Dnes ráno se rozjela vlna SPAMů, která vyzývá uživatele k

IT mag – novinky z IT » Viry » Podvodný email – Výše pohledávky na vašem účtu
Podvodný email – Výše pohledávky na
vašem účtu
Duben 29th, 2014 | Add a Comment
Dnes ráno se rozjela vlna SPAMů, která vyzývá uživatele k zaplacení neexistující
pohledávky. V příloze emailu je archiv *.zip, ve kterém se skrývá spustitelný *.exe
soubor obsahující (překvapivě) virus.
Celý text emailu:
Vážený zákazníku,
Jsme velmi rádi, že jste vyuziváli produktu z naší banky.
Dovolujéme Vás upozornit, že k 25.04.2014 dlužné částky na osobní účet ve vysi
#1600579262260 5482.43 Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do
24.05.2014.
Dobrovolné uhrazeni pohledávky a dodrženi smlouvy #9C9447215281545B2 umožňuje Vám:
1) Dodržet pozitivní úvěrovou historii
2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů.
V případě prodlení uhrady pohledávky 5482.43 Kč v souladu s platnými právními předpisy,
jsme oprávněni zahájit právní sankci na základe pohledávky.
Kopie smlouvy a platební údaje jsou připojeny k tomuto dopisu jako soubor
„smlouva_9C9447215281545B2.zip“
S pozdravem,
Vedoucí odboru vymahani pohledávek
Barbora Augustinová
+420 604 423 633
Útočníci mají k dispozici poměrně velký seznam adres, na které byl tento email zaslán, je
tedy velká pravděpodobnost, že se s ním setkáte. Autoři viru asi doufají, že někdo důvěřivý
peníze na jejich účet opravdu pošle – částka se email od emailu liší, stejně jako číslo
„Vašeho“ účtu.
Konkrétně se jedná o Win32/TrojanDownloader.Tiny.NKK, případně Win32/Tinba.AX
Trojan, kteří stahuje do počítače další malware – Zbot, Win32/Injector.BSCO a další.
Na disku se do adresáře rozbalí dokument:
/Users/%USERNAME%/AppData/Local/Temp/smlouva_11.04.2013signed_B699223420CF4684D.rtf
Ten je ale čistý a slouží jen jako zástěrka. Virus se instaluje do RUN klíče registru a kopíruje
se do AppData:
/Users/%USERNAME%/AppData/Roaming/brothel/ate.exe
HKCU[%USERNAME%]\Software\Microsoft\Windows\CurrentVersion\Run\brothel
[REG_SZ] = C:\\Users\\%USERNAME%\\AppData\\Roaming\\brothel\\ate.exe
Adresa kam notifikuje instalaci a posílá základní informace o PC:
http://picapicachu.com/de/
Uživatelům, kteří tento soubor otevřeli, připomínám, že dokumenty NIKDY nemají příponu
*.ex