Segue abaixo cópia do cheque Protestado

Recentemente recebi um e-mail supostamente enviado pelo Serasa.

Título do e-mail: Segue abaixo cópia do cheque Protestado

Mensagem: Informava que seguia uma cópia de um cheque protestado.

Este é um típico e-mail falso que pode fazer muitas pessoas vítimas do golpe, isso porque combina Serasa com cheque protestado, ou seja, se a pessoa estiver com o nome do Serasa e cheques protestados, é uma vítima em potencial para cair no golpe.

Segue abaixo a imagem do e-mail:

Observem na imagem acima o endereço apontado pela seta vermelha, este é um tipo de endereço muito utilizado pelos criminosos porque “oculta” o verdadeiro endereço do arquivo malicioso.

Ao clicar na suposta imagem do cheque, um arquivo é baixado para o computador. Segue abaixo a análise técnica deste arquivo malicioso.

Arquivo:
Arquivo: Cheque-Protestado.cpl
Tamanho: 396800
MD5: c04428e12f70c87a2218a5cdeb5f448b

Resultado Scan VirusTotal/Jotti
12 / 44

* Sandbox:
Comodo

Arquivos/ chaves geradas na infecção:
O2 – BHO: (no name) – {79E44F87-6A0A-413A-A21E-EDBAEBD79089} – C:\WINDOWS\nill.dll

C:\WINDOWS\iexplorer.dll
Arquivo: iexplorer.dll
MD5: ce69c367cbea4888722561e368ee3a27
Tamanho: 2687488
VT: 10/44

C:\WINDOWS\nill.dll
Arquivo: nill.dll
MD5: ff6c21c04ab8a270d1c5259019fb7b51
Tamanho: 2848256
VT: 2 / 43

C:\WINDOWS\registraiexplorer.bat

@echo off
regsvr32 /s inadd.dll

C:\WINDOWS\registranil.bat

@echo off
regsvr32 /s nill.dll

C:\WINDOWS\smal.ini

domingo, 28 de Outubro de 2012
21:50:07

Esta análise termina por aqui. O Serasa não envia e-mails deste tipo.

Share Button

Comentários

comments

4 Comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.