Naposledy to byla Vánoční pohlednice, nyní jde o podvodné e-maily vydávající se za e-shop „obchody24.cz“. Pokud vám tak dorazilo něco na způsob:

Vážená paní, vážený pane,
děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

Číslo objednávky (variabilní symbol): DD2F1292EC6823C
Datum a čas objednávky: 10.01.15 45:31
Kontaktní údaje:
Barbora Koláčková
+420 608 217 752

Vaše objednávka:
------------------------------
GB 8IPE1000-Pro2W, P4, i865PE Dual DDR, SATA, GLAN,WLAN,1394, bílá:   1 x 3 689,00 Kč =3 689,00 Kč
Doúprava PPL: 70 Kč
------------------------------
Celková cena nákupu vč. DPH: 3 759,00 Kč
Způsob platby: Platba předem – platební karta
Poznámka:  Potvrzení  platby a fakturu najdete v přiloženém souboru (ucet55647AE.zip)
-
Nyní prosím vyčkejte na našeho operátora,
který se s vámi spojí maximálně do 1 pracovního dne a dohodne podrobnosti ohledně Vaší objednávky.

e-mail ignorujte, smažte a rozhodně se vyhněte zavirované příloze (ZIP soubor se spustitelným souborem uvnitř).

Připojuji nějaké ty detaily…

Havěť, označovaná například jako Win32/TrojanDownloader.Elenoocka.A (ESET) se v příloze nachází jako soubor s příponou SCR. Tuto příponou používají spořiče obrazovky, to však nebrání ve spuštění poklepáním myší. Zajímavostí je, že nad SCR souborem jsou dvě vrstvy archivu ZIP. Těžko říci, zda jde o chybu a nebo úmysl. Pokud dojde ke spuštění zmiňovaného souboru, podobně jako u kauzy „Exekuční příkaz„, je zobrazen falešný dokument na odpoutání pozornosti uživatele (tisková zpráva o klamavých praktikách). To hlavní se děje bez vědomí uživatele, do počítače se totiž tiše instaluje bankovní trojan Win32/Tinba, který v kauze „exekuční příkaz“ připravil lidi i na území ČR minimálně o statisíce Kč…

2015-01-12_192249


Komentářů: 45 » for Podvodné e-maily vydávající se za eshop Obchody24.cz
  1. Roman R napsal:

    když už jsem to otevřel co stím jak moc a co ten vir dělá?

    • Petr napsal:

      Lámu si s tím hlavu několik málo hodin. Antiviry ho nenajdou.
      Starší návod mě navedl na podezřelý soubor a tak jsem ho dal do Googlu co to je a ejhle, Byl to ON. Google mě navedl na stránky s přesným popisem. Odkaz dávám k dobru níže org. a přeložený do češtiny.
      Soubor je potřeba vymazat v nouzovém režimu Windows. Jinak smazat nejde. Pak také smazat dvě složky v registru, které si tam vytvořil. Asi to bude chtít někoho zkušeného.

      Ted už mám vše OK.

      přeložené do ČJ:
      http://translate.google.cz/translate?hl=cs&sl=en&u=http://www.virusradar.com/en/Win32_Tinba.BA/description&prev=search

      ORG:
      http://www.virusradar.com/en/Win32_Tinba.BA/description

      Na závěr chci poděkovat těm zúčastněným chytrákům, co jenom kecají a posmívají se. To je vše co umí. Na vaše kecy tady všichni čekali. Skutečně inteligentní tvorové, kteří mají radost z cizího neštěstí. Žádné jiné bytosti na zemi se takto nechovají.

      Jsem rád, že se mohu připojit k těm, kteří alespoň varují, nebo pošlou dál nějakou tu moudrou radu, která někam vede. Pokud víte, kde by uvedený odkaz, mohl napáchat trochu dobra tak ho tam pošlete.

      Nachytat se je snadné, ale jak z toho! Nakonec to od někud přijde.

  2. Helena Marečková napsal:

    Také jsem otevřela přílohu. Můžete mi poradit, co mám udělat?

