tag:blogger.com,1999:blog-69306081907597996702023-11-16T06:18:05.642-08:00Malware DetectedO objetivo do blog é mesclar artigos técnicos com conteúdo dinâmico, tentando demonstrar de uma forma clara as ameaças existentes na web.
Aqui serão abordados assuntos que envolvem análises de incidentes de segurança, softwares e códigos maliciosos.Unknownnoreply@blogger.comBlogger8125tag:blogger.com,1999:blog-6930608190759799670.post-36844844769975258982014-04-15T16:00:00.001-07:002014-04-15T16:00:57.674-07:00Olá, Ingresso.com lhe presenteou para Copa do Mundo 2014!<span id="goog_102266124"></span><a href="https://www.blogger.com/"></a><span id="goog_102266125"></span><br />
<br />
<div style="text-align: justify;">
Não é de hoje que cibercriminosos têm usado o tema “Copa do Mundo” para atrair cada vez mais vítimas, na semana passada analisei um artefato que apresentou algumas características novas e um pouco interessantes.</div>
<br />
<div style="text-align: justify;">
A falsa promoção de ingressos para os jogos da Copa chega por email, ao clicar no <i>link</i> o usuário é direcionado para um domínio <b>xxxxxxx.ec.cx</b>, com um template falso do site <b>ingresso.com</b>:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-mC94ouyiYig/U00inwMLZfI/AAAAAAAAATg/DO22Ge0FZw0/s1600/ingress.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-mC94ouyiYig/U00inwMLZfI/AAAAAAAAATg/DO22Ge0FZw0/s1600/ingress.png" height="232" width="320" /></a></div>
<div style="text-align: justify;">
Ao clicar no link para baixar o termo do contrato, o usuário efetua o download do arquivo <b>'GanhadorCopa2014RequerimentoPadrao.pdf.cpl'</b>, que na realidade é um trojan bancário.</div>
<br />
<b> <span style="font-size: large;">1. Execução:</span></b><br />
<br />
Ao clicar sobre o arquivo, uma tela de erro é exibida informando que o arquivo está corrompido e não pode ser aberto:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-y-C6GbLFHmo/U00mKQ5xHoI/AAAAAAAAATs/VS54Bu3YLAU/s1600/erro.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-y-C6GbLFHmo/U00mKQ5xHoI/AAAAAAAAATs/VS54Bu3YLAU/s1600/erro.png" height="198" width="320" /></a></div>
<br />
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Este recurso é utilizado por fraudadores com o intuito de levar o usuário a acreditar que nada fora do normal está sendo executado na sua máquina, no entanto, verificando o tráfego gerado pelo host infectado, é possível observar diversas requisições efetuadas após a execução do malware. </div>
<br />
<br />
<span style="font-size: large;"><b>2. Características (debug):</b></span><br />
<br />
O malware cria uma pasta no sistema "programdata" e efetua o download de 05 arquivos:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-RUJS9WpjP50/U00s1GBnPII/AAAAAAAAAT8/PNDzTB0Ro5w/s1600/arquivos.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-RUJS9WpjP50/U00s1GBnPII/AAAAAAAAAT8/PNDzTB0Ro5w/s1600/arquivos.png" height="177" width="320" /></a></div>
<br />
<div style="text-align: justify;">
<b>a.) "iustrymon.cpl" - </b>rensponsável por efetuar alterações no registro do sistema operacional, uma destas alterações é o bloqueio de outros navegadores instalados no sistema:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-AraGs2xoSy0/U00uJe7WwII/AAAAAAAAAUE/D8aGZL2WkJ8/s1600/debug.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-AraGs2xoSy0/U00uJe7WwII/AAAAAAAAAUE/D8aGZL2WkJ8/s1600/debug.png" height="102" width="320" /></a></div>
<br />
<div style="text-align: justify;">
A finalidade desta alteração é a de forçar o usuário a utilizar o <b>Internet Explorer</b> para navegação na web, se o usuário tentar abrir outros navegadores como <b>Firefox</b> ou <b>Chrome</b>, uma tela de erro é exibida:</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-fOoIrWl1kfM/U00ugiSrFyI/AAAAAAAAAUM/g6taZyqJQrA/s1600/mozzila.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-fOoIrWl1kfM/U00ugiSrFyI/AAAAAAAAAUM/g6taZyqJQrA/s1600/mozzila.png" height="197" width="320" /></a></div>
<br />
<b>b.) "wlancache.cpl" e "wlanwebeoIE.dll" - </b>são feitos na linguagem delphi e possuem packer de proteção (Fake Ninja v2.0):<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-uwPoevzQa3g/U00xKL36zXI/AAAAAAAAAUY/XzHbxKQRmVQ/s1600/fake.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-m0gDhyaJuwk/U00xcMvbzpI/AAAAAAAAAUg/7FfTOBP8XlY/s1600/fake.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-m0gDhyaJuwk/U00xcMvbzpI/AAAAAAAAAUg/7FfTOBP8XlY/s1600/fake.png" height="172" width="320" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-uwPoevzQa3g/U00xKL36zXI/AAAAAAAAAUY/XzHbxKQRmVQ/s1600/fake.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div>
<br />
<div style="text-align: justify;">
O<b> "</b>wlanwebeoIE.dll", insere um <a href="http://pt.wikipedia.org/wiki/Keylogger">Keylogger</a> no Internet Explorer, os dados digitados pelo usuário são enviados e armazenados no arquivo "wlancache.cpl" , o qual possui uma interface semelhante a um cabeçalho de email::</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-Rts92aveKKo/U002JNZty_I/AAAAAAAAAUs/TscOwWsLvkM/s1600/cript.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-Rts92aveKKo/U002JNZty_I/AAAAAAAAAUs/TscOwWsLvkM/s1600/cript.png" height="275" width="320" /></a></div>
<br />
<br />
<div style="text-align: justify;">
<b>c.)</b> <b>"itype.exe"</b> - O pulo do gato vem agora neste arquivo, o malware utiliza o software <a href="http://www.contextmagic.com/">clickyesspro</a> para alterar as configurações de segurança do Microsoft Outlook. </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-uHdwevbQb_0/U006pcBzw7I/AAAAAAAAAVA/N9_Y3UjQy78/s1600/clicks.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-uHdwevbQb_0/U006pcBzw7I/AAAAAAAAAVA/N9_Y3UjQy78/s1600/clicks.png" height="127" width="320" /></a></div>
<br />
<br />
<br />
<div style="text-align: justify;">
Deste modo além de configurar quais aplicativos podem enviar e-mails automaticamente, sem o consentimento do usuário, ele também tem acesso aos endereços de e-mails armazenados no livro de endereços do Outlook, podendo enviar o trojan para outras vítimas;</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<span style="font-size: large;"><b>3.) Tráfego Web</b>:</span></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
