Co tím kdo sleduje? http://www.seznann.eu/997c0a13e67f23d4/fotka.jpg

Nekdo si zrejme zacal v CR budovat novy botnet.

Pokud jste klikli, doporucuju ihned ve firewallu zakazat komunikaci s IP 199.191.56.239 (to je momentalne DNS zaznam pro www.seznann.eu). Maji tam otevrene porty 80 pro http, odkud si stahnete "obrazek" (tedy malware, priponou se nenechte zmast, ani tim, ze se vam nic neotevre), a 22 pro ssh, odkud si uz ten malware stahne vse dalsi potrebne a udela z vas zombika.

Pokud jste klikli a firewall nemate, sledujte v pristich dnech, jestli se vas pocitac nezacal chovat nejak "divne" (zpomaleni, padani programu, blikajici ethernet ci wifi, i kdyz nikde nebrouzdate, ...). Doporucuju si take precist likvidace-haveti a prevence-pred-utokem a pouzit aspon Virus Removal Tool free-products.html

...odkud si stahnete "obrazek" (tedy malware, priponou se nenechte zmast,...

Ak je tam odkaz na .jpg tak sa to zrejme prehliadac pokusi zobrazit ako obrazok.
Teoreticky moze byt obrazok 'prisposobeny', aby vyuzil nejaku znamu a este nezaplatanu chybu s pretecenim buferu a pod.

Alebo mi nieco unika? Ako sa moze namiesto obrazku stiahnut malware?

Přesně tak, může to být infekce tzv. drive-by, záleží co používáte za prohlížeč a jaké bezpečnostní díry obsahuje. V 99% případů se nás to ale netýká, protože všichni máme aktualizovaný OS i aplikace, že. Počkat, většina nemá... :P

Na můj speciální "všudeznámý" mail nic nepřišlo. Cítím se ošizen.

Me prisla jenom farmarka Petruska:

Farmarka Petruska
Pojď si se mnou hrát

Spam filtr od Seznamu tradicne selhal.

Také příšel na firemní email. Fotografie si na webu fotím a v obavě, že někdo zneužil moje fotografie jsem kliknul. Tohle je zatím takový první email, na který jsem kliknul. Vydařený SPAM nebo virus, nevím.
Poraďte jak se bránit nebo co dělat.

Neklikat, ja vim nekdy je to lakave, ja takhle kliknul na "dulezitou zpravu od jednoho znameho" z badoo.com a uz me spamer z badoo mel a zacalo mi chodit tisice pozvanek na tento rusacky fakabook. Nastesti na tohle nebyl problem nastavit spam filtr,takze at si do spamu vesele chodej, je mi to jedno.

jj jenže klikl co teď :(((((

Tak já na ten *jpg klikl. Ale ne z mailu (nic mi nedošlo), nýbrž z odkazu tady. Nestalo se nic, nic se nenačetlo. Spambot (pokud už není nefunkční) nenašel e-mailovou adresu, tak asi zůstal zmaten.

Pro klid duše jsem v hosts nastavil

127.0.0.1 www.seznann.eu

a ve firewallu (AVG) dal 199.191.56.239 na blacklist

Pro ještě větší klid duše jsem chtěl nahodit včerejší bod obnovy, žádná změna nebyla od včerejška zaznamenána, tak se neprovedl.

Mě to přišlo taky. Obvykle tyto odkazy s nějakým takovým šíleným tvarem "997c0a13e67f23d4" slouží k ověření aktivní mailové adresy majitelem botnetu, za účelem dalších nekalých rejů - například pozdější štědré dvávce cílených SPAMů. Zdá se, že tento odkaz už je nefunkční a rozesílají to dávno zavirované počítače nic netušících občanů. Dávat to do hosts a do firewallu je zbytečné, žádný útok odtamtud nepřijde.

Nepripada mi, ze by adresa www.seznann.eu byla nefunkcni:

# nmap www.seznann.eu

Starting Nmap 4.11 ( nmap ) at 2013-03-28 14:06 CET
Interesting ports on 199.191.56.239:
Not shown: 1678 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 26.194 seconds

Otevreny ssh port je docela zneklidnujici. Jim si muze maly backdoor, nainstalovany po kliknuti (zadny obrazek se otevrit nemusi), dotahnout uz mnohem vetsi malware. Nepodcenoval bych to.

