Hallmark – Ai primit o felicitare! (Virus)

Hallmark.com este un site care ofera felicitari online ce pot fi trimise prietenilor. Pe acest considerent se bazeaza si cei care trimie e-mail-uri ce pretind a fi din partea acestui site.
Ele au subiectul “Ai primit o felicitare” si provin de la adresa “greetings@hallmark.at”. Observati domeniul, este .at si nu .com.

virus hallmark

Daca aveti curiozitatea de a deschide asa-zisa felicitare, vi se va oferi spre descarcare fisierul hallmark.jpg.exe. Acesta se pare ca este momentan inaccesibil, dar probabil va fi din nou urcat pe server.

Interesant este ca subiectul e-mail-ului este in limba romana, dar continutul in limba engleza. Acest fapt ar trebui sa ridice un prim semn mare de intrebare.
Apoi fisierul descarcat este o tehnica clasica: extensia dubla, pentru pacalirea utilizatorului care crede ca este o poza (prima extensie este .jpg) In mod implicit Windows-ul nu afiseaza extensiile fisierelor si deci extensia reala, care este de tip .exe nu va fi vizibila, iar cel care a descarcat fisierul il va rula si va fi infectat.


Domeniul .at inseamna Austria, dar cel care a inregistrat hallmark.at este din Romania si mai precis Cluj-Napoca, persoana de contact: peart emily (Conform WHOIS).
Voi reveni si cu alte detalii pe masura ce le aflu.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

10 responses to “Hallmark – Ai primit o felicitare! (Virus)”

  1. Iulian

    legat de extensia “.jpg” aceasta nu este doar de ochii lumii?
    Adica “hallmark.jpg” e numele iar “.exe” este extensia reala?

    Acest tip de virus din cate stiu este foarte respnadit pe oDc si Dc++ .

  2. Raducorleone

    @Iulian : pe oDC si DC++ sunt multe fisiere (virusi/troieni ) cu dubla extensie…cea mai raspandita dubla extensie pe care am intalnit-o pe huburi este.mp3.exe 🙂

  3. IceMoon Black

    E adevarat…dar extensia reala este cea din urma, in cazul de mai sus, este EXE, deci EXEcutabil…deci…

  4. Alex

    Am primit un mail asemanator, dar din cate stiu eu nu l am accesat tocamai pentru ca am vazut extensia si pentru ca nu am nici o treaba cu site ul respectiv. Problema este urmatoarea, mi a intrat pe site, banuiesc ca prin ftp , am scanat pc ul, am sters fisierul respectiv de pe site, am schimbat parola la ftp , si astazi m am trezit iar cu el pe site… dupa ce am primit inca un mail de gemul

    “hey what kind of file is hxtp://siteulmeu.com/love-card.gif.exe

    was just wondering”

    Cum pot scapa de el?

  5. Alex

    Problema este ca pe bancuriok.com nu este ci a intrat pe totulok.com , acum l am sters … dar asa am facut si data trecuta si nu stiu cum reapare, ideea este ca de fecare data cand primesc un mail de “avertizare” de genul; celui de mai sus cand intru pe site in loctia zisa de ei, acolo este virusul, de obicei in “radacina” ! Mentionez ca niciodata nu accesez linkurile primite pe mail ca cel de mai sus !

    Folosesc Malwarebytes’ Anti-Malware impreuna cu Avast 4.6 si credeam ca fac o echipa buna,si nu am mai avut prbl pana acum,dar … 😐

  6. Alex

    Adresa exacta este :

    hey what kind of file is hxtp://totulok.com/love-card.gif.exe

    was just wondering

    Dar nu mai este acolo deoarece l am sters ! Ms o sa incerc si avast 5 ul 🙂 Sper sa nu mai reapra iar virusul !

    O sa scanez si cu Dr.Web CureIT si revin cu “Raportul”

  7. Alex

    Am scanat cu AVast 5 si nu am gasit nimic, in schimb Dr.Web CureIT (cu el am scanat prima data) mi a gasit asta http://yfrog.com/htvirj l am sters, acum sper sa nu mai fie probleme. Este posibilitatea ca site ul meu sa fie vulnerabil, sa fi intrat cineva pe el prin bruteforce sau alta metoda ?!

Leave a Reply