O tráfego gerado pelo trojan é bem sucinto, não chamando muita atenção, das URL's observadas através do wireshark, foi possível observar o endereço de armazenamento dos emails capturados através de outras máquinas infectadas: </div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-IE66e5KakK0/U008eYIQGMI/AAAAAAAAAVU/87SQy1oTybU/s1600/spam.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-IE66e5KakK0/U008eYIQGMI/AAAAAAAAAVU/87SQy1oTybU/s1600/spam.png" height="320" width="304" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-8NUcH5XbKAE/U007NtFJ5eI/AAAAAAAAAVI/Ant3vkZFR3o/s1600/spam.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div>
E o contador de infects, no qual o fraudador tem o controle de quantas máquinas foram infectadas pelo referido trojan, nele podemos observar a data da infecção, o nome da máquina, o sistema operacional e a versão do navegador (IE):<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-3V4eb2W390A/U009yGE30aI/AAAAAAAAAVk/GxmWGG4dR6A/s1600/count.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-3V4eb2W390A/U009yGE30aI/AAAAAAAAAVk/GxmWGG4dR6A/s1600/count.png" height="241" width="320" /></a></div>
<br />
Para finalizar, temos o <a href="http://en.wikipedia.org/wiki/Keepalive">Keepalive</a> do trojan, muitos fraudadores utilizam endereços da web, <b>ex:</b> google.com, msn.com, dentre outros..., para testar a conexão do host infectado com a web, este fraudador aqui adotou o tipo "ostentação", saca a imagem que aparece no keepalive:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-yUUnKv_ABSY/U00_xMPmZ2I/AAAAAAAAAVw/Nkct_MLU704/s1600/caminhonete.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-yUUnKv_ABSY/U00_xMPmZ2I/AAAAAAAAAVw/Nkct_MLU704/s1600/caminhonete.png" height="200" width="320" /></a></div>
<br />
Arquivo foi submetido ao site especializado <a href="https://www.virustotal.com/">VirusTotal</a>, tendo um nível de detecção baixo: 12/51.<br />
<br />
Até a próxima!!!<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-Rts92aveKKo/U002JNZty_I/AAAAAAAAAU0/wv_BLI7XDbY/s1600/cript.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div>
<br />
<br />
<br />
<br />
<br />
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6930608190759799670.post-36698202728785606062014-01-24T14:42:00.003-08:002014-01-24T14:53:11.181-08:00WhatsApp: a bola da vez - parte I<br />
<br />
Recentemente, temos observado uma quantidade elevada de emails suspeitos com referência ao aplicativo <b>WhatsApp</b>, semana passada tivemos a ocorrência de emails que chegaram para diversos usuários com uma suposta versão para <b>PC</b> do aplicativo.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-CKYfNspx8j0/UuLdS-13SLI/AAAAAAAAASE/h1Z4RVq0kVw/s1600/whats.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-CKYfNspx8j0/UuLdS-13SLI/AAAAAAAAASE/h1Z4RVq0kVw/s1600/whats.png" height="243" width="320" /></a></div>
Na realidade, trata-se de um trojan <span style="color: red;"><b>(cavalo de Troia)</b></span> do tipo <i>Banker</i>, o artigo completo sobre o evento acima, pode ser observado com maiores detalhes através do site <a href="http://www.techtudo.com.br/noticias/noticia/2014/01/falso-e-mail-em-portugues-promete-whatsapp-gratuito-para-pcs-no-brasil.html">Techtudo</a> .<br />
<br />
<br />
Hoje recebi outro email com características suspeitas referente ao aplicativo:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-V4WlINWLN4E/UuLgFGjhn1I/AAAAAAAAASM/q51Z28vBlOI/s1600/whats.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-V4WlINWLN4E/UuLgFGjhn1I/AAAAAAAAASM/q51Z28vBlOI/s1600/whats.png" height="300" width="320" /></a></div>
Desta vez, fazendo um <b>alerta</b> ao usuário sobre a confirmação do seu login no <b>WhatsApp</b>, caso o usuário não confirme o <i>login</i>, seu acesso ao aplicativo será <span style="color: red;">bloqueado</span>, ao clicar no <i>link,</i> é efetuado o <i>download</i> do arquivo "<b>www.whatsapp.com</b>":<br />
<a name='more'></a><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-bGSMQ3c_BBA/UuLlSIFYNZI/AAAAAAAAASc/_s56VSzp80s/s1600/whats3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://3.bp.blogspot.com/-bGSMQ3c_BBA/UuLlSIFYNZI/AAAAAAAAASc/_s56VSzp80s/s1600/whats3.png" height="87" width="320" /></a></div>
<br />
Em um ambiente de testes, comecei a análise do referido arquivo e...:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-On_dcL6h-Fk/UuLmWB6EItI/AAAAAAAAASk/WY1th_sTJxk/s1600/whats4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-On_dcL6h-Fk/UuLmWB6EItI/AAAAAAAAASk/WY1th_sTJxk/s1600/whats4.png" height="176" width="320" /></a></div>
<br />
<b><span style="color: red;">Fail...</span></b>, o artefato <span style="color: red;"><b>malicioso</b></span> detectou o ambiente virtual, permanecendo inativo e parando o processo de execução, coloquei o arquivo para análise com o software <b>rdg packer</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-pGmXFAfRr0E/UuLoLPCPczI/AAAAAAAAASs/6Pxh_zcWpCs/s1600/them.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-pGmXFAfRr0E/UuLoLPCPczI/AAAAAAAAASs/6Pxh_zcWpCs/s1600/them.png" height="190" width="320" /></a></div>
<br />
E foi confirmada a utilização do "packer" <b>Themida</b>, muitos desenvolvedores de malwares utilizam este packer para evitar mecanismos de proteção como antivírus, estes programas tem a função de ofuscar o código malicioso dificultando sua detecção e análise.<br />
<br />
Coloquei o referido arquivo para análise através do site especializado <b>Virus Total - VT:</b><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-JyNQe9zsd8Y/UuLqKQIc7GI/AAAAAAAAAS0/BCzKE0JTLXM/s1600/vt_blog.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-JyNQe9zsd8Y/UuLqKQIc7GI/AAAAAAAAAS0/BCzKE0JTLXM/s1600/vt_blog.png" height="231" width="320" /></a></div>
<br />
<br />
Tendo um nível de <b>detecção</b> muito baixo pelas ferramentas de <span style="color: red;"><b>AV (03/46)</b></span>, na segunda parte deste artigo, tentarei mostrar o processo de quebra do packer e as conexões externas geradas pelo <i>malware</i>.<br />
<br />
<i>Até Breve...</i><br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6930608190759799670.post-91384067953086821612012-07-24T06:41:00.000-07:002012-07-24T16:10:33.899-07:00Madi Malware - Infecta via Engenharia SocialDepois das descobertas dos malwares <a href="http://pt.wikipedia.org/wiki/Stuxnet">Stuxnet</a> e <a href="http://g1.globo.com/tecnologia/noticia/2012/05/por-quase-dois-anos-virus-flame-roubou-dados-sem-ser-percebido.html">Flame</a>, surge uma nova campanha de ataques de<b> malwares</b> direcionados a alvos especificos (empresas de infra-estrutura, serviços financeiros e embaixadas do governo).<br />
