Análise do Malware - Video erotico que caiu na rede da ex-BBB Renatinha, confira!

Recebi um email que vem circulando na net com o assunto, "Video erotico que caiu na rede da ex-BBB Renatinha, confira!":

Ao clicar no link do suposto vídeo, é efetuado o download do arquivo "Vídeo renatinhaex-bbb.exe"

Utilizando o wireshark, observei as requisições e o endereço de conexão do malware:

O malware baixa arquivos de um servidor remoto e efetuando modificações no registro do host, como podemos ver nas imagens abaixo:

 

Após efetuar o download dos arquivos, o malware cria uma pasta no sistema, onde hospeda estes arquivos e executa modificações no registro:

Após estes procedimentos realizados pelo malware, entrei nas configurações do navegador e verifiquei a alteração do arquivo de proxy:

O que acontece com a modificação do arquivo de proxy, é que, se um usuário tentar acessar alguns dos sites listados no script, ele será direcionado para páginas falsas hospedadas no servidor do proxy malicioso.


Efetuando uma conexão para o endereço web citado no proxy acima, BINGO!, podemos ver na imagem abaixo, diversos endereços de bancos:

Ao acessar uma URL como: "www.itau.com.br", o usuário será redirecionado para um site falso do banco.

Tem sido observado um aumento considerável no número de usuários infectados por este tipo de golpe e hoje um bom número de malwares produzidos no brasil possuem essa característica.

O arquivo foi enviado para análise do site especializado VirusTotal,  tendo um nível de detecção razoável(16/42) pelas ferramentas de antivírus do mercado, sendo reportado como Trojan W32.Banker.

----------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------------------------------------