    • jeerka napsal:

      Buď používejte mozek, nebo přestaňte používat PC ….. (a nebo antivir?) .. každopádně … mě na tuto stránku převedl google.. proč? přišel mi tento velice podezřele vypadající mail. Jelikož jsem si byl vědom že jsem nebyl v nedávné době tak opilý že bych o sobě nevěděl, bylo mi jasné že jsem si sám nic neobjednal …. tak jsem si vygooglil „co jsem si objednal“ a prý nějaký TV tuner… to mě utvrdilo v tom že to je totální kravina … no a pak jsem udělal to co jsem měl udělat dřív…. zkopíroval jsem obsah toho mailu a vyhledal na googlu…. a proto jsem tady a proto narozdíl od tebe nemám virus 😀 … jen mám lehkou zemanovskou virózu, tak pardon za případné překlepy, či otřesný písemný projev 😉 …

      • Lopik napsal:

        jeerka: miluji chytrolíny, jako jste Vy. Představte si sitaci, že máte kolegu, který před 14 dny odešel z firmy a vy máte přesměrován jeho email. Ten kolega zajišťoval mimo jiné i nákup spotřebního materiálu pro tiskárny, HDD apod. Takže skutečně nevíte, co kolega objednal a zboží, uvedené v emailu objednat mohl, resp. by na tom nebylo nic divného. Narozdíl od jiných emailů, tento neobsahoval vyložené gramatické chyby, které by člověka hned trkly. (mimo var. symbolu s textem a nesmyslného času). Věřím tomu, že někdo méně zkušený se skutečně může nechat nachytat a nemusel jste se vyjadřovat jako MACHO, který všude byl a ode všad má klíče.

      • dudi napsal:

        Bože, takové blby jako jsi ty, jeerka, aby pohledal. Ty bys tak mohl dělat u záchranky. Dával bys akorát rady, co jsem neměl udělat, místo abys mi pomohl. Když nemůšeš pomoci, raději mlč, troubo.

        • Jahny napsal:

          souhlas,každej nemá Zemanovský syndrom…..,dostal jsem to samé,naštěstí staré dobré AVG zafungovalo a obsah šel do koše.
          Jeerka mohl klidně napsat: Umřel ti pes,ale můžeš si ho nechat!!!Alespoň by se sem tam někdo zasmál!!!

    • Petr napsal:

      Starší návod mě navedl na podezřelý soubor a tak jsem ho dal do Googlu co to je a ejhle, Byl to ON. Google mě navedl na stránky s přesným popisem. Odkaz dávám k dobru níže org. a přeložený do češtiny.
      Soubor je potřeba vymazat v nouzovém režimu Windows. Jinak smazat nejde. Pak také smazat dvě složky v registru, které si tam vytvořil. Asi to bude chtít někoho zkušeného.

      Ted už mám vše OK.

      přeložené do ČJ:
      http://translate.google.cz/translate?hl=cs&sl=en&u=http://www.virusradar.com/en/Win32_Tinba.BA/description&prev=search

      ORG:
      http://www.virusradar.com/en/Win32_Tinba.BA/description

  3. Dagmar P napsal:

    Dnes jsem dostala 2 podobné e-maily z různých adres, jen jsem „zaplatila fotoaparát Canon + objektivy v ceně přes 35 tis. Kč. Zpočátku mi Eset vir nedetekoval, až asi za 2 hodiny jako Kryptik CVBD.
    Přílohu jsem neotevřela, naštěstí, zip byl podezřelý, který obchod zipuje potvrzení?
    Při kontrole karanteny jsem zjistila, že mi přišel ještě z jiné adresy z obchodu, ten jsem v Outlooku nezaznamena vůbec.