<br />
O malware denominado de <b>madi</b> (nome vem do termo <b>mahdi</b>, que significa em<br />
<a href="http://pt.wikipedia.org/wiki/L%C3%ADngua_%C3%A1rabe" title="Língua árabe">árabe</a>: "O Guiado", é o redentor profetizado do <a class="mw-redirect" href="http://pt.wikipedia.org/wiki/Isl%C3%A3" title="Islã">Islã</a>, que permanecerá na Terra por sete, nove ou dezenove anos antes da chegada do dia final), vem se proliferando se utilizando de técnicas de engenharia social.<br />
<br />
O malware tenta se proliferar através de arquivos anexos vindos por e-mail, estes anexos vem com um arquivo no formato <b>.ppt</b> (power-point), como sendo um simples arquivo de apresentação de slides.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-Upq1I__v7tE/UA6PycUidmI/AAAAAAAAAM8/Un5p0a0HxN0/s1600/madi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="273" src="http://2.bp.blogspot.com/-Upq1I__v7tE/UA6PycUidmI/AAAAAAAAAM8/Un5p0a0HxN0/s400/madi.png" width="400" /></a></div>
<br />
Ao executa-lo no sistema, o malware inicia a apresentação com belas imagens e textos:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQTSzksa70j3hQO26YwoD-mh6GrSuZzXe2Fo6zqCS0N3iIUZMq3ywl2SjU82BlndId1Lm1mFmSZ0mkbgq5LczBPPdrIG87yxkRg976EZMpKazNsH2guWAWKeufpZJ_oJUd7gb9nhDSR4E/s1600/madi1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQTSzksa70j3hQO26YwoD-mh6GrSuZzXe2Fo6zqCS0N3iIUZMq3ywl2SjU82BlndId1Lm1mFmSZ0mkbgq5LczBPPdrIG87yxkRg976EZMpKazNsH2guWAWKeufpZJ_oJUd7gb9nhDSR4E/s400/madi1.png" width="400" /></a></div>
<br />
<a name='more'></a><br />
<br />
<sup class="reference" id="cite_ref-2"><a href="http://pt.wikipedia.org/wiki/Mahdi#cite_note-2"></a></sup><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihHQoMmcxC02iM7WoSa5vAXtlN4FdxHHhwkUl9OX3OGrqLfMcl-NAmS2nEa3KmwXEx3EXILoF7WAT28IwwNIgmJw8s4Y5_4fvZdyB2nORAhXvq9zayuGuqc9AGZRb9c9pKuYSbE0XZUtg/s1600/madi2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihHQoMmcxC02iM7WoSa5vAXtlN4FdxHHhwkUl9OX3OGrqLfMcl-NAmS2nEa3KmwXEx3EXILoF7WAT28IwwNIgmJw8s4Y5_4fvZdyB2nORAhXvq9zayuGuqc9AGZRb9c9pKuYSbE0XZUtg/s400/madi2.png" width="400" /></a></div>
<br />
Após a apresentação do segundo slide, o malware se utiliza de um recurso do PowerPoint que permite a execução de arquivos <b><span style="color: red;">.exe</span>,</b> dentro destes anexos:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOy3Sjqq9xYBkwBbsh01hBl5hZMFqmj49Dd0gvCfGpiXHDZaNgIYwq2BjNEOVocRZUF12A2Wqm6CXf9kCKUH0EijmamyvZKLB3JDqrf5wybh5tAPoYAQFuLYupsFJVmeKvm6b9vlZky-k/s1600/madi3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOy3Sjqq9xYBkwBbsh01hBl5hZMFqmj49Dd0gvCfGpiXHDZaNgIYwq2BjNEOVocRZUF12A2Wqm6CXf9kCKUH0EijmamyvZKLB3JDqrf5wybh5tAPoYAQFuLYupsFJVmeKvm6b9vlZky-k/s400/madi3.png" width="400" /></a></div>
<br />
Observe na imagem acima, que o <b>Power Point</b> informa ao usuário, sobre o risco da execução deste tipo de arquivo, mas na maioria das vezes, estes avisos são ignorados pelos usuários, possibilitando a <b>infecção</b> e comprometendo todo o <b>sistema</b>.<br />
<br />
Ao aceitar a execução do arquivo o malware efetua o download de um arquivo no formato <b><span style="color: red;">.src</span></b>: <br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXtSXihoC4WVI76XbOF3xt0pcvTM8QQ-Gxzkb5C-vT3fjvUxriib8f1QCL7-vR31Zt7DdB-b-R5eYRwngwlGbScwVOJzOHDNp-i6E6HvifPKkiPsM5iyzKjIx4kBrtKL3BYMBPGANCJMc/s1600/madi4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="286" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXtSXihoC4WVI76XbOF3xt0pcvTM8QQ-Gxzkb5C-vT3fjvUxriib8f1QCL7-vR31Zt7DdB-b-R5eYRwngwlGbScwVOJzOHDNp-i6E6HvifPKkiPsM5iyzKjIx4kBrtKL3BYMBPGANCJMc/s400/madi4.png" width="400" /></a></div>
<br />
<br />
No <i>Windows</i> o formato <b>(.src)</b> tem o potencial de instalar <b style="color: red;">vírus</b>
quando executados. A abertura de qualquer arquivo com o sufixo <b>".src"</b>,
vindo por exemplo de um anexo de email, faz com que o <i>Windows</i> execute o
arquivo automaticamente — permitindo com qual algum vírus ou <i>malware</i> se instale.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-Ee9HGf7XxJQ/UA6XBV2VK6I/AAAAAAAAANs/FaU2XnCpNvc/s1600/madi5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="285" src="http://1.bp.blogspot.com/-Ee9HGf7XxJQ/UA6XBV2VK6I/AAAAAAAAANs/FaU2XnCpNvc/s400/madi5.png" width="400" /></a></div>
<br />
O arquivo acima na realidade é um arquivo executável, que efetua o <b>download</b> de diversos arquivos para o host infectado (Pasta Printhood).<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-czc8ExeiCPs/UA6Y7n7A2uI/AAAAAAAAAN0/pJt33DIftek/s1600/madi7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="271" src="http://4.bp.blogspot.com/-czc8ExeiCPs/UA6Y7n7A2uI/AAAAAAAAAN0/pJt33DIftek/s400/madi7.png" width="400" /></a></div>
<br />
<br />
A pasta criada pelo malware (Printhood) contêm diversos arquivos, alguns estão sem conteúdo, outros no formato <a href="http://en.wikipedia.org/wiki/UPX">UPX</a> e outros no formato <b style="color: red;">.dll</b> indicam o caminho do host, o tipo de arquivo e a extensão:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-nDv69O2qOe0/UA6ZblPdF8I/AAAAAAAAAN8/0fhFQNzPaNY/s1600/madi11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="286" src="http://3.bp.blogspot.com/-nDv69O2qOe0/UA6ZblPdF8I/AAAAAAAAAN8/0fhFQNzPaNY/s400/madi11.png" width="400" /></a></div>
<br />
Possui ainda um arquivo no formato .txt,<b> mahdi.txt</b>, é um arquivo texto<b> codificado</b> contendo a imagem da figura apresentada no download inicial.<br />
Após estes procedimentos, o malware abre um <b><span style="color: red;">backdoor</span></b> no host infectado e deixa em execução, um falso arquivo "<b>Update Office</b>", este arquivo é rensponsável por enviar pacotes <b>icmp</b> (ping), para um endereço externo da <b>web</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-5NqYvOjZUbE/UA6bSu3_W7I/AAAAAAAAAOM/QCl96TRdyL4/s1600/firewall2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="http://4.bp.blogspot.com/-5NqYvOjZUbE/UA6bSu3_W7I/AAAAAAAAAOM/QCl96TRdyL4/s400/firewall2.png" width="341" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-3TSNf93OUto/UA8qNEc9h3I/AAAAAAAAAPM/n7vD8jmvboA/s1600/madi14.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="277" src="http://4.bp.blogspot.com/-3TSNf93OUto/UA8qNEc9h3I/AAAAAAAAAPM/n7vD8jmvboA/s400/madi14.jpg" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
