Jump to content

Archived

This topic is now archived and is closed to further replies.

Silas Martins

Alertas de Phishing

Recommended Posts

Bom estive pensando em montar um tópico para relatar sempre que surgir uma nova tentativa de phishing, que nada mais é do que aqueles e-mails que você recebe prometendo muito e que no fundo se trata de vírus.

 

Aqui você ficará informado sobre os mais novos ataques e caso venha se infectar temos a equipe de remoção que cuidará de seu caso, porém aqui é somente para informar e deixar você usuário atento as golpes praticados pelos criminosos digitais.

Vamos então aos alertas:

Alerta1: Windows Live Bloqueio de Conta

Remetente: messenger_live_hotmail@terra.com.br

Conteúdo: '>http://img210.imageshack.us/i/alerta1.jpg/"]alerta1.th.jpg

Verificando o conteúdo pode se notar que o endereço para onde apontam os links estão hospedados em um servidor free;

Observem:

hxxp://suport-conta-messenger.110mb.com

Atenção este link contém malwares, portanto não o execute, sobre hipótese alguma.

 

Ao clicar no link você é redirecionado a um site onde o download do virus é iniciado. Verifiquei o conteúdo dos links e do arquivo em dois sistemas de scan o Anubis e o VirusTotal nos dois a presença de virus foi confirmada.

Vejam o report do Anubis'>http://anubis.iseclab.org/?action=result&task_id=193424be8b0d2eb142d3338496a63d0bc&format=html#id2668319"]Anubis

Veja o resultado do Virus'>http://www.virustotal.com/analisis/883cb88c0edc06a1330e98b06a6aaa5bdb270365d9fd62139a7e705978fc8719-1252109806"]Virus total

No total 7 antivirus identificaram malware.

 

 

O que esse virus faz? Ele cria alguns arquivos no seu sistema quais vão infectar os principais diretórios como Meus documentos, infecta todos os arquivos com extensão BAT, EXE;

Alterar o valor de algumas chaves de registro.

Ele criará um serviço para que seja executado toda vez que você ligar o computador;

Altera a central de segurança do internet explorer;

Cria e destrói permanentemente arquivos.

 

Arquivos criados:

C:\Documents e Settings\Administrator\Local Settings\Temporary Internet Files\Content. IE5\ODM3O1U3\svchosm [1].jpg

C:\Documents e Settings\Administrator\Local Settings\Temporary Internet Files\Content. IE5\WDUF49AN\svchosl [1].jpg

c:\windows\system32\svchosl.exe

C:\Windows\System32\svchosm.exe

Portanto se receber algum e-mail intítulado Windows Live Bloqueio de Conta e que o remetente seja este: messenger_live_hotmail@terra.com.br já sabe delete de imediato.

Finalizando fica o alerta este e-mail é uma fraude, não clique em nenhum link presente nele. O indicado é sempre que receber e-maisl desconhecidos deletar.

 

Caso você queira contribuir encaminhe pra mim ou para o ARIS-LD os e-mails de que você suspeita, para encaminha são:

blogdosilas@globomail.com e para o Aris avs@linhadefensiva.org

Share this post


Link to post
Share on other sites

Excelente Silas.

 

É bom que se diga àos usuários desta vasta rede sobre estas pragas.

São tão fáceis de se evitar e no entanto continuam "a rodo" por ai.

 

Sempre que aparece alguem com os tais "virus de msn" recomendo sempre o BankerFix'>http://www.linhadefensiva.org/bankerfix/"]BankerFix da linha defensiva, que sempre limpa certinho.

 

Mas evitar o "contágio" é sempre a melhor opção.

Boa Silas

Share this post


Link to post
Share on other sites

alerta2: Carla FW: Violência Infantil

Remetente: carlinhaqueiros@terra.com.br

Conteúdo:'>http://img35.imageshack.us/i/alerta2.jpg/"]alerta2.th.jpg

 

Desta vez o criador desta fraude foi "esperto e registrou um domínio para passa maior credibilidade e apelou para o lado emotivo das pessoas.

o link verdadeiro é:

hxxp://www.blogdacarlinha.com/pobre_menina.jpg

Apesar de parecer uma imagem não é.

Atenção este link contém malwares, portanto não o execute, sobre hipótese alguma.

 

Se caso você clicar no link presente no e-mail de imediato começa um download de um trojan.banker.

