Podvodné e-maily, které v posledních dnech zaplavily schránky nejméně desítek Čechů a po adresátech vyžadují platbu za údajný dluh, zřejmě obsahují zavirované přílohy. V žádném případě je nespouštějte. Obsahují škodlivý software.

Podvodné zprávy, které zaplavily e-mailové schránky nejméně desítek Čechů, obsahují přílohu ve formátu .zip. Ta má podle informací v e-mailu obsahovat smlouvu a platební údaje. Obsahuje však vir, jak odpoledne potvrdily antivirové společnosti.

Ve skutečnosti je totiž v příloze soubor s koncovkou .exe, kterému by se každý rozumný člověk měl vyhnout a neotevírat ho, i když antivirové programy podle serveru Lupa.cz přitestudopoledne (28.4.2014) hlásily, že soubor neobsahuje žádnou hrozbu.

Podle odpoledních informací společnosti ESET je to však s jistotouvirusWin32/TrojanDownloader.Tiny.NKK, případněWin32/Injector.BSCO, který stahuje do počítače další malware. Malware je škodlivý program, který může počítač uživatele špehovat, zpřístupnit útočníkům, a tak podobně.

Přílohou je zazipovaný (přípona .zip) spustitelný .exe soubor, který obsahuje výše zmíněný virus. Pokud někdo omylem soubor spustí, podle ESETu se stane následující:

Do paměti se “naoko” rozbalí dokument: /Users/%USERNAME%/AppData/Local/Temp/smlouva_11.04.2013-signed_B699223420CF4684D.rtf

V tomto souboru však samozřejmě nic není a nákaza se instaluje do registračního klíče:

HKCU[%USERNAME%]SoftwareMicrosoftWindowsCurrentVersionRunbrothel [REG_SZ] = C:Users%USERNAME%AppDataRoamingbrothelate.exe

a do adresáře AppData

/Users/%USERNAME%/AppData/Roaming/brothel/ate.exe

Malware odesílá upozornění o své instalaci na adresu picapicachu.com/de.

Ručně se dá vir odstranit následujícím způsobem podle návoduCSIRT: podívejte se do adresáře Users/Vas_uzivatel/AppData/Roaming/brothel a odtud smažte soubor ate.exe.

Zároveň je v registrech nutné odstranit příslušný klíč ve větvi HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.  Pokud by se to v normálním režimu nepodařilo, restartujte Windows do nouzového režimu.

Podle některýchpříspěvků na Twitteru soubor obsahoval i smlouvu mezi hejtmanem kraje Vysočina a nemocnicí Jihlava.

Po internetu a zejména po sociálních sítích se však už šíří řada nářků z firem, kde neinformovaný pracovník přílohu spustil.

Stáleplatné poučení pro tyto případy zní:Žádná banka v Česku tímto způsobem s klienty nekomunikuje. A proto každý podobný e-mail patří rovnou do koše.

Zdroj:technet.cz

Autor: Roman Všetečka