Informação de qualidade você encontra aqui!
Siga-me:
[Alerta] Falso E-mail: “Segue na mensagem o comprovante”
Escrito por Silas Martins em 26 de novembro de 2009 – 23:10 - 861 visualizaçõesParece que os bankers brasileiros tem uma ligeira queda pelo Bradesco, ou seria por ser um dos maiores bancos privados do país. Porém o que mais chama atenção é a tática usada para tentar enganar quem recebe este tipo de “e-mail. Usam uma imagem distorcida e nela adicionam um link, usando da curiosidade humana, pois algum desavisado, ao ver aquela imagem vai querer conferir a imagem em tamanho real, e é ai que mora o perigo.
Vejam a imagem usada nessa tentativa de phishing – pescaria – como eles utilizaram tais táticas.
Abaixo você esta vendo a imagem que se vê quando abrimos o email
Por traz desta imagem se esconde um link que nem a Web of Trust foi capaz de dar a verdadeira classificação a ele. O link escondido usa um domínio que leva consigo a palavra comprovante, o que para alguns pode dar segurança.
O link por traz da imagem você pode conferir abaixo:
hxxp://comprovante.sytes.net/
Ao clicar na imagem você é redirecionado para outro site e nesse sim é onde se encontra o arquivo malicioso:
hxxp://convitelive.com/Comprovante.php
Atenção caso receba este e-mail não clique em link algum e delete o quanto antes, o tipo de infecção presente é Win32/TrojanDownloader.VB.NUI.
Este tipo de malware geralmente da muita dor de cabeça para remover, portanto fica o alerta, não abra e-mail’s de desconhecidos, ou você será o próximo a ser “fisgado”
Tags: Alerta, bankers, Malware, Trojan
Postado em Alertas, Destaques | Sem comentários »
[Site Suspeito] Baladasnight.com
Escrito por Silas Martins em 24 de novembro de 2009 – 10:04 - 1.240 visualizaçõesFoi identificado em uma das paginas do site baladasnight.com uma tentativa de infecção por Trojan/Downloader. O site supostamente é faixada para atuação de criminosos. Ainda não apurei se a tentativa de infecção é intencional ou se o site foi vitima de invasão.
Essa infecção por sua vez toma o controle do envio de e-mails, fazendo assim que seus contatos recebam e-mails como se você os tivessem enviados, porém todo cuidado é pouco, pois a infecção se alastra rapidamente e sua desinfecção nem sempre fácil.
O link no qual detectei a tentativa de infecção, veio até mim por meio de um email intitulado “ERR_LOGIN” o remetente é conhecido por mim, o que ocorre é que o remetente provavelmente entrou em contato com o link infectado e sua maquina esta sendo usada para ataques “Zumbis”.
Portanto fica o aviso caso receba algum email intitulado ERR_LOGIN delete de imediato, e procure não entrar em contato com o site baladasnight.com até que tudo seja esclarecido.
Caso você tenha entrado em contato com o arquivo infectado que vem pelo anexo do e-mail, entre no fórum Remoção de Malware, lá irei fornecer apoio e assistência gratuita na remoção deste virus.
Tags: Baladasnight.com, Invasão, Site Suspeito, Trojan
Postado em Alertas | 2 Comentários »
A história por traz do Induc.a
Escrito por Silas Martins em 24 de novembro de 2009 – 9:44 - 693 visualizaçõesAnalistas do mundo todo estão espantados com os números de infecções por induc.a. Já se compara ele com o Conficker, uma vez que já foi noticiado mais de 4 milhões de infecções simultâneas, ou seja não é um exagero a comparação.
Leiam abaixo um artigo publicado no weblog da Kasperky por um analista e vejam que o que ainda vai ocorrer:
Houve muito espalhafato nos meios de comunicação ultimamente, com notícias de todas as companhias de antivírus principais que são impressas e reimprimiu. E todas as notícias estão no mesmo tópico – algo que não vimos desde então Kido (Conficker) e a última vulnerabilidade Construída com adobes. A fonte de todo o espalhafato? Vírus. Win32. Induc.a.
Induc foi um caso tão excepcional que inicialmente somente publicamos um blog curto oferta de detalhes técnicos sobre o vírus. Agora lá é tempo de retroceder, respirar, e avaliar o verdadeiro impacto de Induc.