O tráfico <b>web</b> analisado pelo <b>wireshark</b>, apenas conseguiu indentificar requisições para o endereço<b> IP 50.62.12.103</b>, pertencente a um domínio hospedado na <b>Godaddy.com</b> - <b style="color: red;">www.maijakal.in</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-aR12_8XZzlY/UA6bySGgvaI/AAAAAAAAAOU/PYbBiIS2vZc/s1600/madi8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="228" src="http://3.bp.blogspot.com/-aR12_8XZzlY/UA6bySGgvaI/AAAAAAAAAOU/PYbBiIS2vZc/s400/madi8.png" width="400" /></a></div>
<br />
Colocando o arquivo para análise do site especializado <a href="https://www.virustotal.com/">Virustotal</a>, o <b>malware</b> teve um bom nível de detecção (25/42), pelas ferramentas de antivírus, sendo reportado como <b style="color: red;">Win32.Madi.a:</b><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-31qtHDgCcqc/UA6lMsohBCI/AAAAAAAAAOk/VrDn8SWX48A/s1600/antimadi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="250" src="http://2.bp.blogspot.com/-31qtHDgCcqc/UA6lMsohBCI/AAAAAAAAAOk/VrDn8SWX48A/s400/antimadi.png" width="400" /></a></div>
<br />
<br />
<br />
<br />
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6930608190759799670.post-9891038921147772612012-07-12T13:56:00.001-07:002012-07-13T05:16:05.665-07:00Análise Trojan - W32.Zbot (Drive-by download) Parte I<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/--xA1mBeapaw/T_8diuzVMsI/AAAAAAAAALw/kgLAezC67mc/s1600/firewall2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"></a></div>
<br />
<span style="font-size: large;"><b>Zbot</b> </span>é uma detecção genérica para diversas famílias de <b>trojans</b>, tem como finalidade o roubo de dados e informações do usuário de um sistema infectado, se prolifera por e-mail (em anexos maliciosos), ou se instala através de algum site <b>infectado</b> da web <i><b>(<a href="http://en.wikipedia.org/wiki/Drive-by_download">Drive-by_download</a>), </b></i>neste caso o trojan foi encontrado dentro de um site registrado no <b>Brasil</b>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-a-k-ZSLbR_8/T_8vHdmVGkI/AAAAAAAAAMk/HLdZ5jLQ3sk/s1600/download.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="272" src="http://3.bp.blogspot.com/-a-k-ZSLbR_8/T_8vHdmVGkI/AAAAAAAAAMk/HLdZ5jLQ3sk/s400/download.png" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<a name='more'></a><br />
Após efetuar o <i><b>download</b></i> do artefato, iniciei a execução do mesmo no sistema, foram observadas diversas alterações no registro do sistema operacional:<br />
<br />
<ul>
<li>Criação e execução de processos </li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-CI2hiAnlmHM/T_8dJc_VNjI/AAAAAAAAALo/yuGKlvYUO-s/s1600/udpbot5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="267" src="http://2.bp.blogspot.com/-CI2hiAnlmHM/T_8dJc_VNjI/AAAAAAAAALo/yuGKlvYUO-s/s400/udpbot5.png" width="400" /></a></div>
<br />
<ul>
<li>Abertura de um <b style="color: red;">backdoor</b><span style="color: red;"> </span>no sistema (modificando as configurações de exceção do <i>firewall</i> do <i>windows</i>) </li>
</ul>
<div style="text-align: center;">
<a href="http://1.bp.blogspot.com/--xA1mBeapaw/T_8diuzVMsI/AAAAAAAAALw/kgLAezC67mc/s1600/firewall2.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="http://1.bp.blogspot.com/--xA1mBeapaw/T_8diuzVMsI/AAAAAAAAALw/kgLAezC67mc/s400/firewall2.png" width="341" /></a></div>
<br />
<br />
<span style="font-size: large;"><b>Trafégo WEB</b></span><br />
<br />
Analisando o trafégo gerado na rede pelo <b>trojan</b>, foi possível verificar que as requisições efetuadas apresentam as características de uma rede <b>P2P</b>, diversos malwares utilizam este tipo de rede para se proliferar. Neste tipo de rede cada sistema infectado é capaz de se comunicar com outros sistemas, receber e enviar comandos.<br />
<br />
<b>Servidor de comando e controle P2P</b> (<b style="color: red;">P2P Command Server</b>). <br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-8wFtMxLrnjg/T_80-TM5ydI/AAAAAAAAAMw/ItTL9i4na4w/s1600/p2p.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="http://3.bp.blogspot.com/-8wFtMxLrnjg/T_80-TM5ydI/AAAAAAAAAMw/ItTL9i4na4w/s400/p2p.jpg" width="400" /></a></div>
<br />
O <b>trojan</b> executa diversas conexões <b>UDP</b> em portas altas aleatórias, as requisições tem diversos endereços de destino da <i>web</i>, estes pacotes <b>criptografados</b> tem a função de verificar novas infecções na rede e possívelmente o envio de informações do sistema do <i><b>host</b></i> infectado:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-XnD6QoQ5zCU/T_8kI4zkOnI/AAAAAAAAAL8/OKAuhK1V0vc/s1600/udpbot.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="177" src="http://1.bp.blogspot.com/-XnD6QoQ5zCU/T_8kI4zkOnI/AAAAAAAAAL8/OKAuhK1V0vc/s400/udpbot.png" width="400" /></a></div>
<br />
Logo após, o <b>trojan</b> executa requisições para sites legítimos, no caso, podemos ver na imagem abaixo, as solicitações direcionadas aos <b>IP</b> <b style="color: red;">74.125.234.80 e 74.125.234.87</b>, ambos pertencentes ao <i><b>google</b></i>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-TS0pCvfvxRc/T_8nM7QKUtI/AAAAAAAAAMI/BVxeS303wtI/s1600/google.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="207" src="http://1.bp.blogspot.com/-TS0pCvfvxRc/T_8nM7QKUtI/AAAAAAAAAMI/BVxeS303wtI/s400/google.png" width="400" /></a></div>
<br />
<br />
Estas requisições tem a finalidade de testar a conectividade da rede (<b>acesso web</b>), em seguida o <b>bot</b> se comunica com outros <b>hosts</b> infectados na rede <b>P2P</b>, enviando e recebendo informações:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-VKOCXXTsmaE/T_8pr89gjPI/AAAAAAAAAMQ/A4VvGohTL2E/s1600/dnsbot.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="107" src="http://3.bp.blogspot.com/-VKOCXXTsmaE/T_8pr89gjPI/AAAAAAAAAMQ/A4VvGohTL2E/s400/dnsbot.png" width="400" /></a></div>
<br />