Enviei o arquivo para análise, apenas para confirmar se era um trojan.banker e como eu já esperava se confirmou , como vocês podem ver nos links citados abaixo:

Veja o report do Anubis'>http://anubis.iseclab.org/?action=result&task_id=189830d8438a175a49d24f612a5d738d3&format=html"]Anubis

Veja o repor do VirusTotal'>http://www.virustotal.com/analisis/39132e1fe5848a533a188ab35745fd1cc54e3086ba94fe61fe236f490daf2d6f-1252115740"]VirusTotal

Como se trata de uma ameaça recém lançada o Bankerfix não elimina e nem detecta ele, porém já encaminhei e logo a vacina estará disponível, porém alguns antivirus já elimina este arquivo assim que o percebe.

 

O que o virus faz?

Rouba informações bancárias sigilosas que estiverem presentes em seu computador;

Cria arquivos na pasta Windows para dificultar sua detecção;

Cria uma chave de registro;

Modifica valores de módulos de memória;

Carrega e altera algumas PID de processos.

 

Arquivos Criados

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\tmp[1].bak

C:\windows\system32\wlcomn.exe

Chave de registro criada

HKLM\​Software\​Microsoft\​DownloadManager

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação.

 

Sempre que aparece alguem com os tais "virus de msn" recomendo sempre o BankerFix'>http://www.linhadefensiva.org/bankerfix/"]BankerFix da linha defensiva, que sempre limpa certinho.

Realmente o Bankerfix nesses casos é a melhor solução.

Obrigado, minha intenção é deixar o pessoal atualizado, sempre.:thumbsup:

Share this post


Link to post
Share on other sites

alerta3: YOUTUBE - Seu video no Youtube

Remetente: YOUTUBE@youtube.com.br

Conteúdo:

alerta3.jpg

Os links mostrados no e-mail são faixada para o verdadeiro link. Como podem ver o criador desta tentativa de phishing alega que existe um vídeo no qual estão utilizando imagens de outra pessoas sem autorização. isso turo claro não passa de fraude.

O link verdadeiro é:

hxxp://biodouro.com//portal/components/com_roundcube/skins/defalt/images/icons/folder/youtube.exe

Atenção este link contém malwares, portanto não o execute, sobre hipótese alguma.

 

O conteúdo do link ainda não pode ser estudado, assim que puder analisarei e adiciono aqui quais arquivos que o virus cria.

O que posso adiantar que se trata de um trojan.banker, como a grande maioria das tentativas de phishing, com excessão de poucos que infectam o usuário com file infectors.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação.

Share this post


Link to post
Share on other sites

alerta4: Atualizado Globomail

Remetente: service@globomail.com

Conteúdo:'>http://img197.imageshack.us/i/alerta4.jpg/"]alerta4.th.jpg

Desta vez não foi utilizado no link virus apenas uma forma de enganar o usuário para fornecer sua senha e login no globomail, prometendo uma possível atualização, que claro não existe.

 

O verdadeiro link é:

hxxp://neworangonline.frhosting.net/globomail/login.htm

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Se caso você clicar no link é direcionado a uma pagina onde lhe é pedido dados pessoais, portanto caso receba este e-mail delete de imediato.

 

Veja o report: Wepawet'>http://wepawet.iseclab.org/view.php?hash=2cfe44d9d6d810a2a859b893f6718f77&t=1252279871&type=js"]Wepawet

Share this post


Link to post
Share on other sites

alerta5: esqueceu de mim

Remetente: amanda2008@turbo.com.br

Conteúdo: '>http://img41.imageshack.us/i/alerta5.jpg/"]alerta5.th.jpg

O golpe aplicado aqui já antigo, uma pessoa que se diz amigo(a) seu(ua) dizendo estar com saudades e que no final olhe oferece uma foto, porém para ver a foto você terá que clicar no link, muitos curiosos até clicam e olha o que espera por eles:

hxxp://www.blogagemdnk.com.br/visualizar.exe infected with Trojan.DownLoader.origin

Atenção este link contém malwares, portanto não o execute, sobre hipótese alguma.

Nem precisa traduzir pra saber que o que diz ali é virus não clique.

Como podem ver na imagem o link até parecido porém não esta completo alias esse link acima não é o link que aparece no e-mail vejam por que.

 

Ao clicar no link você será redirecionado

de:

hxxp://www.blogagemdnk.com.br/visualizar.php

para

hxxp://www.blogagemdnk.com.br/visualizar.exe

Como já disse acima o link esta infectado com um cavalo de Tróia. portanto não clique em nenhum link caso receba este e-mail.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação.

Share this post


Link to post
Share on other sites

alerta6: Silvia quer ser seu amigo no Orkut!!!