O nome relaciona-se diretamente à funcionalidade de vírus. Uma vez que está na máquina de vítima, ele verifica para ver se Delphi é instalado – ele visa versões 4.0, 5.0, 6.0 e 7.0. Se ele descobrir uma destas versões de Delphi, ele copia o arquivo.pas que ele está indo usar (neste caso, sysconst.pas) a \Source a \Lib e acrescenta o seu código ao arquivo. Ele faz um apoio de sysconst.dcu, chamando-o sysconst.bak, e compila o arquivo.pas infeccionado, que resulta em um novo sysconst.dcu que contém código malicioso. O arquivo.pas infeccionado então é eliminado.
Portanto temos um vírus que acrescenta o seu código a um arquivo com uma extensão.dcu – você pode dizer que o código é “em dcu”. Troca um par de cartas em volta (que é o que normalmente fazemos denominando vírus) e você adquire Induc. (Naturalmente, às vezes os vírus adquirem nomes diferentes dados por companhias de antivírus diferentes. Todo o mundo que chama este vírus Induc é um sinal que realmente fomos primeiros em acrescentar a detenção e a desinfeção desta parte de malware – é normalmente o nome dado que tende a picar.)
Uma vez que o vírus injetou com sucesso o seu código em sysconst.dcu, qualquer programa Delphi compilado na máquina será infeccionado. Não há nenhuma outra carga paga à parte do fato que Induc pode estender-se. A coisa interessante é o caminho do qual se estende – é não infecciona arquivos exe, mas arquivos de compilação de linguagem de programação.
Isto não é uma nova aproximação. Alguns de vocês poderiam lembrar-se de um vírus semelhante dos anos 1990, um vírus que visou o MS-DOS e infeccionou arquivos de Pascal. Há outros exemplos do passado mais recente: Lykov, por exemplo, que acrescenta o seu código a arquivos de fonte de programa Básicos Visuais, primeiro apareceu em 2003. O seu sucessor, Lykov.b, que infecciona arquivos de fonte de programa VB.NET, destacou-se um par de anos depois.
Mas pelo que saibamos, sem de alguém processado para infeccionar diretamente os arquivos de serviço de um compilador antes. Esta aproximação é tão excepcional que não se ajusta em qualquer lugar no nosso sistema de classificação atual. Induc não é um vírus no sentido restrito da palavra, porque é não infecciona diretamente arquivos. Ele modifica um arquivo de sistema único em vez de cada arquivo que ele encontra. Induc não pode ser chamado um verme, e não pode ser chamado um troiano também, embora ele realmente possua certos carimbos de tais tipos de malware. Portanto Induc realmente é algo novo.
O segundo ponto interessante é como largamente o vírus se estendeu. O dia depois que acrescentamos detenção, dados da Rede de Segurança Kaspersky mostrou que Induc foi um dos 70 programas maliciosos mais comuns. Não seria nenhuma surpresa se Induc aparecesse na nossa Estatística Malware Mensal em agosto. É possível que haja milhões de cópias de Induc em volta do mundo – talvez uma epidemia não mais pequena do que aquele causado por Kido!(Conficker)
O terceiro ponto interessante é as aplicações infeccionadas por Induc – o vírus terminou em computadores de reveladores entre outros, e alguns destes reveladores criavam aplicações muito populares. Por exemplo, vimos várias versões infeccionadas do jogador de meios de comunicação AIMP bem como QIP, o cliente transmissor imediato popular. Induc foi descoberto em aplicações em volta do mundo, em sítios de software, e em CD de software baixos de revista.
O fato que Induc foi considerado em aplicações legítimas, muitas do qual foram whitelisted por vendedores, criou outro problema. Esta vez é uma dor de cabeça da indústria que oferece whitelisting, na maior parte, via tecnologias na nuvem. Uma vez os arquivos infeccionados foram descobertos nos bancos de dados de arquivos limpos, estes bancos de dados tiveram de ser limpados. Isto destaca a fraqueza de tais bancos de dados, e se os incidentes semelhantes acontecerem no futuro, a confiança em whitelisting começará certamente a sofrer.
A desinfeção de arquivos infeccionados não é uma matéria trivial. Embora seja possível, ele pode ter resultados negativos: muitos programas (por exemplo, QIP) executam uma integridade verificam o lançamento usando uma soma de controle. Contudo, como QIP foi infeccionado na etapa de compilação, a soma de controle criada inclui o componente malicioso, portanto uma vez desinfetado, QIP não trabalhará corretamente. Contudo, os programas que não executam este cheque de integridade ainda correm corretamente atrás da desinfeção.
