Novo malware no Facebook promete exibir os últimos 10 visitantes do perfil dá vitima.

Chegou até mim a noticia que há um aplicativo no facebook chamado ProfileSpy ( Stalker) , o qual promete exibir os últimos visitantes do seu perfl na rede do Facebook.

Pesquisando um pouco notei que o aplicativo fornece para a vitima um link malicioso,que promete exibir os ultimos 10 visitantes do seu perfil.
Porém na verdade este link realiza uma postagem no mural da pessoa para que todos em sua rede faça uso do falso app. Como todo malware voltado para o Facebook, este apenas coleta seus dados da rede social para fins escusos.

Portanto fique alerta caso algum amigo seu apareça com essa “novidade” alerte-o sobre os riscos e não clique em nenhum link que prometa algo parecido pois na maioria das vezes – quase sempre – são aplicativos maliciosos.

Público Alvo

Este falso aplicativo parece ter seu púbico aqui no Brasil, onde a curiosidade para saber quem é que esta visitando seu perfil já é mania. Tendo em vista a rede social Orkut que já oferece este tipo de serviço aos seus usuários.

Prevenção

Para se prevenir é simples só não fazer uso deste aplicativo, e para quem já utilizou retire as permissões concedidas ao aplicativos na área de configurações de aplicativos, em seguida troque sua senha.

O e-mail tenta se passar por uma notificação de orçamento de uma revista muito conhecida.

Em seu conteúdo traz um link que leva direto para um cavalo de tróia. Pensando em meus leitores e em evitar que pessoas desavisadas se contaminassem eu análisei o cavalo de tróia e vou mostrar como ele age.

O link contido no e-mail é hxxp://www.cordillerablanca.org/new/OS/AboutUS/img/index3.php?/land=orcamento/planilha/relatorio.doc

Abaixo segue a análise feita por mim no malware:

Arquivos criados:

planilha-documento_403924.src
%System%\adthien3.exe
%System%\shoswtrvg.exe
%System%\adthien3.exe

Ao ser executado em uma máquina que tenha o Office instalado surge a seguinte tela:

Apesar da janela mostrar que ouve um erro e que o arquivo esta corrompido,o virus se introduziu na maquina, pois ele tenta se passar por um arquivo que possa ser lido no Office mas na verdade ele só precisa ser executado para infectar sua maquina.

Chaves de registros alteradas/criadas:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
UacDisableNotify = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
EnableLUA = 0×00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
iexplorer = “%System%\iexplorerr32.exe“
explorer64bt = “%System%\shoswtrvg.exe”
hotsendd = “%System%\adthien3.exe“

Caso você receba este e-mail apague-o pois seu conteúdo como já dito antes é malicioso.

Porém se você já caiu neste golpe indico que tenha instalado um bom antivirus, e caso queira auxilio na remoção, se cadastre e postes eu problema neste fórum: http://www.forumweb.com.br/foruns/forum/175-remocao-de-malwares/

Malware analisado e reportado por: Silas Martins

Contribua comigo, enviando e-mails que você suspeita para ... ficarei grato.

Se você leva a sério sobre sua privacidade online e segurança do PC, você vai saber que as funções de hash são ferramentas importantes para validar a autenticidade e a integridade de um arquivo. Digamos que, quando você baixar um arquivo da internet, você nunca sabe, se o arquivo de origem é o arquivo que você tem realmente recebido, são exatamente iguais. Há chances de que algum malware foi anexado a ele.

As funções de hash são um meio para validar a autenticidade dos arquivos baixados.

Vejamos o que a Wikipédia fala sobre o Hash:
Um hash é uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números (0 a 9 e A a F), representando 1/2 byte cada. O conceito teórico diz que “hash é a transformação de uma grande quantidade de informações em uma pequena quantidade de informações”.

Essa sequência busca identificar um arquivo ou informação unicamente. Por exemplo, uma mensagem de correio eletrônico, uma senha, uma chave criptográfica ou mesmo um arquivo. É um método para transformar dados de tal forma que o resultado seja (quase) exclusivo. Além disso, funções usadas em criptografia garantem que não é possível a partir de um valor de hash retornar à informação original.

Como a sequência do hash é limitada, muitas vezes não passando de 512 bits, existem colisões (sequências iguais para dados diferentes). Quanto maior for a dificuldade de se criar colisões intencionais, melhor é o algoritmo.

Portanto é sempre recomendável que você verifique se o Hash de um determinado arquivo que você baixou conferi com o arquivo legitmo ou se trata de um malware. Para isto existem ferramentas gratuitas que facilitam o trabalho.

