Como você podem me ajudar???

Engenharia Social pura. Literalmente nem foi preciso trabalhar muito o Phishing para que ele ficasse muito bonitinho.

No fim das contas, foi só colocar a foto de uma menina bonitinha e apelar para o lado sexual da coisa. Ou seja, a maioria dos que forem pegos por esta mensagem estarão esperando que a menina tenha mandado fotos dela nua ou em roupas mínimas.

Uma tática inteligente, pois nem necessita de um email muito bem construído ( no título os erros de português já começam ), pois até denotaria algo diferente, já que um usuário comum em geral não tem bons conhecimentos de construção de página de internet ou até, construção de uma mensagem mais artística.



baixar.exe : O arquivo está hospedado em um site qualquer na internet. E por incrível que pareça o link http://www.cosatiregalo.com/public/top100/banners//baixar.exe, aponta para um site realmente válido na internet. O domínio http://www.cosatiregalo.com existe, e possivelmente foi invadido e está sendo utilizado como hospedagem de um arquivo deste tipo sem que o administrador saiba ( que por sinal já foi avisado via email ).

Bem, como uma garota de Tocantins, que está em um concurso de beleza da escola, ia conseguir hospedar suas fotos em um site do exterior, e que não fornece hospedagem gratuita, já mereceria uma dúvida por parte do usuário, concorda ?

Mas como a maioria irá deixar a testosterona falar mais alto, literalmente, irá baixar.

E, para teste, baixei o arquivo. Bom, o arquivo em questão, de acordo com o serviço WebImmnue, da Nai, contém uma variação do trojan downloader. A função do downloader é efetuar um download de um arquivo em um site qualquer na internet e executá-lo na máquina infectada.

Bom, então resolvi mandar o arquivo para o site Jotti’s malware scan, que efetua uma varredura mais completa no arquivo, fornecendo em geral mais informações que WebImmune.

O Norman Virus Control, forneceu uma informação bem completa sobre o que o downloader iria fazer.

Found Sandbox: W32/Downloader; [ General information ]

  • File length: 45568 bytes.

[ Changes to filesystem ]

  • Creates file C:\WINDOWS\SYSTEM32\imgrt.scr.

[ Network services ]

[ Security issues ]

  • Starting downloaded file - potential security problem.

Ou seja, o trojan downloader iria puxar o arquivo tituloss.jpg e renomeá-lo para imgrt.scr quando fosse colocado na máquina do usuário.

Assim, para continuar a análise do golpe, foi feito o download do arquivo. O arquivo é uma variação do trojan Bandra, que pela Kapersky é definido como um outro nome para o famoso Trojan.PWS.Banker.897, em sua variação 897 ( nome dado pelo Dr. Web.

O Spy do nome, é, também de acordo com a kapersky, um tipo de trojan que possui captação do que é digitado no computador, captação de imagens, logs das aplicações mais importantes, bem como outras ações efetuadas pelo usuário em sua máquina. Ou seja, o tipo de trojan indicado para fraudes bancárias.

Portanto, não queira ver as fotos nuas destes rosto bonitinho. Ou então, seu dinheiro vai todo para a conta de algum marmanjo por aí ;-)

comments powered by Disqus