Coloquei o arquivo para análise do site especializado <a href="https://www.virustotal.com/file/1e893a9e08d358b9d5a922acb9861aa42ce7b1cf22960bd75dc99c4b07cc024a/analysis/1342113606/">Virustotal</a>, o mesmo reportou que até o momento, a sua base de dados não continha registro de análise para o referido arquivo, na primeira análise o <b>trojan</b> teve um nível de detecção razoável (12/42), pelas ferramentas de antivírus, sendo reportado como <b>Trojan W32.Zbot</b>:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-DMlbeGD8Vic/T_8rENG3S9I/AAAAAAAAAMY/to6rqNdwAZc/s1600/vt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="315" src="http://1.bp.blogspot.com/-DMlbeGD8Vic/T_8rENG3S9I/AAAAAAAAAMY/to6rqNdwAZc/s400/vt.png" width="400" /></a></div>
<br />
<br />
Obs: Na próxima parte da análise deste trojan, tentarei reproduzir o fluxo completo de comunicação da rede P2P deste Bot, não foi possível chegar a este ponto, pois o trojan possui alguma proteção ao ser executado em ambiente virtual, gerando um erro ao iniciar este processo, até breve!.<br />
<br />
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6930608190759799670.post-23355984749951780342012-06-06T07:09:00.004-07:002012-06-06T14:35:57.300-07:00Análise Trojan BankerNeste artigo farei uma análise detalhada de um <b>malware</b> curioso, este malware chega por e-mail como um suspoto vídeo porno, no formato <b>".src"</b>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_zji3We1_0xGo4yHmFTK8P8LgabzEVFiAe_ty1c_5-OG-BHY3C16aSYkd59QSAL4FE1IfWn7wAWKrpN74J0GqpE2yfWJ6fVn93Olmcj7K2kSm2GbDcVBxQcioVkQ168NOg7OUMla6oMA/s1600/thumbriva.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="186" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_zji3We1_0xGo4yHmFTK8P8LgabzEVFiAe_ty1c_5-OG-BHY3C16aSYkd59QSAL4FE1IfWn7wAWKrpN74J0GqpE2yfWJ6fVn93Olmcj7K2kSm2GbDcVBxQcioVkQ168NOg7OUMla6oMA/s400/thumbriva.png" width="400" /></a></div>
<br />
<br />
No <i>Windows</i> o formato <b>(.src)</b> tem o potencial de instalar <b style="color: red;">vírus</b>
quando executados. A abertura de qualquer arquivo com o sufixo <b>".src"</b>,
vindo por exemplo de um anexo de email, faz com que o <i>Windows</i> execute o
arquivo automaticamente — permitindo com qual algum vírus ou <i>malware</i> se instale.<br />
<br />
<a name='more'></a><br />
Após ser executado no sistema, o <b>trojan</b> cria 02 processos <b style="color: red;">"notepad.exe"</b>, baixa diversos arquivos e efetua consultas <b>DNS</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-LCDToXon0kM/T86ITZMrRaI/AAAAAAAAAIw/tVCd6IAFnKE/s1600/thumb6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="255" src="http://4.bp.blogspot.com/-LCDToXon0kM/T86ITZMrRaI/AAAAAAAAAIw/tVCd6IAFnKE/s400/thumb6.png" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzr9VqzjnYOj9cvmYeJSl2KCRA512PlLyw0R_O0ZN5wUTEEr2_zMn_89DQP7PtcKCuiloLC3R78WnR2MqOwc54NzkXKttmbWMkzwnCTjPJm_hV9-Ujb7h4osbFOohkue_jGZieZRZLbkM/s1600/dnsfinal.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="105" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzr9VqzjnYOj9cvmYeJSl2KCRA512PlLyw0R_O0ZN5wUTEEr2_zMn_89DQP7PtcKCuiloLC3R78WnR2MqOwc54NzkXKttmbWMkzwnCTjPJm_hV9-Ujb7h4osbFOohkue_jGZieZRZLbkM/s400/dnsfinal.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-6IGg35rcXFY/T86HZ-zn--I/AAAAAAAAAIo/8mBWAhbQ_oI/s1600/diversos.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="178" src="http://1.bp.blogspot.com/-6IGg35rcXFY/T86HZ-zn--I/AAAAAAAAAIo/8mBWAhbQ_oI/s400/diversos.png" width="400" /></a></div>
<br />
O <b>malware</b> faz ainda, o download <b style="color: red;">(30 mb)</b> de um aplicação <b>(Thumbnail), </b> utilizada para redução de imagens, talvez com o objetivo de de diminuir o tempo de <b><i>download</i></b> da página:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-N6q3SbPgLu0/T86KhP9KpGI/AAAAAAAAAI4/p08z_JIUcYY/s1600/nail.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="275" src="http://3.bp.blogspot.com/-N6q3SbPgLu0/T86KhP9KpGI/AAAAAAAAAI4/p08z_JIUcYY/s400/nail.png" width="400" /></a></div>
<br />
<br />
Dentro dos arquivos do "notepad.exe" que estão rodando no host, o malware modifica as configurações do proxy, tipo:<br />
<b><br />"EnableAutoProxyResultCache"= "XXXXXXXXXX"</b><br />
<b>"EnableNegotiate"= "XXXXXXXXXXXXXX"</b><br />
<b>"ProxyEnable"="XXXXXXXXXXXXXXXX"</b><br />
<b>"AutoConfigURL"="XXXXXXXXXXXX"<br />"ProxyServer"="XXXXXXXXXXX"<br />"ProxyOverride"="XXXXXXXXXX"</b><br />
<br />
De modo que ao tentar acessar sites como<b> <span style="color: lime;">itau.com.br</span></b>, <b style="color: red;">bradesco.com.br</b> e <b style="color: yellow;">santander.com.br</b>, o usuário é redirecionado para uma página <b>falsa</b>, na qual as imagens estão localizadas dentro da sua <b>própria</b> máquina:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-2dws8FYCD6Q/T89gdh6ZF-I/AAAAAAAAAJs/XaLJ5RNPfEA/s1600/finaldns3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://4.bp.blogspot.com/-2dws8FYCD6Q/T89gdh6ZF-I/AAAAAAAAAJs/XaLJ5RNPfEA/s400/finaldns3.png" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-RcEYz0xbLe4/T89gjBltgrI/AAAAAAAAAJ0/v5gay3R3Acs/s1600/finaldnsimagem.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="http://4.bp.blogspot.com/-RcEYz0xbLe4/T89gjBltgrI/AAAAAAAAAJ0/v5gay3R3Acs/s400/finaldnsimagem.png" width="400" /></a></div>
<br />
<br />
Retirei o acesso à internet da máquina e efetuei requisições para os endereços destes bancos, verificando que mesmo sem o acesso da <i>web</i>, o <b>trojan</b> retorna para o usuário a imagem do <b style="color: red;">phishing</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-ZVaHfSNKNtM/T89euXiq9NI/AAAAAAAAAJc/TFeOJykBwj8/s1600/finaldnsbradesco.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://3.bp.blogspot.com/-ZVaHfSNKNtM/T89euXiq9NI/AAAAAAAAAJc/TFeOJykBwj8/s400/finaldnsbradesco.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-qiNR-FPf0BM/T89fD1zcMvI/AAAAAAAAAJk/BVEoCX8bcY4/s1600/finaldnsitau.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://1.bp.blogspot.com/-qiNR-FPf0BM/T89fD1zcMvI/AAAAAAAAAJk/BVEoCX8bcY4/s400/finaldnsitau.png" width="400" /></a></div>
<br />
<u><b>Phishing mal-feito:</b></u><br />
<br />
A imagem é quase totalmente estática, todos os botões na página não funcionam exceto o campo para o usuário colocar a <b style="color: red;">agência</b> e a <b style="color: red;">conta</b> do banco. Coloquei dados falsos na imagem e verifiquei para onde o <b>trojan</b> envia eles:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-wvBU9_xMyqs/T89hshK7neI/AAAAAAAAAJ8/tu6LX8EhV98/s1600/final.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="217" src="http://3.bp.blogspot.com/-wvBU9_xMyqs/T89hshK7neI/AAAAAAAAAJ8/tu6LX8EhV98/s400/final.png" width="400" /></a></div>