São elas a HashTab e a HashMyFiles

HashTab:

HashTab fornece extensões do SO para calcular hashes de arquivo. HashTab suporta vários algoritmos de hash como MD5, SHA1, SHA2, RIPEMD, HAVAL e Whirlpool. HashTab é suportado como uma extensão de shell do Windows. A  HashTab fornece uma maneira fácil de verificar a integridade e autenticidade do arquivo.

Download

HashMyFiles:

HashMyFiles é um utilitário pequeno que lhe permite calcular o MD5 e SHA1 de um ou mais arquivos em seu sistema. Você pode facilmente copiar a lista de hashes MD5/SHA1 na pasta, ou salvá-las em texto / arquivo de html / xml.

Download

Este e-mail nada mais é que uma tentativa de phishing, ou seja, tentar capturar seus dados, isto se você fizer o download do arquivo.

Observe a imagem abaixo que retrata o e-mail:

Veja que o link esconde a url verdadeira que foi encurtada na tentativa de enganar a quem receber este email.

A url verdadeira é:
hxxp://bit.ly/f07AVb?fotos-Fernanda-Flores.JPG

Atenção esta url te leva a um download de malware, portanto não cliquem caso receba este e-mail.

Ao baixar o arquivo ele irá inserir um proxy no seu arquivo HOST com intuito de capturar suas transações bancarias e todo e qualquer tipo de senha.

Veja abaixo a alteração causada pelo malware:
# Copyright (c) 1993-1999 Microsoft Corp.<br /> #<br /> # Este � um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows.<br /> # Este arquivo cont�m os mapeamentos de endere�os IP para nomes de host. Cada<br /> # entrada deve ser mantida em uma linha individual. O endere�o IP deve<br /> # ser colocado na primeira coluna, seguido do nome de host correspondente.<br /> # O endere�o IP e o nome do host devem ser separados por pelo menos um<br /> # espa�o.<br /> # Adicionalmente, coment�rios (como estes) podem ser inseridos em linhas<br /> # individuais ou ap�s o nome de computador indicado por um s�mbolo ‘#’.<br /> # Por exemplo:<br /> # 102.54.94.97 rino.acme.com # servidor de origem<br /> # 38.25.63.10 x.acme.com # host cliente x<br /> ECHO is on.<br /> 127.0.0.1 localhost<br /> 41.220.115.205 www.hotmail.com<br /> 41.220.115.205 hotmail.com<br /> 41.220.115.205 msn.com<br /> 41.220.115.205 www.msn.com<br /> 41.220.115.205 live.com<br /> 41.220.115.205 www.live.com<br /> 41.220.115.205 www4.itau.com.br 41.220.115.205 itau.com.br 41.220.115.205 www.itau.com.br 41.220.115.205 www.bancoitau.com.br 41.220.115.205 bancoitau.com.br 41.220.115.205 www.itaupersonnalite.com.br 41.220.115.205 itaupersonnalite.com.br 41.220.115.205 bradesco.com.br 41.220.115.205 www.bradesco.com.br 41.220.115.205 www4.bradesco.com.br 41.220.115.205 www.prime.com.br 41.220.115.205 prime.com.br 41.220.115.205 www.bradescoprime.com.br 41.220.115.205 bradescoprime.com.br 41.220.115.205 bb.com.br 41.220.115.205 www.bb.com.br 41.220.115.205 www.bancodobrasil.com.br 41.220.115.205 bancodobrasil.com.br 41.220.115.205 www.serasa.com.br 41.220.115.205 serasa.com.br 41.220.115.205 www.santander.com.br 41.220.115.205 www4.santander.com.br 41.220.115.205 santander.com.br 41.220.115.205 www.santandernet.com.br 41.220.115.205 santandernet.com.br 41.220.115.205 www.banrisul.com.br 41.220.115.205 www4.banrisul.com.br 41.220.115.205 banrisul.com.br 41.220.115.205 www2.americanexpress.com.br 41.220.115.205 www.americanexpress.com.br 41.220.115.205 americanexpress.com.br 41.220.115.205 www.americanexpress.com 41.220.115.205 americanexpress.com 41.220.115.205 www.banespa.com.br 41.220.115.205 www.cef.com.br 41.220.115.205 cef.com.br 41.220.115.205 www.caixa.gov.br 41.220.115.205 caixa.gov.br 41.220.115.205 www.caixa.com.br 41.220.115.205 caixa.com.br 41.220.115.205 www.caixaeconomica.com.br 41.220.115.205 caixaeconomica.com.br 41.220.115.205 www.caixaeconomica.gov.br 41.220.115.205 caixaeconomica.gov.br 41.220.115.205 www.caixaeconomicafederal.com.br 41.220.115.205 caixaeconomicafederal.com.br 41.220.115.205 www.caixaeconomicafederal.gov.br 41.220.115.205 caixaeconomicafederal.gov.br 41.220.115.205 www.bancoreal.com.br 41.220.115.205 bancoreal.com.br 41.220.115.205 www.real.com.br 41.220.115.205 real.com.br $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ $$$$$$$$$LucAs_Over$$$$$$$$$$$$

