SMS malicioso

Criminosos estão enviando SMS maliciosos, tomem cuidado.

Mensagem enviada por SMS:

“Postei uma foto sua no site www.reportsuzano.com quando ver me responde bjs…”

Ao acessar o site malicioso, uma página com o escrito e cores do Facebook é exibida e um texto: Baixe o arquivo com as fotos Download. Abaixo a imagem do site:

Ao clicar na palavra em destaque “Download”, um arquivo no formato Winrar é baixado para o computador e dentro deste Winrar existe o arquivo malicioso chamado de fotos.exe. 

Abaixo segue uma parte da análise técnica desse malware:

* Arquivo:
Arquivo: Foto.exe
Tamanho: 152277
MD5: 59ba91b882df31d21126fa8c31a34584

Resultado Scan VirusTotal/Jotti
20 / 43 

*Arquivos/ chaves geradas na infecção:

O2 – BHO: G-Buster Browser Defense CEF – {C41A1C0E-EA6C-11D4-B1B8-444553540003} – C:\Programas\GbPlugin\gbiehcef.dll
O4 – HKLM\..\Run: [WGer] C:\$Recicle$\exiploris.exe
O4 – HKLM\..\Run: [MnsMessenger] C:\WINDOWS\system32\msnmsg.exe
O4 – HKLM\..\Run: [DefencerGBA] C:\$Recicle$\Defencer2011.exe
O4 – HKLM\..\Run: [HOUOIERFWWER.exe] C:\$Recicle$\HOUOIERFWWER.exe
O4 – HKLM\..\Run: [iigoogleeiSvchost.exe] C:\$Recicle$\iSvchost.exe
O4 – HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 – HKCU\..\Run: [wininitst] “C:\$Recicle$\Santa.exe”
O4 – HKCU\..\Run: [WGm] “C:\$Recicle$\GMDKSAKJDL.exe”
O4 – HKCU\..\Run: [QEREFGHGFHD.exe] C:\$Recicle$\QEREFGHGFHD.exe

C:\WINDOWS\system32\msnmsg.exe
Arquivo: msnmsg.exe
Tamanho: 503296
MD5: 78986f31554dd3e8170ecbafd4c3292b
VT: 21 / 43

C:\$Recicle$\AVS.exe
Arquivo:AVS.exe
Tamanho: 332800
MD5: 570469dbc78eba9d96bb0f5207c75a4c
VT: 19 / 43

C:\$Recicle$\cflnk.dll
Arquivo:cflnk.dll
Tamanho: 44
MD5: b6069fafff94be40a877b45125d88295
VT: 0 / 43

C:\$Recicle$\confx.dll
Arquivo: confx.dll
Tamanho: 142
MD5: 6eaa8d9cba08110d742a478d475d5254
VT: 0 / 43

C:\$Recicle$\Defencer2011.exe
Arquivo: Defencer2011.exe
Tamanho: 1135616
MD5: e730c1f158b481f420492920b2f34c91
VT: 16 / 43

C:\$Recicle$\exiploris.exe
Arquivo: exiploris.exe
Tamanho: 245760
MD5: d832e6049c80bc832b50258bdbf97cb2
VT: 17 / 42

C:\$Recicle$\GB.exe
Arquivo: GB.exe
Tamanho: 4632064
MD5: 098644dd89300e8c11817ca895276820
VT: 8 / 43

C:\$Recicle$\GMDKSAKJDL.exe
Arquivo: GMDKSAKJDL.exe
Tamanho: 364032
MD5: 9950c44ea27fbad9554fd2bb67e55089
VT: 8 / 43

C:\$Recicle$\HOUOIERFWWER.exe
Arquivo: HOUOIERFWWER.exe
Tamanho: 831488
MD5: be380da3df5b5faf934ecd37aeb3d430
VT: 9 / 42

C:\$Recicle$\msnmsg.exe
mesmo arquivo do: C:\WINDOWS\system32\msnmsg.exe

C:\$Recicle$\ipgt.exe
Arquivo: ipgt.exe
Tamanho: 353280
MD5: 98400d3a392021cee751b42a6f84d08e
VT: 13 / 43

C:\$Recicle$\iSvchost.exe
Arquivo: iSvchost.exe
Tamanho: 2507264
MD5: 8da5c651b2ff38407c56656948b4f5fc
VT: 3 / 29

C:\$Recicle$\Santa.exe
Arquivo: Santa.exe
Tamanho: 559616
MD5: 7c1adab4c4eadb9aa026cb9e8634e078
VT: 13 / 43

C:\$Recicle$\QEREFGHGFHD.exe
Arquivo: QEREFGHGFHD.exe
Tamanho: 817664
MD5: 431b188ce5f0dfe18c9192ef617af07e
VT: 12 / 42

C:\GbPlugin\Cef\Cef.gdt
Arquivo: Cef.gdt
Tamanho: 86
MD5: 7c1adab4c4eadb9aa026cb9e8634e078
VT: 0 / 43

C:\cleanup.exe
Arquivo: cleanup.exe
Tamanho: 19286
MD5: d5816bddd4382975c1693cce68547fcc
VT: 15 / 43

C:\zip.exe
Arquivo: zip.exe
Tamanho: 135168
MD5: db9b1cc34b35136f35e333de520c15f5
VT: 1 / 43

C:\cleanup.bat

@ECHO OFF
cd %systemdrive%\
if exist %systemdrive%\avenger\backup.zip move /y %systemdrive%\avenger\backup.zip "%systemdrive%\avenger\backup-%date:/=.%-%time::=.%.zip"
move /y backup.reg %systemdrive%\avenger\
copy /y avenger.txt %systemdrive%\avenger\
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\avenger attrib -r -h -s %%a:\avenger\* /S /D & zip -r -S -q -m -! -P infected "%systemdrive%\avenger\backup.zip" %%a:\avenger\* -x %systemdrive%\avenger\backup*.zip & rmdir %%a:\avenger
del zip.exe
del cleanup.exe
del cleanup.bat

*Detalhes da infecção:
Ao executar o malware, uma imagem JPG é exibida e vários downloads são efetuados.

Processos que ficam em execução abaixo do exiploris.exe:

  • msnmsg.exe
  • Defencer2011.exe
  • GMDKSAKJDL.exe

Processo exiploris.exe fica a todo momento fazendo requisições ao endereço: http://—.reportsuz….php?op=PegaArq

* Downloader baixa executável(is) do endereço:

http://---.reportsuzano.---/MiscDoc/winger.doc
http://---.reportsuzano.---/ind.php?op=PegaLnk
http://---.reportsuzano.---/ind.php?op=PegaServ
http://---.reportsuzano.---/ind.php?op=PegaArq










http://---.reportsuzano.---/Musicas/iSvchost.mp3

Esta análise termina por aqui.

Share Button

Comentários

comments

Tags:,

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.