Email „Nefunkční stránky“ s přílohou screenshot.doc – vyřešeno

Od více lidí, kteří jsou majitelé webových stránek, jsem dostal potvrzení o šíření emailu s předmětem „Nefunkční stránky“, kde text upozorňuje česky na nefunkční stránky s žádostí o pomoc a screenshotem nefunkčního webu v příloze v dokumentu Microsoft Word (většinou jako screenshot.doc). Odesilatelem je email „Eva Dvořáková <eva.dvorakova@mailbox4free.eu>“.

Přestože vše vypadá celkem důvěryhodně nedoporučuji přílohu otevírat protože s největší pravděpodobností obsahuje škodlivý kód zneužívající chybu v aplikaci Microsoft Office Word.

Přílohu jsem již poslal k analýze Microsoft Malware Protection Center. 

Jakmile budu mít další podrobnosti dám vědět.

Obsah emailu:

-----Original Message-----
From: Eva Dvořáková [mailto:eva.dvorakova@mailbox4free.eu]
Sent: Sunday, December 30, 2012 10:17 AM
To: platná emailová adresa
Subject: Nefunkční stránky

Dobrý den,

chtěla jsem se podívat na Vaše stránky http://www.lightninggroup.org, které mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj počítač. Používám Firefox a dříve se mi to nikdy nestalo.
Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na mě ta hláška vyskočila, abyste si mohli udělat představu.

S pozdravem

Eva Dvořáková

Aktualizace 30.12.2012 19:56: Soubor zaslán k analýze společnosti AVG Technologies.

Aktualizace 30.12.2012 23:35: V diskuzi mne jeden čtenář blogu upozornil na vysvětlení od soudního znalce Mgr. Martin Ludma řešení je opravdu jednoduché, nejedná se o vir/mallware, nicméně autor spamu pozná, že adresátova schránka je funkční a bude mu nadělen větší příděl spamu …

E-mail obsahuje jednu přílohu – soubor nazvaný „Screenshot.doc“. Tento soubor je typu HTML, jedná se tedy o internetovou stránku (vytvořenou v programu MS Word). Tato internetová stránka při otevření v internetovém prohlížeči (nebo programu MS Word) způsobí to, že se zašle požadavek na zobrazení obrázku z adresy „http://mailbox4fre­e.eu/img//Scre­enshot.png“.

Pokud příjemce e-mailu uvedenou přílohu otevře, nezaviruje se mu počítač (jak je uváděno v některých diskuzích), ovšem začne mu do e-mail schránky chodit více spamu.

Otevřením přílohy totiž odesílateli e-mailu potvrdíte, že Vaši e-mail schránku aktivně používáte, tudíž Vaši adresu zřejmě zařadí do seznamu, na který budou v budoucnu zasílány nevyžádané zprávy.

Doporučuji tedy přílohu e-mailu raději neotvírat.

9 Responses to “Email „Nefunkční stránky“ s přílohou screenshot.doc – vyřešeno”


  • Hezký den,
    dnes mi přišel stejný email. Stránky mám funkční. Zde ukázka emailu:

    Eva Dvořáková (eva.dvorakova@mailbox4free.eu)

    Nefunkční stránky

    Dnes 30. 12. 2012, 11:42:55

    Komu: standa.korejtko@seznam.cz
    g
    Dobrý den,

    chtěla jsem se podívat na Vaše stránky http://www.stanislavkorejtko.cz, které mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj počítač. Používám Firefox a dříve se mi to nikdy nestalo.
    Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na mě ta hláška vyskočila, abyste si mohli udělat představu.

    S pozdravem

    Eva Dvořáková
    Přílohy
    wScreenshot.doc (22 kB)Zobrazit | Stáhnout

  • <!--texy-->dostal jsem přesně stejný email. Zkusil paní Dvořákové odpovědět and answer was ----- The following addresses had permanent fatal errors -----

  • <!--texy-->Ahoj Michale,
    tak si představ, že já, já to otevřel. Přišlo mi to na oba moje e-shopy a i když jsem to nejdříve ručně zkontroloval ESETem (Smart Security), otevřel jsem to. Bez ESETu bych si netroufl, ale mohl jsem to otevřít na iPadu, to mě nenapadlo. Každopádně to vypadá, že to nic nepáchá. Vypadá to na sběrače aktivních adres, ale třeba na WEBtrhu už řeší, že pána majitele domény napráskají na Google za obtěžování. (má u domény mail na Google).

    • Čau Martine, já taky ale já mám Office 2013 takže se otevírá v Protected view kdy se mi nic nemůže snad stát :) navíc když se Word snažil někam pořád připojovat tak jsem si uvědomil co dělám a stornoval jsem akci otevření dokumentu :) Lidem s Word 2010 ale aplikace spadne takže asi útok byl úspěšný. Jsem zvědavej na výsledek analýzy toho souboru :)

  • Ahoj všem, taky mi to přišlo, bohužel jsem ve své dnešní podnapilosti zkoušel přílohu otevřít. Office 2010 a po velice dlouhém načítání (které mi přišlo podezřelé) se soubor otevřel, tam byl velice tučný text a ikona neexistujícího obrázku. Po tom všem mi došlo, že jsem asi naletěl a použil strýčka googla. Už jsem varoval kolegy (mail šel na obecnou adresu, kterou dostává víc lidí). Mail je opravdu pokus o sociální inženýrství, jen by mě zajímalo, co jsem si pos*** – co v příloze bylo za dáreček. Do banky rozhodně do analýzy obsahu nepolezu.

    • díky, nenapadlo mne se kouknout do souboru, myslel jsem že se jedná o skutečný dokument Wordu :). Škoda jen že autor blogu nemá možnost trvalých linků na konkrétní článek.

  • Postupně mi tyto emaily přeposílají klienti, kterým spravuji stránky. Je to docela nepříjemná a záležitost, někteří jsou z toho trochu vyděšeni…

Leave a Reply