    • jeerka napsal:

      To není možné …. proč jste to platila? 😀 … Hlupáci jako vy mi stále vnucujou myšlenku abych se přidal k těm kriminálníkům a začal si taky trochu přivydělávat …. vždyť to jde samo … stačí napsat mail … klidně plný překlepů a chyb… nikdo si toho ani nevšimne …. emailové adresy si z prstu nevycucám ale z internetu určitě …. 😀 .. teď jen zjistit jak si ty prachy z toho konta beze stop poslat k sobě do kapsy 😀 … protože až takhle ojebu 3 miliony debilů tak se to začne řešit 😀

      • Rbiker napsal:

        Jeerka,
        normálně nereaguji, ale teď vážně musím.

        Přečti si znovu, co napsala Dagmar P… stálo by to za omluvu. Evidetně nic neplatila…

        Hlupák jsi ty…

        • Jahny napsal:

          Rbiker….palec nahoru!!!Je to fakt divný člověk,ale prý trpí nějakým syndromem,či co….už jsi někdy viděl,aby se pablb někomu omlouval?!?
          Tito rádoby lidé umějí jen poučovat a přitom se sami se sebou neshodnou na barvě lejna!!!

  4. TomT napsal:

    Jiná verze mailu:
    Vážená paní, vážený pane,
    děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
    Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

    Číslo objednávky (variabilní symbol): XE1101239853997
    Datum a čas objednávky: 11.01.15 58:03
    Kontaktní údaje:
    Barbora Šterclová
    +420 608 571 910

    Vaše objednávka:
    ——————————
    HP LaserJet 4200N, bílá: 1 x 43 033,00 Kč =43 033,00 Kč
    Doúprava PPL: 88 Kč
    ——————————
    Celková cena nákupu vč. DPH: 43 121,00 Kč
    Způsob platby: Platba předem – platební karta
    Poznámka: Potvrzení platby a fakturu najdete v přiloženém souboru (statement371B827.zip)

    Nyní prosím vyčkejte na našeho operátora,
    který se s vámi spojí maximálně do 1 pracovního dne a dohodne podrobnosti ohledně Vaší objednávky.

    Příloha:statement371B827.zip

  5. Dabel napsal:

    No je toho plno od rana nedelam skoro nic jineho nez vysvetluji lidem ze nemaji nic otvirat a nebo si to precist co to vubec je 🙂

  6. tuvok07 napsal:

    Všem, co to otevřeli, doporučuji udělat si téma na fóru 🙂 Jistě vám rádi pomohou.
    Už to, že jsou ve variabilním symbolu písmena, by mělo být podezřelé. Ale holt někteří lidé si nedají říct a stejně otevřou a kliknou….

  7. Roman R napsal:

    Stále ale nevím co mám teď udělat abych eliminoval hrozby
    Bohužel se sešlo několik věcí dohromady Manželka objednávala nějaké věci do práce
    shodou okolností i druh zboží souhlasil proto jsem otevřel a co tedy teď?

  8. tuvok07 napsal:

    Jak jsem už napsal, vytvořte si téma na fóru a oni vám poradí

  9. Josef Domanský napsal:

    Předmět: Celková částka k úhradě 4183 Kč
    Odesílatel: Blanka Hofmanová [přidat do kontaktů] 12. ledna 2015 08:34 – před 10 hod.
    Přílohy: invoice659E605.zip 28kB
    vytisknout uložit email zobrazit hlavičku

    Vážená paní, vážený pane,
    děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
    Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

    Číslo objednávky (variabilní symbol): QBAA2882A340546
    Datum a čas objednávky: 11.01.15 33:24
    Kontaktní údaje:
    Aleš Jakůbek
    +420 606 278 182

    Vaše objednávka:
    ——————————
    GigaByte GF FX5700, 256 MB DDR, DVI-I, TV, Twin, bílá: 1 x 4 095,00 Kč =4 095,00 Kč
    Doúprava PPL: 88 Kč
    ——————————
    Celková cena nákupu vč. DPH: 4 183,00 Kč
    Způsob platby: Platba předem – platební karta
    Poznámka: Potvrzení platby a fakturu najdete v přiloženém souboru (invoice659E605.zip)