Remetente: Orkut@noreply.com porém o verdadeiro remetente é: anonymous@mmm1375.oemgrp.com

Conteúdo: alerta6.th.jpg

 

Esta tentativa de phisinhg foi bem trabalhada na questão da estética, mas pecaram quando não colocaram um js para esconder o real link. Ainda bem!!

Os links presentes no e-mail são esse:

hxxp://www.novafm106.com.br//equipe/?adiciona-amigo

que redireciona para

hxxp://www.novafm106.com.br//equipe/adiciona.com

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Analisando o link confirmei que o mesmo se trata de uma tentativa de phishing e está infectado como mostra os reposrt's abaixo:

 

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/85e5063dcece2235c12784560fdbf7bc94b597a2c8be5233fbac23c29eb3e2db-1252441931"]VirusTotal

Veja o Report do Anubis'>http://anubis.iseclab.org/?action=result&task_id=14519a22f96494864c55701428ec409b2&format=html"]Anubis

 

Arquivos que o virus cria:

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODM3O1U3\novavida[1].jpg C:\WINDOWS\system32\abcdef.abc

O virus ainda modifica e cria chaves de registro, modifica alguns PID do Internet Explorer, executa comandos recebidos remotamente.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação.

 

Fique atento o nome pode variar então caso receba algum convite de amizade do orkut, verifique se esse convite não se trata de um golpe.

No meu caso, a conta do orkut esta registrada em outro e-mail e de cara vi que não se tratava de um convite.

Share this post


Link to post
Share on other sites

alerta7:Torpedao Oi

Remetente: communications_msn_cs_ptbr@Microsoft.windowslive.com (falso claro) Remetente real: mfdaqui@terra.com.br

Conteúdo: '>http://img3.imageshack.us/i/alerta7.jpg/"]alerta7.th.jpg

 

Idéia nesta tentativa é apelar para idéia de que você tenha recebido um torpedo e que para visualizar este torpedo, você teria que clicar no link apontado no e-mail. Ao clicar será iniciada uma sessão de download e caso você aceitasse iria se infectar com um rootkit como mostra o resultado do scan realizado por mim no VirusTotal.

 

Neste caso o banker não teve o trabalho de esconder a verdadeira url, tanto que ao se posicionar o mouse sobre o link o mesmo é apontado.

O link presente no e-mail é:

hxxp://www.powerfullsy.com.br/torpedaoi.com

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Conforme relatei acima enviado o arquivo para analise e ficou constatado a tentativa de phising.

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/562bcb593b6e27a1dc07a0fd4d003657ba2984f0f080d311f91ffca0e9fa728a-1252890814"]VirusTotal

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

Share this post


Link to post
Share on other sites

alerta8: Telegrama Online

Remetente: correiosweb@messenger.com

Conteúdo: '>http://img9.imageshack.us/i/alerta8.jpg/"]alerta8.th.jpg

 

Essa é uma das piores tentativas que já vi, cheia de erros a imagem que se refere ao telegrama é muito mal feita. o link esta em um servidor free, a url não é nada parecida com a url dos Correios. Enfim ao abrir o e-mail já se nota que se trata de uma tentativa de phishing.

O e-mail tenta ludibriar o leitor para que ele acredite que aquilo se trata de um Telegrama online e para isso usam um gif(imagem animada) onde o link é apontado.

 

O link presente no e-mail é:

hxxp://correiosonline.servehttp.com

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Baixei o arquivo e após análise foi enviado para o site VirusTotal, vejam abaixo o resultado

 

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/b3501857b70ddc453f20850e313313841576120b6efd7d8b80184aa414c13c8b-1252958018"]VirusTotal

 

Arquivos e processos criados:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aa42_appcompat.txt

C:\WINDOWS\system32\dwwin.exe

Além de criar estes arquivos o trojan ainda modifica e monitora registros e arquivos, isso o classifica como um banker.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

Share this post


Link to post
Share on other sites

alerta9: Demorei mais ta ai

Remetente: communications_msn_cs_ptbr@microsoft.windowslive.com

Conteúdo: '>http://img29.imageshack.us/i/alerta9.jpg/"]alerta9.th.jpg

Aqui foi aplicado o velho truque de querer disfarçar um link como se fosse anexo.pps, usaram uma url "parecida" com a url até "criativa" perto das ultimas que ando recebendo.

Porém o que me causou certa estranheza é a presença de um link que já foi mostrado aqui, isso indica que um mesmo grupo esta reaproveitando diretórios, e alias havia derrubado o site.

