Bem-vindo a M.Class.


O site Mclass é um site muito bem construido, e voltado para divulgar acompanhantes. O mesmo possui diversas modelos, em geral, com fotos de muito bom gosto. O site, por sua vez, além de possuir um bom design, também demonstra ter sido desenvolvido por bons profissionais. Por estes motivos, é um site que pode ser utilizado para a criação de um Phishing Scam.
Uma das facetas dos Phishing Scams é utilizar o acesso a sites eróticos como um chamariz para os usuários desatenciosos. Assim, este Scam alega fornecer 3 dias de acesso grátis ao site Mclass, e pede que o usuário baixe a sua "Chave Coração" clicando no link. O usuário será remetido para o seguinte endereço http://club.telepolis.com/martapbs/cartao.exe , que apresenta não ser ligado ao site mclass, por não hospedar tal arquivo nos servidores oficiais.
Mesmo assim, o arquivo cartao.exe foi baixado para uma análise mais fundamentada.
Atualização dia 21/08/2006 : mais uma vez recebi o mesmo scam, com o mesmo binário, hospedado no site http://cartao2007.googlepages.com/cartao2007.exe, e remetido pelo email [email protected]. A outra diferença é o assunto da mensagem que tem um erro : Oi voce recebeu um convite do ms class ::: .


cartao.exe: Uma das técnicas utilizadas pelos programadores de executáveis para Phishing Scam, é fazer com que o arquivo seja mostrado pelo Windows, com um ícone diferenciado. Assim, quando o arquivo é baixado pelo usuário, ele é mostrado como um arquivo do tipo doc ( figura abaixo ). Isto pode, para alguns tipos de usuários, causar a tranquilidade de clicar no arquivo, pensando que o mesmo seja um arquivo não nocivo, por se tratar de um documento do Ms Word.

Assim, a primeira vista, o arquivo parece não ser nocivo, e o usuário pode ser tentado a clicar no mesmo. Para ter certeza do tipo de arquivo com o qual estava lidando, levei-o a minha partição Linux e usei o comando file.
O resultado foi :
bash-3.00$ file cartao.exe
cartao.exe: PE executable for MS Windows (GUI) Intel 80386 32-bit
bash-3.00$ mv cartao.exe cartao.doc
bash-3.00$ file cartao.doc cartao.doc: PE executable for MS Windows (GUI) Intel 80386 32-bit
O que fornece a certeza de que tal arquivo é um executável, e que por sua vez, pode causar problemas ao usuário que clicar no mesmo. Um site muito utilizado para este tipo de análise em arquivos baixados em mensagens de Phishing, é o site WebImmune, da Mcafee. Assim, criei uma conta no site e remeti o arquivo para análise. Infelizmente, o mesmo me devolveu uma análise inconclusiva, e me disse estar remetendo o arquivo para seus laboratórios a fim de que seja analisado.
A resposta virá em alguns dias. Como não estava com vontade de esperar, resolvi usar o serviço Jotti's Malware Scan, que utiliza diversos anti-vírus para lhe mostrar um resultado. Este site, mostrou ser mais objetivo. Dos 15 anti-vírus constantes no site, 8 detectaram a presença de um malware baseado no Trojan.PWS.Banker . Este trojan, quando executado, torna o computador hospedeiro arma fácil para golpes bancários. Em geral, ele se casa com a interface de alguns bancos brasileiros, visando roubar dados de contas. Este executável parece ter sido construído para este fim, e logicamente, com características próprias, pois cada golpe de Phishing envolvendo bancos, tem programadores especializados em criar este tipo de programa. O primeiro passo, para se defender deste tipo de praga, é não fazer o download do que não se conhece. O segundo passo, é manter seu anti-vírus e sistema atualizados. Caso tenha recebido esta mensagem e executado o arquivo, você pode obter informações de como se livrar do mesmo no site da Mcafee.

Vídeo: 
Compartilhe agora !