<br />
<br />
Analisando os endereços e as requisições efetuadas pelo <b>trojan</b>, observei ainda que o mesmo baixa diversos componentes adicionais, <b>"módulos"</b> que acrescentam funções e atualizações, efetuando uma conexão para um destes endereços:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-_8nl3L4-5JU/T89pNmdGZaI/AAAAAAAAAKc/3bSraAQdZTc/s1600/dns2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="316" src="http://4.bp.blogspot.com/-_8nl3L4-5JU/T89pNmdGZaI/AAAAAAAAAKc/3bSraAQdZTc/s400/dns2.png" width="400" /></a></div>
<br />
A página aparece com suas informações <b>codificadas</b>, parece ser algo como a <a href="http://pt.wikipedia.org/wiki/Cifra_de_C%C3%A9sar"> Cifra de César</a>, com a ajuda de um amigo, que desenvolveu um <i>script</i> em <i>perl</i>, consegui decodificar as informações:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-i9PjAOPEv2g/T86NNMpTqpI/AAAAAAAAAJQ/hlDOD0uLthw/s1600/malwaredns5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="317" src="http://1.bp.blogspot.com/-i9PjAOPEv2g/T86NNMpTqpI/AAAAAAAAAJQ/hlDOD0uLthw/s400/malwaredns5.png" width="400" /></a></div>
<br />
<br />
Podemos observar até o endereço do
<b>banco de dados</b>, para o qual o trojan deve enviar as informações bancárias
coletadas e o contador registrando o número de <b>usuários infectados</b>.<br />
<br />
Colocando o arquivo para análise do site especializado <a href="https://www.virustotal.com/">Virustotal</a>, o <b>trojan</b> teve um nível de detecção baixo (7/41), pelas ferramentas de antivírus, sendo reportado como <b>Trojan W32.Generic</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-h2VmNDU8skw/T89oxJlIF0I/AAAAAAAAAKU/HDQ-mqNA4D8/s1600/vt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="305" src="http://3.bp.blogspot.com/-h2VmNDU8skw/T89oxJlIF0I/AAAAAAAAAKU/HDQ-mqNA4D8/s400/vt.png" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<br />
<br />
<br />
<br />
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6930608190759799670.post-18272649841161366082012-05-29T13:53:00.000-07:002012-06-06T14:38:13.629-07:00Análise do Malware - Video erotico que caiu na rede da ex-BBB Renatinha, confira!<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
Recebi um <b>email</b> que vem circulando na net com o assunto, <span style="color: red;">"</span><b style="color: red;">Video erotico que caiu na rede da ex-BBB Renatinha, confira!":</b></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVTNWUTiZoHSf4qd8frTLvTLz1v7HijwoDNMLqr3qRC6fi8U9986YzO69j5BSE8xUrSD84vXqToC8_vQDHwqHPlH7XdI21XjLV563URgwGBpSS0LCPqpTShB3HN8zHvCYLzdAx-RmX6O8/s1600/bbb10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="281" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVTNWUTiZoHSf4qd8frTLvTLz1v7HijwoDNMLqr3qRC6fi8U9986YzO69j5BSE8xUrSD84vXqToC8_vQDHwqHPlH7XdI21XjLV563URgwGBpSS0LCPqpTShB3HN8zHvCYLzdAx-RmX6O8/s400/bbb10.png" width="400" /></a></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<br />
<a name='more'></a><br /><br />
Ao clicar no <b>link</b> do suposto vídeo, é efetuado o <b>download</b> do arquivo <b>"Vídeo renatinhaex-bbb.exe"</b></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxWq8UTcaLlA5YCenWopzcY8ay4MsFZYubUPoteQ-cJJjgMJoSh-WXZ2_CKcDH_HYWb47Rot83wF7k-sK6Owof5Imnwe-KJBesMOl6A3kiIrcVH2clOJ_XEUN6sqlun60t35C5NElBWPo/s1600/bbb15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="272" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxWq8UTcaLlA5YCenWopzcY8ay4MsFZYubUPoteQ-cJJjgMJoSh-WXZ2_CKcDH_HYWb47Rot83wF7k-sK6Owof5Imnwe-KJBesMOl6A3kiIrcVH2clOJ_XEUN6sqlun60t35C5NElBWPo/s400/bbb15.png" width="400" /></a></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<br /></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
Utilizando o <b>wireshark</b>, observei as requisições e o endereço de conexão do malware:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgasq9TSCe6wMIY4H3xt7Gfb5ETjvJN6LiA5WD6t3r_cRtODQVo-2HAIHiAFZ_BLeThPcpRtr7s2Y3pAoJd3AK8Ih-Px32lJZx642Oi7c1ht3NoKHz8zBuppOA-kIw73Ru_3YP3K0gvPrg/s1600/bbb20.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="146" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgasq9TSCe6wMIY4H3xt7Gfb5ETjvJN6LiA5WD6t3r_cRtODQVo-2HAIHiAFZ_BLeThPcpRtr7s2Y3pAoJd3AK8Ih-Px32lJZx642Oi7c1ht3NoKHz8zBuppOA-kIw73Ru_3YP3K0gvPrg/s400/bbb20.png" width="400" /></a></div>
<br />
<br />
O <b>malware</b> baixa arquivos de um servidor remoto e efetuando modificações no <b>registro</b> do host, como podemos ver nas imagens abaixo:</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgR1iQ8368NWRHpobA0z8hiAODM78cYv0iDu3UK84O0dK7zXc-S9d15oEZuIYPzj7knFit_D5BL8d8ADnhq98wUFvHU22oQcVGACdKGR4QeMFpH_xaIGB7kruxth8uxHjMSMku9KEQt_l4/s1600/bbb1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="246" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgR1iQ8368NWRHpobA0z8hiAODM78cYv0iDu3UK84O0dK7zXc-S9d15oEZuIYPzj7knFit_D5BL8d8ADnhq98wUFvHU22oQcVGACdKGR4QeMFpH_xaIGB7kruxth8uxHjMSMku9KEQt_l4/s400/bbb1.png" width="400" /></a></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<br /></div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-XVbcO8lNN-0/T8U2iHKcBtI/AAAAAAAAAG0/t5m1lTh53bg/s1600/bbb2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="272" src="http://4.bp.blogspot.com/-XVbcO8lNN-0/T8U2iHKcBtI/AAAAAAAAAG0/t5m1lTh53bg/s400/bbb2.png" width="400" /></a> </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-Fkmla_vsgWs/T8U27ZpaZUI/AAAAAAAAAG8/LH0PiH_FAec/s1600/bbb4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="272" src="http://3.bp.blogspot.com/-Fkmla_vsgWs/T8U27ZpaZUI/AAAAAAAAAG8/LH0PiH_FAec/s400/bbb4.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: justify;">