O banker autor desta tentativa de phishing ainda teve a desfatez de inserir seu nome no final do arquivo Host.

Bom vou encerrando por aqui este Quickpost.

Uma nova tentativa de phishing via e-mail chegou até mim hoje, e como “fuçador” que sou fui logo baixando o malware para análise.

O e-mail que tenta se passar por um comunicado de uma instituição financeira, e no corpo da mensagem é dito ao usuário que é a última chance dele de atualizar seu iToken, na verdade não passa de uma tentativa de se obter dados sigilosos. E o usuário que estiver desatento e acabar baixando e executando o arquivo citado no link contido no e-mail, terá dores de cabeça.

O e-mail vem com o titulo (ÚLTIMO AVISO) Atenção Cliente, e tenta prega a idéia de que a versão atual do iToken contém uma falha critica e para reparar essa falha ele tem que baixar esta correção. No entanto não passa de um falso e-mail portanto caso recebam algum e-mail com o mesmo título não clique em link algum e exclua o e-mail.

Análise do Malware

Ao executar o arquivo iTokenv1.2.exe é criado um outro arquivo e alterado algumas configurações de Proxy.

Arquivo criado:

%System%\update.exe

Este arquivo por sua vez faz todo trabalho, ele capta todos os dados e em seguida faz conexão via HTTP com dois sites com intuito de enviar as informações coletadas.

O arquivo update.exe depois de estabelecer a conexão envia informações sobre seu computador e os dados que coletou  e transforma seu  PC em um caixa rápido, conforme mostra o código abaixo:

00000000 | 656D 6169 6C3D 6573 7175 6569 726F 6269 | email=esqueirobi<br /> 00000010 | 6325 3235 3235 3430 686F 746D 6169 6C25 | c%252540hotmail%<br /> 00000020 | 3235 3235 3245 636F 6D26 6672 6F6D 3D61 | 25252Ecom&from=a<br /> 00000030 | 6161 2532 3532 3534 3064 7664 2532 3532 | aa%252540dvd%252<br /> 00000040 | 3532 4563 6F6D 2673 7562 6A65 6374 3D43 | 52Ecom&subject=C<br /> 00000050 | 4F4D 5055 5445 524E 414D 4526 6D65 7373 | OMPUTERNAME&mess<br /> 00000060 | 6167 653D 2665 6D61 696C 3D73 696E 616C | age=&email=sinal<br /> 00000070 | 6465 7365 7269 6561 4068 6F74 6D61 696C | deseriea@hotmail<br /> 00000080 | 2E63 6F6D 2666 726F 6D3D 6161 6140 6476 | .com&from=aaa@dv<br /> 00000090 | 642E 636F 6D26 7375 626A 6563 743D 434F | d.com&subject=CO<br /> 000000A0 | 4D50 5554 4552 4E41 4D45 266D 6573 7361 | MPUTERNAME&messa<br /> 000000B0 | 6765 3D26 656D 6169 6C3D 6573 7175 6569 | ge=&email=esquei<br /> 000000C0 | 726F 6269 6325 3235 3235 3430 686F 746D | robic%252540hotm<br /> 000000D0 | 6169 6C25 3235 3235 3245 636F 6D26 6672 | ail%25252Ecom&fr<br /> 000000E0 | 6F6D 3D61 6161 2532 3532 3534 3064 7664 | om=aaa%252540dvd<br /> 000000F0 | 2532 3532 3532 4563 6F6D 2673 7562 6A65 | %25252Ecom&subje<br /> 00000100 | 6374 3D43 4F4D 5055 5445 524E 414D 4526 | ct=COMPUTERNAME&<br /> 00000110 | 6D65 7373 6167 653D 2665 6D61 696C 3D73 | message=&email=s<br /> 00000120 | 696E 616C 6465 7365 7269 6561 4068 6F74 | inaldeseriea@hot<br /> 00000130 | 6D61 696C 2E63 6F6D 2666 726F 6D3D 6161 | mail.com&from=aa<br /> 00000140 | 6140 6476 642E 636F 6D26 7375 626A 6563 | <span class="mh-email"><a href='http://www.google.com/recaptcha/mailhide/d?k=01nyS1h8dh89LOxCOWixkkQQ==&c=65_zevJnu5Gy7GfWTzwFdQ==' onclick="window.open('http://www.google.com/recaptcha/mailhide/d?k=01nyS1h8dh89LOxCOWixkkQQ==&c=65_zevJnu5Gy7GfWTzwFdQ==', '', 'toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=500,height=300'); return false;" title="Clique aqui e revele o e-mail">...</a></span>&subjec<br /> 00000150 | 743D 434F 4D50 5554 4552 4E41 4D45 266D | t=COMPUTERNAME&m<br /> 00000160 | 6573 7361 6765 3D26 | essage=&<br /> 00000010 | 6325 3430 686F 746D 6169 6C25 3245 636F | c%40hotmail%2Eco<br /> 00000020 | 6D26 6672 6F6D 3D61 6161 2534 3064 7664 | m&from=aaa%40dvd<br /> 00000030 | 2532 4563 6F6D 2673 7562 6A65 6374 3D43 | %2Ecom&subject=C<br /> 00000040 | 4F4D 5055 5445 524E 414D 4526 6D65 7373 | OMPUTERNAME&mess<br /> 00000050 | 6167 653D 2665 6D61 696C 3D65 7371 7565 | age=&email=esque<br /> 00000060 | 6972 6F62 6963 2534 3068 6F74 6D61 696C | irobic%40hotmail<br /> 00000070 | 2532 4563 6F6D 2666 726F 6D3D 6161 6125 | %2Ecom&from=aaa%<br /> 00000080 | 3430 6476 6425 3245 636F 6D26 7375 626A | 40dvd%2Ecom&subj<br /> =&

