel na obecnou adresu, kterou dostává víc lidí). Mail je opravdu pokus o sociální inženýrství, jen by mě zajímalo, co jsem si pos*** – co v příloze bylo za dáreček. Do banky rozhodně do analýzy obsahu nepolezu.

  • 30. 12. 2012 (15:36)
    Trvalý odkaz

    Ahoj Michale,
    tak si představ, že já, já to otevřel. Přišlo mi to na oba moje e-shopy a i když jsem to nejdříve ručně zkontroloval ESETem (Smart Security), otevřel jsem to. Bez ESETu bych si netroufl, ale mohl jsem to otevřít na iPadu, to mě nenapadlo. Každopádně to vypadá, že to nic nepáchá. Vypadá to na sběrače aktivních adres, ale třeba na WEBtrhu už řeší, že pána majitele domény napráskají na Google za obtěžování. (má u domény mail na Google).

    • 30. 12. 2012 (20:01)
      Trvalý odkaz

      Čau Martine, já taky ale já mám Office 2013 takže se otevírá v *Protected view* kdy se mi nic nemůže snad stát 🙂 navíc když se Word snažil někam pořád připojovat tak jsem si uvědomil co dělám a stornoval jsem akci otevření dokumentu 🙂 Lidem s Word 2010 ale aplikace spadne takže asi útok byl úspěšný. Jsem zvědavej na výsledek analýzy toho souboru 🙂

  • 30. 12. 2012 (14:57)
    Trvalý odkaz

    dostal jsem přesně stejný email. Zkusil paní Dvořákové odpovědět and answer was —– The following addresses had permanent fatal errors —–

  • 30. 12. 2012 (14:34)
    Trvalý odkaz

    Hezký den,
    dnes mi přišel stejný email. Stránky mám funkční. Zde ukázka emailu:

    Eva Dvořáková ([email protected])

    Nefunkční stránky

    Dnes 30. 12. 2012, 11:42:55

    Komu: [email protected]
    g
    Dobrý den,

    chtěla jsem se podívat na Vaše stránky http://www.stanislavkorejtko.cz, které mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj počítač. Používám Firefox a dříve se mi to nikdy nestalo.
    Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na mě ta hláška vyskočila, abyste si mohli udělat představu.

    S pozdravem

    Eva Dvořáková
    Přílohy
    wScreenshot.doc (22 kB)Zobrazit | Stáhnout

Komentáře nejsou povoleny.