    Nyní prosím vyčkejte na našeho operátora,
    který se s vámi spojí maximálně do 1 pracovního dne a dohodne podrobnosti ohledně Vaší objednávky.

    stáhnout všechny přílohy

    invoice659E605.zip 28 kB
    Zobrazit – Stáhnout

  10. V zazipovaném archivu v příloze e-mailu se nachází, scr soubor o velikosti 71.168 bajtů s ikonou Kč. Po kliknutí se otevře WinWord a v něm se zobrazí soubor stejného názvu jen s příponou rtf o velikosti 14.648 bajtů. Malware opět až několik minut čeká, než se pokusí z internetu stáhnout bankovní malware Tinba. Ten pak odchytává přihlašovací údaje do internetového bankovnictví a injektuje do stránek vlastní formulář vybízející klienta k instalaci aplikace pro Android, která odchytává SMS.

  11. Willibald napsal:

    Pokud se mi povedlo kliknout na ZIP, ale okno s WinWordem se neotevřelo – spustila se instalace trojanu?
    AVG žádnou hrozbu nenašlo…

    Pokud se nainstaloval, který nástroj ho dokáže odstranit?

  12. David napsal:

    Já si ten Archiv rozbalil v OS X. Mám se taky obávat ? Obsah archivu jsem si prověřil antivirem Avast a ten nic nenašel. Ani v tom .scr souboru. Tak na co ty antiviry teda jsou ? Když takovou hrozbu nezachytí ?

  13. Willibald napsal:

    Tak už jsem toho koně chytil 😉
    Našel jsem si ten staženej ZIP soubor a projel ho AVG – a Trojan je pryč – doufám, že úplně 🙂

  14. foukací napsal:

    Když jsem soubor otevřel v mobilu, hrozí něco?

    • David napsal:

      Já myslím že nehrozí, stejně jako v mém případě. Ten vir je napsaný pro windows. Jde o to, jestli v tom archivu nebylo třeba ještě něco. ? Proč byl 2x ziplý ? Nevím…

      • Je to 2x zazipovaný, neboť útočník se domnívá, že tím obelstí nekterá řešení nasazená ve firmách, která kontrolují obsah archivu a pokud je tam exe, tak přílohu smažou nebo přesunou do karantény.

  15. Anička napsal:

    Když byla příloha stažena a ze stažených smazána? Hrozí také nebezpečí?? Přílohu jsem NEOTEVŘELA. Děkuji za radu.

    • Rampa napsal:

      Dobrý den,
      pokud jste to neotevřela a rovnou smazala, tak se nic nestalo. Pokud jste přílohu otevřela, nainstaloval se vám do počítače vir – Luhe Fiha – tj. malware nové generace, který nainstaluje další vir pro odchytávání přihlašovacích údajů do internetového bankovnictví. Pokud k tomu došlo, tak je to v pr.. a bude nutné smazat všechna data a přeinstalovat počítač.

      • Anička napsal:

        Diky za odpověď. Přílohu jsem neotevřela, protože jsem ji stáhla omylem. Spíš mi šlo o to, jestli se to nemohlo rozbalit samo. Bylo mi řečeno, že i takové viry jsou. Celý pc jsem projela antivirem a ve složce AppData jsem zkoušela vyhledávat nějaké podivnosti, ale nic jsem nenašla. Nejsem však odborník.

  16. Marek napsal:

    Tak mě dnes taky:

    Vážená paní, vážený pane,
    děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
    Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.

    Číslo objednávky (variabilní symbol): AA3F6271381375D
    Datum a čas objednávky: 10.01.15 52:39
    Kontaktní údaje:
    Alena Malinovská
    +420 603 489 192
    atd………………..