Apesar do título ser inofensivo seu conteúdo é bastante ofensivo ao sistema operacional. O e-mail traz no título os dizeres “Te Amo…..“  e em seu corpo um texto romântico para fazer o leitor acreditar que se trata realmente de uma declaração. Se trata de uma tentativa de phishing na qual o atacante configura um proxy no pc da vitima com intuito de obter silenciosamente dados sigilosos

Este e-mail contém link para download de malware.

Veja abaixo detalhes sobre este e-mail:

O remetente é: ...

O verdadeiro link é: hxxp://www.videomais.net/Cartinha007.com  ← O link leva para o download de executável malicioso.

O executável é um cavalo de tróia que altera varias configurações do sistema operacional.

Ao executar o arquivo Cartinha007.com é criado o(s) seguinte(s) arquivo(s):

Submeti o executável para análise no site www.threatexpert.com onde foi gerado um report

Portanto se você receber este e-mail exclua-o imediatamente.

Caso você queira colaborar para identificação de novas tentativas de phishing encaminhe o e-mail do qual você suspeita para blog...@globomail.com

Saiba aqui as pragas virtuais que mais tem sido utilizadas em golpes e fraudes.

O GFI anunciou o top 10 ameaças de malware mais relevantes para o mês de setembro de 2010.

As estatísticas mostram um ataque incrivelmente consistente principalmente pelos mesmos Trojans que persistem por vários meses. Várias das principais ameaças não foram alteradas a partir dos últimos dois meses.

O cavalo de Tróia detectado como Trojan.Win32.Generic! BT ainda é o líder do raking, um pouco baixo de 23,54 por cento do total de detecções.

Esta detecção genérica inclui mais de 120 mil traços de aplicativos maliciosos e tem sido o top1 por muitos meses: em agosto, com 25,11 por cento, em Julho com 29,08 por cento e em junho, com 27,16 por cento do total de detecções.

O número dois de detecção não mudou no ranking do mês passado também. Trojan-Spy.Win32.Zbot.gen é a detecção de roubo de senhas, e redes zumbis, com muitas versões.

A terceira colocada é  a Trojan.Win32.Generic SB.0!, Subiu de quinto lugar no mês passado esta praga foi desenvolvida para roubo de senhas e a instalação de programas cavalo de tróia. Estes por sua vez são  keyloggers que grava e envia os dados para os  programadores  que distribui o malware.