Zůstávám v pohotovosti.

Mezitím jsem dal z nouzáku scan Superantispywarem, bez nálezu. CodeStuff Starter také neukazuje na nějakou mimořádnost.

Mám léta Linux, napadení mi z podvodného jpg nehrozí . Doména funkční je, nikoliv však ten divoký odkaz. Je jasné, že jpg nemusí být jpgem ale třeba něco spouštěcího. Blbé Widle všechno pustí a ještě často neukážaou ani správnou (poslední) příponu. Linux by nedovolil nic nainstalovat za zadama, aniž by hlasitě neprotestoval, Též přípony jsou Linuxu lhostejné, čumí do skutečného obsahu souboru. A protože doména je podobná skutečnému Seznamu, je samozřejmě opatrnost na místě a lézt by tam neměl každý, jen kdo ví, co ho tam může čekat. Ale jak říkám, spíš to bude sloužit k ověřování e-mailových adres než rozesílání parchantů. I když možné je všechno.

PS: Když má otevřené SSH, můžeme mu to dobře hacknout!

Je jasné, že jpg nemusí být jpgem ale třeba něco spouštěcího.

s láskou vzpomínám na loňskou návštěvu confickeru, to jsem si rochnil. šířil se na nezáplatované pc protokolem http, funkční vir byl downloadován výhradně jako *.bmp, *.gif, *.jpg, *.png

původní tazatel:

Na konci je přípona .jpg, takže by to nemělo být nebezpečné

hehe :)
ona ta nebezpečnost stránky časem vyprší - sám jsem si dělal výpisy z cache pro určení zdroje nákazy, profláklý zdroj je časem odstraněn.

Zdravím, naštěstí jsem si nekliknul. Jsem jen nezkušenej uživatel PC, ale to neuměj lidi z Národního bezpečnostního týmu CSIRT,
když už varujou taky vyzkoušet co to vlastně při kliknutí na odkaz udělá. A napsat jasně ano je to červ nebo to sbírá aktivní maily.
Možná to vidím jako Hurvínek válku,ale přece musej vidět všichni ti co se tim živěj co ten odkaz vlastně dělá.
Tak držim palce těm co si klikly ať je to jen nějaká ptákovina. zdar Pepa

CSIRT bych do tohohle vůbec netahal, nebo chcete pročítat denně 1000 podobných prohlášení? není to nic neobvyklého, běžný soc. inženýrství, i když v českém znění. A jak říkám vždycky: toto je základní používání PC, které by měli znát i děti ve školce, takže pokud jste klikli na ten odkaz, tak prosím prodejte své PC a pořiďte si místo toho psací stroj a starou televizi.

ale to neuměj lidi z Národního bezpečnostního týmu CSIRT

Tak si docela pobavil. CSIRT je jen dalsi urad, tomu je uplne jedno, jestli kliknes na nejakej jako jpeg nebo na cokoli jinyho.

CSIRT to údajně analyzoval
http://www.novinky.cz/internet-a-pc/297493-pocitac ovi-podvodnici-maji-novy-trik-jak-napalit-uzivatel e.html

No ti toho zjistili, to bychom bez nich nevěděli . Bohužel nemám čas to zkoumat, je evidentní, že tam je nějaký skript co se provede a pak to hodí na speciální (jinou než "normální") chybu 404. Ta totiž obsahuje kód:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>404 Not Found</h1>
<p>File or directory not found.</p>
</body></html>

Na rozdíl od té "normální" chybové:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /xxxx.xxx was not found on this server.</p>
</body></html>

Na bližší zkoumání bohužel nemám zrovna čas .

Na konci je přípona .jpg, takže by to nemělo být nebezpečné, ale

a to říkal kdo? Takovaj adesář pojmenovanej .jpg a automatické přesměrování serveru na index.html s active x, flashem a javu a buhvíčím..