    Výpis z hlavičky z právy:
    Received: from unknown (HELO mail.harrisandruble.com) (198.2.55.86)
    Message-ID:
    Date: Mon, 12 Jan 2015 00:53:29 -0800
    From: „Antonin Klanica“
    X-Mailer: Wins v5.9

    Vlastník domény odesílatele (možná podstrčený), odkud přišel tento email, je podle whois:
    Monster Worldwide CZ s.r.o. , Bedřich Vylít, Rohanské nábřeží 670/19 ,Praha 8

    Server, odkud přišel email je:
    PERFECT PRIVACY, LLC 12808 Gran Bay Parkway West, Jacksonville, State/Province: FL, Postal Code: 32258, Country: US

    Avast virus už zná, řve už při pokusu o vybalení z archivu.
    Pokud si někdo tento virus už spustí (vybalením z archivu se ještě nic neděje), nikdy pak neinstalujte nějaké nabízené aplikace na mobil, to platí všeobecně.
    NIKDY nepotřebujete pro internetové bankovnictví ještě nějakou aplikaci na mobilu. Pro ověření přístupu do bankovnictví můžete používat i „blbý“ telefon, které žádné aplikace neumí.
    PC pak pochopitelně řádně odvirujte.

  17. Marek napsal:

    Ještě dodatek, pokud jste vir už spustili:

    Po odvirování PC si změňte přístupové heslo, nejlépe i certifikát, pokud jste po napadení vstoupili do bankovnictví. Musíte předpokládat, že tohle už útočník stačil ukrást.

  18. Radek napsal:

    chtěl bych se zeptat ,jestli jde vir v počítači vyhledat nějakým programem třeba eset online scanner? Děkuji za odpověď

  19. Lenka napsal:

    Nevíte prosím někdo, zda to něco udělá v linuxu (lubuntu)?
    Děda iniciativně proklikal co šlo…
    Mám to řešit?
    Díky za odpověď.

    • Aleš napsal:

      Ne – nic se nestane. Všechny tyhle trojany jsou pro windows. Proto mají v názvu Win32. Windowsový program v Linuxu nespustíte i kdybyste k tomu měl práva.

      Ne že by pro Linux nic malwarózního nebylo, ale většinou se to zaměřuje jiným směrem, než na krádež uživatelských údajů.

      Opatrnost je ale na místě vždy. Uživatel, který jednou nerozpozná falešný email, se může příště přihlásit do falešného formuláře na falešných stránkách banky. Nelze se tomu tak úplně divit, podvodníci vědí jak působit a zlepšují se.

      • Marek Slemenský napsal:

        To není pravda. Pokud jsi takto odpověděl, tak pravděpodobně se nevyznáš v linuxech.. Pokud chceš, tak si o linuxech přečti zde: wiki.ubuntu.cz .

        Windowsové programy se v linuxu dají spustit pomocí programu Wine. Ale pokud jde o Win32 viry, tak se sice dokáží přes Wine spustit, ale žádnou škodu by neměli napáchat. Ale to nemám vyzkoušené, protože jsem nikdy žádnou takovou zprávu nedostal.

        S pozdravem, Marek.

        P.S.:Pokud jsem něco zapomněl doplnit,tak se omlouvám.

  20. franta napsal:

    Já jsem si nic neobědnal a ukázala se mi tu tahleta zpráva

  21. karel napsal:

    Dobry den měl bych jeden dota.Měl sem plny počitač spyware a podobnych sracek spoustu sem toho vymazal ale mam myslim že tam ještě něco szbylo co anti programy nenašli myslite že to zvladnou kompletně vyčistit v každe opravně pc ktera dělam software service?děkuji za odpovědi

    • adam napsal:

      v opravně určitě najdou všechny viry ale musíte za to zaplatit. já osobně doporučuji si stáhnout zkušební verzi nějakého anti-malwaru. z vlastní zkušenosti můžu říci že když mě avast hlásil že mám pc v pořádku program malware bytes mi našel cca 300 errorů. pokud by ale něco bylo stále v nepořádku tak doporučuji tu opravnu.

  22. Iuri napsal:

    The next time I read a weblog, I hope that it donest disappoint me as much as this one. I mean, I do know it was my choice to read, however I actually thought youd have something interesting to say. All I hear is a bunch of whining about one thing that you could possibly fix in the event you werent too busy looking for attention.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*