Os Top 10 maiores ameaças de malware para o mês de setembro são:

1. Trojan.Win32.Generic!BT 23.54%
2. Trojan-Spy.Win32.Zbot.gen 4.27%
3. Trojan.Win32.Generic!SB.0 4.06%
4. Trojan.Win32.Generic.pak!cobra 3.04%
5. INF.Autorun (v) 2.3%
6. Worm.Win32.Downad.Gen (v) 1.44%
7. Trojan.HTML.FakeAlert.e (v) 1.09%
8. PlaySushi 1.08%
9. FraudTool.Win32.FakeAV.gen!droppedData (v) 0.91%
10. Trojan.Win32.Malware.a 0.83%

No dia 28 o pesquisador de segurança Jerome Segura, detectou um anuncio no site http://thepiratebay.org que esta infectando quem por ali navega.

Até o momento não se soube determinar de onde esta partindo o malware, o pesquisador de segurança, disse ter encontrado o anúncio por acaso, e que só percebeu que havia algo errado quando o ícone do Java surgiu na taskbar. Pois geralmente ele só surge quando algum Javascript é executado no site. O arquivo ASX parte daqui: hxxp://noisont.com/super/tmp/u.asx

O malware cria um arquivo chamado u.asx e este arquivo seta para uma pagina com o conteúdo ofuscado vejam:

Veja o conteúdo da pagina hcp.html mostrada imagem acima. O código foi ofuscado para dificultar sua identificação, vejam:

código ofuscado

Portanto fica aqui o alerta para todos, e indico desabilitar o Javascript na pagina, assim se evita uma contaminação. Indico o add-on NoScript

Até o momento o site The PirateBay não se pronunciou sobre o assunto.

Descoberto o primeiro rootkit capaz de penetrar em sistemas Windows 64-bit.

TDL e Tidserv são os nomes dados para este malware, que foi utilizado pela primeira vez em fevereiro deste ano em maquinas 32-bit, agora é descoberto em maquinas com sistemas 64-bit. O malware tem a capacidade de passar pelos modulos de segurança implementados pela Microsoft em seus sistemas 64-bit.

Segundo estimativas, este rootkit poderá ganhar popularidade rapidamente em sistemas 64-bit.

Nova tentativa de phishing mirando os usuários do Orkut foi lançada recentemente. Um e-mail com título de Denúncia – Orkut.com esta circulando em caixas postais net a fora, e apesar de sua aparência até lembrar o velho visual do Orkut, o e-mail não tem ligação alguma com a rede social.

O e-mail tenta fazer o leitor acreditar que seu perfil no Orkut foi denunciado, afim de que o mesmo clique em um link para regularizar a sua situação, com o seguinte texto os hackers estão tentando enganar os internautas:

“O Orkut é uma comunidade on-line que conecta pessoas através de uma rede de amigos confiáveis.

E o seu Profile foi denunciado por postar fotos não autorizadas pelo nosso sistema do orkut.

Dentro de (48 horas) seu Orkut será bloqueado se você não ativar seu novo Profile.

Obs. Para que isso não aconteça com você basta ativar seu novo Profile no link abaixo.

(Agradece toda Direção do Orkut.com)!”

Com este texto e com o visual mostrado abaixo os hackers tentam passar a falsa impressão de que se trata de um e-mail da Google. Porém a farsa vem abaixo logo no link quando posicionado o mouse sobre o mesmo pode-se observar que a url não pertence ao Google.

Outro erro é no e-mail que até consegue enganar os mais desavisados,
 mas quando se olha o código fonte da mensagem nota-se o real e-mail por traz da mensagem.
O real e-mail é ... 

O pior ainda esta por vir, pois se alguém receber este e-mail e sem saber clicar no link que
 nele existe vai esta contraindo um Trojan-Dropper.Agent,
 que em meus testes se mostrou chato pois exibe uma janela de tempos em tempos.
Se passando pela janela do “Meu computador”

Segue abaixo a análise do vírus

Arquivos criados:

C:\WINDOWS\system32\sto1940.exe

C:\WINDOWS\system32\tyune.exe

C:\WINDOWS\system32\tyuplu.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF47BB.tmp

Processos criados:

C:\WINDOWS\explorer.exe     

C:\WINDOWS\system32\sto1940.exe

C:\WINDOWS\system32\tyune.exe

C:\WINDOWS\system32\tyuplu.exe

Além de criar processos, arquivos, e alterar parte do registro este vírus também faz com que
 sua maquina passe a obedecer a ordens remotamente,
ou seja, você será invadido sem nem ao menos perceber.
 Então fica o alerta caso receba algum e-mail intitulado Denúncia – Orkut.com  
Ativação de segurança e Autenticidade de profile.
Saiba que se trata de um falso e-mail.