 

Os links presentes são: (lembrando que só um aparece no corpo do e-mail)

hxxp://msnliveamigos.no-ip.biz

que redireciona para

hxxp://vendasonl.com/cham/fotosJPG.com

hxxp://mensagens.servemp3.com

este ultimo não analisei pois já havia sido analisado anteriormente.

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/dd5ef8944213bca9053975e4b78aa51398b010430b1278b568a70b790a24e8a0-1252990226"]VirusTotal (como a maioria se trata de trojan.banker)

 

Arquivos Criados:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a19f_appcompat.txt

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7DF71.dmp

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log

Neste caso e como na grande maioria a intenção principal é capturar dados bancários, analisei o arquivo drwtsn32.log e vi que ali ficam armazenados os dados que o virus recolhe, no meu caos não tinha nada a recolher.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

Caso você tenha entrado em contato com este virus crie um novo tópico na área de Segurança & Malwares seguindo as regras. Sempre tenha seu antivirus atualizado, e seu sistema operacional também.

 

Fiquem atentos e qualquer e-mail desconhecido não abra delete de imediato.

 

Alertas reportados por: Silas Martins

Share this post


Link to post
Share on other sites

alerta10: Você recebeu uma declaração de amor

Remetente: cartao@online.com.br remetente real: coisaboadocyrus@gmail.com

Conteúdo: '>http://img33.imageshack.us/i/alerta10.jpg/"]alerta10.th.jpg

Essa é a primeira vez que vejo algo desse tipo, por sinal muito mal trabalhado. A idéia é fazer com que o leitor acredite que existe um cartão virtual esperando por ele, quando na verdade o que existe é um file infector.

 

O link presente é:

hxxp://shortlinks.net/yuw439

que redireciona para

hxxp://shortlinks.net/run.php?string=yuw439

que redireciona para:

hxxp://72.44.51.100/cartaoonline.php

que redireciona para:

hxxp://174.129.126.249/visualizar.exe

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Essa tentativa é tão diferente das demais que ela além de te infectar com o banker, ainda infecta você com o Induc.a. Possivelmente o compilador do criminoso esta infectado pelo dai a explicação para isso, só lembrando que o induc.a não causa danos ao sistema operacional. Mas da uma certa dor de cabeça pois inutiliza alguns softwares que tenha como plataforma Delphi da versão 4 a 7

 

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/d5bec24742a445098158e43b2e36d6082065a98d1b3ed8d71cc12d652aa8fc1f-1252958326"]VirusTotal

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

Caso você tenha entrado em contato com este virus crie um novo tópico na área de Segurança & Malwares seguindo as regras.

 

Sempre tenha seu antivirus e Windows atualizados.

Share this post


Link to post
Share on other sites

alerta11: VIDEO DE UM PACIENTE MORRENDO COM GRIPE A

Remetente: informe.sic@aeiou.pt remetente real: root@196405-1.196405-1.com

Conteúdo: '>http://img14.imageshack.us/i/alerta11.jpg/"]alerta11.th.jpg

Usaram aqui a criatividade para aguçar a curiosidade humana, e vão conseguir, pois o assunto é atual, e ainda existem pessoas desavisadas.

O pior de tudo nessa tentativa é o file infector que vem no link( o tal "vídeo") ele é conhecido por Virut.AI entre outras variantes, ele é devastador, seu grau de destruição é tão grande que recomendamos a formatação e poucas vezes tentamos a remoção.

 

Por se tratar de um file infector ele infecta todos os arquivos presente na unidade física(HD) e os transforma em executáveis, independente do formato do arquivo.

 

O link presente no é:

hxxp://www.hh1nn1.co.cc/h1n1.php

que redireciona para:

hxxp://www.hh1nn1.co.cc/h1n1.exe

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Chaves de Registro criadas:

HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Enigma Protector

HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Enigma Protector\​AA849D5B04C4F0D7-3471FCE06EB1656B

 

Como a extensão dos arquivos é em todo HD não irei postar os arquivos criados.

 

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/465f20fd3ab7c260f9dc8ab99c1eca6dc6aeca3d74bc47ebaf45499305b04eb9-1253207944"]VirusTotal

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

Caso você tenha entrado em contato com este virus crie um novo tópico na área de Segurança & Malwares seguindo as regras.

 

Sempre tenha seu antivirus e Windows atualizados.

 

alerta reportado por: Silas Martins

Share this post


Link to post
Share on other sites

alerta12: Documentação...

Remetente: diretor@dtconsultoria.com.br

Conteúdo: alerta12.jpg

 

A primeira vista até parece se tratar de mais um e-mail comum se não fosse pelo anexo esta no fim do e-mail.