Após efetuar o <b>download</b> dos arquivos, o malware cria uma pasta no sistema, onde hospeda estes arquivos e executa modificações no <b>registro</b>:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-6Iu43w_5teQ/T8U4N4t794I/AAAAAAAAAHE/8zCuAdepRmw/s1600/bbb7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://3.bp.blogspot.com/-6Iu43w_5teQ/T8U4N4t794I/AAAAAAAAAHE/8zCuAdepRmw/s400/bbb7.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-ARzZoZJAcEQ/T8VAioc8yHI/AAAAAAAAAH0/i2wfhCYYfvk/s1600/bbb6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="288" src="http://3.bp.blogspot.com/-ARzZoZJAcEQ/T8VAioc8yHI/AAAAAAAAAH0/i2wfhCYYfvk/s400/bbb6.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Após estes procedimentos realizados pelo malware, entrei nas configurações do navegador e verifiquei a alteração do arquivo de proxy:</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-zk4bxE_FkmY/T8U4xqhMKgI/AAAAAAAAAHU/G3CDtQXII4Y/s1600/bbb8.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://1.bp.blogspot.com/-zk4bxE_FkmY/T8U4xqhMKgI/AAAAAAAAAHU/G3CDtQXII4Y/s400/bbb8.png" width="400" /></a></div>
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<br />
O que acontece com a modificação do arquivo de<b> proxy,</b> é que, se um usuário tentar
acessar alguns dos sites listados no script, ele será direcionado para
páginas falsas hospedadas no servidor do proxy malicioso.<br />
<br />
<br />
Efetuando uma conexão para o endereço web citado no <b>proxy</b> acima, <b style="color: red;">BINGO!, </b>podemos ver na imagem abaixo, diversos endereços de bancos:</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-1pZUUkKcl80/T8U7_1-NiVI/AAAAAAAAAHo/cxR8_EuBHbA/s1600/bbb9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="288" src="http://1.bp.blogspot.com/-1pZUUkKcl80/T8U7_1-NiVI/AAAAAAAAAHo/cxR8_EuBHbA/s400/bbb9.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
Ao acessar uma URL como: "<b>www.itau.com.br"</b>, o usuário será redirecionado para um <b style="color: red;">site falso do</b> banco.<br />
<br />
Tem sido observado um aumento considerável no número
de usuários infectados por este tipo de golpe e hoje um bom número de <b>malwares</b> produzidos no brasil
possuem essa característica.<br />
<br />
O arquivo foi enviado para <b>análise</b> do site especializado <a href="https://www.virustotal.com/file/a56dc9f4d569f3af22336e7edb0abb19c00764b34dafd8c12a3bb0d36a54d27f/analysis/">VirusTotal, </a>tendo um nível de detecção razoável(16/42) pelas ferramentas de antivírus do mercado, sendo reportado como <b><span style="color: red;">Trojan W32.Banker<span style="color: black;">.</span></span></b><br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhElBG6VWp3D3QsqxWTF6u4kwIIPKSdDbMVXrBjdwTLbhe-hW5xVqSSH_PojC7fS8nEySMalPOuqHtq8tP3CDtmDLP6T6O6AFun8JiHPf3xkK3lSsSJJn6l6ER7oPHAY77wGv27k8e3biA/s1600/bbb16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="291" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhElBG6VWp3D3QsqxWTF6u4kwIIPKSdDbMVXrBjdwTLbhe-hW5xVqSSH_PojC7fS8nEySMalPOuqHtq8tP3CDtmDLP6T6O6AFun8JiHPf3xkK3lSsSJJn6l6ER7oPHAY77wGv27k8e3biA/s400/bbb16.png" width="400" /></a></div>
<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
----------------------------------------------------------------------------------------------------------------------------------</div>
<div class="separator" style="clear: both; text-align: left;">
----------------------------------------------------------------------------------------------------------------------------------</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
</div>
<div align="JUSTIFY" class="western" style="margin-bottom: 0cm;">
<br /></div>Unknownnoreply@blogger.com3tag:blogger.com,1999:blog-6930608190759799670.post-43746134813188466082012-05-29T08:43:00.004-07:002012-06-06T14:36:54.570-07:00Falso Aplicativo para o Facebook Infecta PC com Botnet Bredolab<br />
Hoje encontrei em alguns fóruns da web, um possível link para um aplicativo do facebook, o referido aplicativo dizia descobrir quem visualizou suas fotos no seu perfil do facebook:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-Y2pKh7btDvo/T8TpuXheaWI/AAAAAAAAAFM/HA1NPFYiQH8/s1600/faceworm6.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="262" src="http://2.bp.blogspot.com/-Y2pKh7btDvo/T8TpuXheaWI/AAAAAAAAAFM/HA1NPFYiQH8/s400/faceworm6.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Efetuei o download do aplicativo e comecei a análise do mesmo, podemos observar que ele vem no formato <b>SFX</b>, um módulo <b>SFX</b> (sigla do inglês <b>SelF-eXtrating</b>)
é um arquivo executável <b style="color: red;">(.exe)</b> criado pelo <b>WinRAR</b> a fim de facilitar a
descompressão de arquivos. A descompressão se torna mais fácil porque
não é necessário nenhum programa para fazer isto, o próprio arquivo já
carrega um módulo que faz a descompressão.<br />
<br />
<a name='more'></a><br /><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-qf-gh5-Xiks/T8TrxwNDwiI/AAAAAAAAAFc/l2ac-7gSqFc/s1600/faceworm7.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="287" src="http://4.bp.blogspot.com/-qf-gh5-Xiks/T8TrxwNDwiI/AAAAAAAAAFc/l2ac-7gSqFc/s400/faceworm7.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<span class="texto"><b style="color: red;">Atacantes</b> utilizam este método para camuflar o arquivo tentando torná-lo indetectável pelas ferramentas de <b>antivírus</b>.</span><br />
<br />
<span class="texto">Ao executar o arquivo no sistema operacional, o mesmo abre uma janela indicando um erro, no entanto, podemos observar que ele inicia a execução do arquivo <b style="color: red;">winupdate.exe</b> dentro do sistema (<b>c:\windows\system32</b>).</span><br />
<span class="texto"><br /></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-cQ3fv7yxx5I/T8Ttw1P4DCI/AAAAAAAAAFk/4civyOHdEN8/s1600/faceworm1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://3.bp.blogspot.com/-cQ3fv7yxx5I/T8Ttw1P4DCI/AAAAAAAAAFk/4civyOHdEN8/s400/faceworm1.png" width="400" /></a></div>
<span class="texto"><br /></span><br />
<span class="texto"><br /></span><br />
<span class="texto">O <b>malware</b> cria uma pasta oculta nos</span> <i>arquivos temporários do Windows e cria 02</i><span class="texto"> arquivos <b>executáveis</b> (.exe):</span><br />
<span class="texto"><br /></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-ROzrjsFckxI/T8TvrahUVLI/AAAAAAAAAF0/QXFQ_FveFto/s1600/wormface4.png" imageanchor="1"><img border="0" height="300" src="http://4.bp.blogspot.com/-ROzrjsFckxI/T8TvrahUVLI/AAAAAAAAAF0/QXFQ_FveFto/s320/wormface4.png" width="400" /></a></div>
<span class="texto"><br /></span><br />
<span class="texto"><br /></span><br />
<span class="texto"></span><br />
