Recebi um email que vem circulando na net com o assunto, "Video erotico que caiu na rede da ex-BBB Renatinha, confira!":
Utilizando o wireshark, observei as requisições e o endereço de conexão do malware:
O malware baixa arquivos de um servidor remoto e efetuando modificações no registro do host, como podemos ver nas imagens abaixo:
O malware baixa arquivos de um servidor remoto e efetuando modificações no registro do host, como podemos ver nas imagens abaixo:
Após efetuar o download dos arquivos, o malware cria uma pasta no sistema, onde hospeda estes arquivos e executa modificações no registro:
Após estes procedimentos realizados pelo malware, entrei nas configurações do navegador e verifiquei a alteração do arquivo de proxy:
O que acontece com a modificação do arquivo de proxy, é que, se um usuário tentar acessar alguns dos sites listados no script, ele será direcionado para páginas falsas hospedadas no servidor do proxy malicioso.
Efetuando uma conexão para o endereço web citado no proxy acima, BINGO!, podemos ver na imagem abaixo, diversos endereços de bancos:
Ao acessar uma URL como: "www.itau.com.br", o usuário será redirecionado para um site falso do banco.
Tem sido observado um aumento considerável no número de usuários infectados por este tipo de golpe e hoje um bom número de malwares produzidos no brasil possuem essa característica.
O arquivo foi enviado para análise do site especializado VirusTotal, tendo um nível de detecção razoável(16/42) pelas ferramentas de antivírus do mercado, sendo reportado como Trojan W32.Banker.
----------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------
Grande Riva e suas análise, gostei bastante dessa em particular, seria interessante checar o arquivo de hosts?! C:\WINDOWS\system32\drivers\etc\hosts acho que valeria apena conferir um possível envenamento de DNS Spoofing redirecionando para algum Phishing do atacante.
ResponderExcluirEste comentário foi removido pelo autor.
ResponderExcluirGrande Guilherme, chequei o arquivo hosts e não houve alteração nos seu conteúdo pelo malware, obrigado pela dica e pela passagem no blog, grande abraço!
ResponderExcluir