 

O link presente é:

hxxp://www.segurancabrasil.com/documentos.doc

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

 

Arquivos criados:

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\tmp[1].bak

C:\windows\system32\wlcomn.exe

 

Chave de registro criada:

HKLM\​Software\​Microsoft\​DownloadManager

 

Como na grande maioria das tentativas de phishing, o tipo de vírus utilizado foi o TR/Banker.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

Caso você tenha entrado em contato com este virus crie um novo tópico na área de Segurança & Malwares seguindo as regras.

Share this post


Link to post
Share on other sites

Já recebi todas essas mensgens e outras mais...

Ex: sequestro de familiar, SPC, mulher casada etc.

 

A mais engraçada que acho são umas que vem assim

 

Enviada: terça-feira, 4 de setembro de 2007 22:34:47

Para: lung_sak@hotmail.com; lung_sand@hotmail.com; lung_sen@hotmail.com; lung_sh@hotmail.com; lung_shaolin@hotmail.com; lung_sharon0807@hotmail.com; lung_sharon87@hotmail.com; lung_shih@hotmail.com; lung_shun_ho@hotmail.com; lung_si@hotmail.com

 

Já recebi várias inclusive com nomes a mais.... Só vontade de enviar mensagem para mim.

 

Mas não pegam em mim.

 

:ninja:

Share this post


Link to post
Share on other sites

alerta13: Cartão chave de segurança Bradesco expirado!

Remetente: seguranca@bradesco.br.com remetente real: mistrz@mistrzostwa-swiata.org

Conteúdo: '>http://img32.imageshack.us/i/alerta13c.jpg/"]alerta13c.th.jpg

O link presente é:

hxxp://www.bradesco.com.br.cadastro.kingdombldrs.com/recadastro

que redireciona para

hxxp://i-45sales.com/cache/bradeco

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Detalhe em nenhum dos link foi detectado virus, o metódo usado é novo (ao menos pra mim) a idéia do banker, é fazer com que a pessoa digite seus dados e senhas no site assim ele(banker) obten o que quer sem que o usuário perceba que esta sendo roubado.

 

Vejam como trabalharam bem a pagina:

'>http://img190.imageshack.us/i/alerta13.jpg/"]alerta13.th.jpg

Da pra notar que o banker dessa vez não quis ser percebido por antivirus ou algo do tipo, pois uso proxy e tentei entrar no link com um ip canadense e deu not found, já com meu ip real a pagina abriu normalmente. Essa tática se chama GeoIP, muito utilizada para evitar que mecanismos de detecção localize e examine a pagina.

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

 

Alerta reportado por: Silas Martins

Share this post


Link to post
Share on other sites

alerta14 proteção de dados Bradesco

Remetente:Infoemail@bradesco.com remetente real: administracao@terra.com.br

Conteúdo:alerta14.jpg

 

Nesta tentativa até clip do Bradesco tem, só não apareceu pois minha VM usa Firefox sem complementos.

 

O link presente é:

hxxp://bradescompleto.protecaocompleta.com/instala.php?instalar=56919436

Atenção: este link pode oferecer riscos a segurança de seus dados, portanto não o execute sobre nenhuma circunstância.

 

Como de rotina se trata de um trojan.banker nesse caso a única "diferença" são os alertas que o trojan cria ao se instalar na maquina (chatos até demais) pois o virus altera o valor de cmd.exe dentro de system32 e cria dentro dele serviços que farão estes alertas aparecerem na tela.

 

São poucos os arquivos criados porem se replicam com muita facilidade.

 

Arquivos afetados:

C:\WINDOWS\system32\cmd.exe -> cmd /c "net stop alerter"

C:\WINDOWS\system32\cmd.exe -> cmd /c "sc config SharedAccess start= disabled"

E assim por diante, além de alterar e criar arquivos ele monitora chaves de registros e mapeia a memória.

 

Veja o Report do VirusTotal'>http://www.virustotal.com/analisis/e098ce5d5fcdb7ade3a374f528a4713b5fbd000f3ed63ee4d8021b8f71634a39-1253666924"]VirusTotal

 

Aviso: Caso receba este e-mail não clique em nada por mais real que pareça ele não é, delete de imediato para evitar contaminação e perda/roubo de dados sigilosos.

 

Este foi o meu último alerta espero que o pessoal dê continuidade a esse projeto, qualquer usuário que quiser postar fique a vontade.

 

alerta reportado por: Silas Martins

 

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.