<span class="texto">Em análise pelo site especializado <b>Vírus Total</b>, ambos os arquivos foram detectados como a <b style="color: red;">botnet BREDOLAB:</b></span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-8DxzcmC-lkM/T8Twm5Y-bKI/AAAAAAAAAF8/PqrWknl2LMQ/s1600/faceworm5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="228" src="http://4.bp.blogspot.com/-8DxzcmC-lkM/T8Twm5Y-bKI/AAAAAAAAAF8/PqrWknl2LMQ/s400/faceworm5.png" width="400" /></a></div>
<br />
<span class="texto">Esta <b>botnet</b> já efetuou ataques semelhantes no passado, utilizando-se desta mesma rede social - <a href="http://www.zdnet.com/blog/security/facebook-password-reset-spam-is-bredolab-botnet-attack/4724">ZDNET Security</a></span><br />
<br />
<span class="texto"></span><br />
<span class="texto">Na análise do tráfego web efetuada pelo <b>wireshark</b>, aparecem requisições para um <b>IP</b> na <b>Palestina</b>, o que reforça a hipotése de ser realmente a comunicação com o BotServer (Servidor da botnet).</span><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-MA6ATPplxFo/T8TuceiyWAI/AAAAAAAAAFs/oHjuqzDjXCY/s1600/faceworm2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="201" src="http://1.bp.blogspot.com/-MA6ATPplxFo/T8TuceiyWAI/AAAAAAAAAFs/oHjuqzDjXCY/s400/faceworm2.png" width="400" /></a></div>
<br />
<span class="texto"><br /></span><br />
<span class="texto">Embora tenhamos diversos relatos sobre o desmantelamento desta <b>botnet</b>, inclusive com a prisão e condenação do seu <a href="http://www.modulo.com.br/comunidade/noticias/2552-criador-do-virus-bredolab-e-condenado-a-quatro-anos-de-prisao">criador</a>, não podemos descartar a hipotése de um destes <b>servidores de controle</b> <span style="color: red;">(Server C&C)</span>, estarem ativos e tentando infectar novos <b>hosts.</b></span><br />
<span class="texto"><br /></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEjL-kYrFgc8A0RFWGPEodhnUEDnmiHcHeiFID1TciE-8BVMaQQA7acpRbtGR-0KL2DADd4sYsJ3d6ncCTTOP2Q2aRtQ6cn_ij-r_cRmgVIOb-V-eaLRKMBJxwDZqQA1hCQ3G7ZdHbLeA/s1600/botnet.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEjL-kYrFgc8A0RFWGPEodhnUEDnmiHcHeiFID1TciE-8BVMaQQA7acpRbtGR-0KL2DADd4sYsJ3d6ncCTTOP2Q2aRtQ6cn_ij-r_cRmgVIOb-V-eaLRKMBJxwDZqQA1hCQ3G7ZdHbLeA/s400/botnet.jpg" width="400" /></a></div>
<span class="texto"><br /></span><br />
<span class="texto"><br /></span><br />
<span class="texto"><br /></span><br />
<br />
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6930608190759799670.post-59343602845974691002012-05-28T12:16:00.001-07:002012-06-06T14:37:12.666-07:00Epidemia Ransomwares<i><b>Ransomware</b></i> é um tipo de <i><a href="http://pt.wikipedia.org/wiki/Malware" title="Malware">malware</a></i><a class="mw-redirect" href="http://pt.wikipedia.org/wiki/Trojan" title="Trojan"></a> que tem como característica, o bloqueio do sistema operacional da vítima, cobrando algum tipo de resgate para liberação .<br />
Na realidade trata-se de um<b> golpe</b>, pois a vítima irá pagar uma
quantia em um suposto 'resgate' e ao fim
não receberá nenhuma senha.<br />
<br />
Nos últimos meses peguei diversos exemplos deste tipo de <b>ameaça</b>:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFSE0rhtlBAZUFFNMWZxqSks7ftWfcPMQckxYLH2DLvOOvQQfCCUaSM1VxXtoLq5S62za7Um3m19ZcyYYq4ScfVFaiDJNIm0936RB7H4j_Btm0IDrBsDjq_Tj8-Ai0HsGUdtqfTOJ1gPg/s1600/inicialransom.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="297" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFSE0rhtlBAZUFFNMWZxqSks7ftWfcPMQckxYLH2DLvOOvQQfCCUaSM1VxXtoLq5S62za7Um3m19ZcyYYq4ScfVFaiDJNIm0936RB7H4j_Btm0IDrBsDjq_Tj8-Ai0HsGUdtqfTOJ1gPg/s400/inicialransom.png" width="400" /></a></div>
<br />
<a name='more'></a><br />
Estes arquivos vem geralmente camuflados em <b>e-mails</b> com anexos maliciosos, normalmente fazendo referência a alguma notícia recente, uma vez executado no sistema, a anomalia altera o registro do <b><i>sistema operacional</i></b>, bloqueando totalmente o acesso a ele.<br />
<br />
<u><b>Russian Ransomware:</b></u><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-yvEe_NIdj3k/T8PQZHf58oI/AAAAAAAAAEU/0O8coL3GNo0/s1600/russian.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://2.bp.blogspot.com/-yvEe_NIdj3k/T8PQZHf58oI/AAAAAAAAAEU/0O8coL3GNo0/s400/russian.png" width="400" /></a></div>
<br />
<u><b>France Ransomware:</b></u><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-5Y53SvRaUy8/T8PQiRVSeJI/AAAAAAAAAEc/xuRah-gErHs/s1600/franceransom.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://2.bp.blogspot.com/-5Y53SvRaUy8/T8PQiRVSeJI/AAAAAAAAAEc/xuRah-gErHs/s400/franceransom.png" width="400" /></a></div>
<br />
É ainda distribuído por criminosos, como <b>"software"</b> para reparo e/ou diagnostico de algum erro no sistema:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-uQ4ZBxGlBwY/T8PT1QTxidI/AAAAAAAAAEo/EskIHW--l6Y/s1600/mbrlock.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://2.bp.blogspot.com/-uQ4ZBxGlBwY/T8PT1QTxidI/AAAAAAAAAEo/EskIHW--l6Y/s400/mbrlock.png" width="400" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-E0EBqg3lJWI/T8PVr3wE7KI/AAAAAAAAAE4/L7ccN9LXdqQ/s1600/hardfake.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="298" src="http://4.bp.blogspot.com/-E0EBqg3lJWI/T8PVr3wE7KI/AAAAAAAAAE4/L7ccN9LXdqQ/s400/hardfake.png" width="400" /></a></div>
<br />
Execução <b style="color: red;">software fa</b><b><span style="color: red;">ls</span><span style="color: red;">o</span></b> para reparo no Hard Disk:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-ytjjiXcV6Iw/T8PUTSXOEtI/AAAAAAAAAEw/sca86kS3Sdo/s1600/mbrlock1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="http://1.bp.blogspot.com/-ytjjiXcV6Iw/T8PUTSXOEtI/AAAAAAAAAEw/sca86kS3Sdo/s400/mbrlock1.png" width="400" /></a></div>
<br />
Os indíces de infecção deste tipo de ameaça no Brasil, são bem baixos, mas com o crescente surgimento de novos <b>ransomwares </b>no exterior, nada impede que este cenário seja modificado nos próximos meses, por isso a melhor prevenção contra esta praga, é a realização periódica do procedimento de backup dos arquivos do sistema, bem como manter sempre atualizado o antivírus e evitar clicar em links suspeitos ou abrir e-mails de procedência desconhecida.<br />
<br />
<br />
---------------------------------------------------------------------------------------------------------------------------------------<br />
--------------------------------------------------------------------------------------------------------------------------------------- <br />
<br />
<br />Unknownnoreply@blogger.com0