Quando começamos a receber arquivos infeccionados, notamos quase imediatamente que alguns programas troianos pretenderam roubar os dados de conta de banco foram infeccionados com Induc. Os autores destes Trojans tinham caído a vítima de um vírus – eles devem ter compilado os seus arquivos troianos usando uma versão infeccionada de Delphi. Todo o Trojans infeccionado que vimos veio do Brasil, embora eles tivessem sido criados por grupos diferentes de escritores de vírus. Nenhum disto subentende que próprio Induc foi escrito no Brasil – é somente que este país é um de poucos onde Delphi é a linguagem de programação o mais largamente usada (é bastante popular na Rússia também). Mas vai partir estes infeccionaram Trojans e movimento à pergunta muito importante de quanto tempo o vírus permaneceu não detectado no sertão – e porque. Somente para ser claro – o vírus foi inicialmente identificado no dia 12 de agosto de 2009 por um programador russo chamado Aleksandr Alekseev, que também é conhecido como Guns Smoker. Ele foi a única pessoa que encontrou este vírus quem não foi só capaz de arcar com o que continuava, mas ele também estendeu as notícias em todas as partes da comunidade computacional e enviou arquivos suspeitos a companhias de antivírus. Agradecimentos, Guns Smoker( http://gunsmoker.blogspot.com/2009/08/viruswin32induca.html)! O Guns Smoker publicou um artigo detalhado dos seus achados (aqui, mas em russo só). Segundo ele, os arquivos infeccionados primeiro apareceram antes de janeiro de 2009. As nossas demonstrações de dados infeccionaram arquivos que datam desde novembro – dezembro de 2008, mas infelizmente, compilando arquivos, Delphi não salva a data de conexão portanto não podemos contar exatamente quando estes arquivos foram criados. Mas podemos dizer com um pouco de certeza que Induc esteve no sertão durante um ano. Isto significa que temos uma situação sem precedente – um programa malicioso que ficou ‘invisível’, não detectado por companhias de antivírus durante mais de um ano. Isto é mesmo mais impressionante do que Rustock, o rootkit que cobrimos no ano passado. Antes que alguém comece a apontar um dedo, eu gostaria de defender a indústria de antivírus: Induc esteve em volta para tão muito tempo porque não faz nada que pode ser descoberto por tecnologias de antivírus atuais. Induc não rouba dados, estabelece qualquer conexão de rede, e não envia spam – ele não faz nada detectável. Se ele tinha verdadeira funcionalidade, Induc teria sido identificado há muito. E isto leva-nos a outra pergunta – “o que acontecerá se esta rotina de propagação fica comum?” Induc é claramente a prova do código de conceito – talvez foi escrito para ganhar uma aposta, ou talvez foi criado por acaso. Naturalmente, a idéia usada em Induc pode ser tomada por cibercriminosos, mas eles realmente não são interessados na propagação simples; eles querem ser capazes de fazer algo no sistema infeccionado. Tudo que eles podem fazer é descoberto pelas tecnologias atualmente no uso. Ou, para tomar uma visão ligeiramente diferente, nada iria não detectado para um período de tempo tão longo. Somos bastante céticos que a rotina de propagação de Induc será tomada por cibercriminosos – há abundância de modos mais simples de conduzir ataques. No entanto, Induc ensinou a todos nós algumas lições valiosas. Ele mostrou às companhias de antivírus que whitelisting não é perfeito, e nem é a primeira detenção de ameaça tudo que poderia ser. Ele mostrou a reveladores de software que eles têm de entender como as suas linguagens de programação realmente trabalham. E finalmente, Induc mostrou todo o mundo que usa um computador que até acreditou que as aplicações possam não ser tão limpas como eles olham. Ainda hoje meses depois retorno do induc ele tem causado muita dor de cabeça em desenvolvedores, porém já existe soluçaõ e modos de remoção
Caso você esteja contaminado e precisa fazer uso da plataforma Delphi já existe desinfecção para ele, segue o link
E se você esta infectado por qualquer outro tipo de virus acesse o fórum de Remoção de Malwares que lá eu te auxiliarei a livra-se de qualquer vírus.
