terça-feira, 29 de maio de 2012

Análise do Malware - Video erotico que caiu na rede da ex-BBB Renatinha, confira!

Recebi um email que vem circulando na net com o assunto, "Video erotico que caiu na rede da ex-BBB Renatinha, confira!":



Ao clicar no link do suposto vídeo, é efetuado o download do arquivo "Vídeo renatinhaex-bbb.exe"


Utilizando o wireshark, observei as requisições e o endereço de conexão do malware:



O malware baixa arquivos de um servidor remoto e efetuando modificações no registro do host, como podemos ver nas imagens abaixo:

 


Após efetuar o download dos arquivos, o malware cria uma pasta no sistema, onde hospeda estes arquivos e executa modificações no registro:



Após estes procedimentos realizados pelo malware, entrei nas configurações do navegador e verifiquei a alteração do arquivo de proxy:


O que acontece com a modificação do arquivo de proxy, é que, se um usuário tentar acessar alguns dos sites listados no script, ele será direcionado para páginas falsas hospedadas no servidor do proxy malicioso.


Efetuando uma conexão para o endereço web citado no proxy acima, BINGO!, podemos ver na imagem abaixo, diversos endereços de bancos:



Ao acessar uma URL como: "www.itau.com.br", o usuário será redirecionado para um site falso do banco.

Tem sido observado um aumento considerável no número de usuários infectados por este tipo de golpe e hoje um bom número de malwares produzidos no brasil possuem essa característica.

O arquivo foi enviado para análise do site especializado VirusTotal,  tendo um nível de detecção razoável(16/42) pelas ferramentas de antivírus do mercado, sendo reportado como Trojan W32.Banker.







----------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------

3 comentários:

  1. Grande Riva e suas análise, gostei bastante dessa em particular, seria interessante checar o arquivo de hosts?! C:\WINDOWS\system32\drivers\etc\hosts acho que valeria apena conferir um possível envenamento de DNS Spoofing redirecionando para algum Phishing do atacante.

    ResponderExcluir
  2. Este comentário foi removido pelo autor.

    ResponderExcluir
  3. Grande Guilherme, chequei o arquivo hosts e não houve alteração nos seu conteúdo pelo malware, obrigado pela dica e pela passagem no blog, grande abraço!

    ResponderExcluir