Tags: File Infector, Induc, Malware, Vulnerabilidade
Postado em Segurança Digital | Sem comentários »
Site de busca da UOL na lista negra da Malware Domain List
Escrito por Silas Martins em 24 de novembro de 2009 – 8:52 - 1.160 visualizaçõesNa semana passada o site de buscas http://mundo.busca.uol.com.br foi inserido na lista negra, o motivo segundo a MDL seria o risco de uma má referência em link.
A UOL ainda não se pronunciou sobre o fato de ter seu sistema de buscas como um domínio até então considerado malicioso, já não é a primeira vez que um domínio UOl é considerado malicioso, porém desta vez além da MDL ( Malware Domain List) a Web of Trust também classificou o domínio como conteúdo malicioso.
Para ilustrar melhor a situação vou mostrar a tela que é exibida pela Web of Trust quando se tenta acessar o site de buscas UOL, vejam:
Web of Trust
Apesar do site estar sendo apontado como perigoso fiz uma total varredura no site e não achei nada que coloque o internauta em risco, vale ressaltar que o sistema de classificação leva em conta os links os quais apontam para o site.
Para deixar o fato documentado eis o link para o MDL onde você pode conferir a presença do site http://mundo.busca.uol.com.br na lista negra 
.
Tags: Malware Domain List, UOL, Web of Trust
Postado em Alertas | Sem comentários »
Descoberta nova vulnerabilidade nos IE7 e IE6
Escrito por Silas Martins em 24 de novembro de 2009 – 8:13 - 749 visualizaçõesUma recém-descoberta falha de segurança nas versões 6 e 7 do Internet Explorer permite a um hacker tomar controle completo de uma máquina vulnerável.
A vulnerabilidade é resultado de um apontador “solto” no IE e já há um exploit para ela circulando na web. A falha reside no modo como o Internet Explorer gerencia dados CSS. O CSS é uma tecnologia usada em muitos sites para ajudar a exibir as informações de maneira organizada. Especificamente, a falha está no mshtml.dll, o visualizador Microsoft HTML.
De acordo com uma análise da Vupen Security, um hacker pode explorar a falha para travar uma versão vulnerável do IE, ou rodar um código arbitrário na máquina do usuário. Ainda não há um patch disponível. O SANS Internet Storm Center também tem uma análise sobre o caso:
Uma vulnerabilidade foi identificada no Microsoft Internet Explorer. Ela pode ser explorada por hackers para comprometer um sistema. Esse problema é causado por um apontador solto no Microsoft HTML Viewer (mshtml.dll) ao requerer certos objetos CSS/STYLE por meio do método “getElementsByTagName()”, o que poderia permitir a atacantes travar um browser afetado ou executar código arbitário, levando o usuário para uma página maliciosa.
Um exploit para a vulnerabilidade foi publicado na lista Bugtraq na sexta, mas experts dizem que ainda não é muito confiável. No entanto, o nível de detalhe incluído no post do Bugtraq certamente levará um exploit mais eficaz em breve. Para se prevenir, usuários do IE devem desabilitar o suporte ao JavaScript (na aba Ferramentas).
Créditos: Threadpost
Tags: Falha, Internet Explorer, Microsoft, Segurança, Vulnerabilidade
Postado em Segurança Digital | Sem comentários »
Posts Recentes
Posts mais vistos
- Baixe vídeos do youtube através do Google Chrome - 72.017 visualizações
- [Tutorial] Configurando proxy no Chrome sem afetar o Internet Explorer - 25.047 visualizações
- Resolvendo o problema “Processo de host para Serviços do Windows parou de funcionar” - 12.001 visualizações
- Atualização do Avast causa danos para aplicações Delphi - 7.859 visualizações
- Como ativar o gerenciador de tarefas, descubra aqui - 7.401 visualizações
- White House concerned over “controversial” #cybersecurity bill that could give out public info - says @declanm via @CNET 1 month ago
Usuários Online
1 usuário navegando nesta página.
Users: 1 visitante
Users: 1 visitante
Calendário de Posts
| S | T | Q | Q | S | S | D |
|---|---|---|---|---|---|---|
| « out | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 | |||
Fatal error: Call to undefined function akismet_counter() in /home/silasjrc/public_html/wp-content/themes/silasjr/sidebar.php on line 8