segunda-feira, 29 de novembro de 2010

Malware da Guerra do Rio

Hoje pela manhã recebi um email que chamou minha atenção. O Assunto da mensagem era “axei um video da invasao da favela no Rio !!!”. Tinha 3 links que apontavam para o mesmo domínio. Desconfiei por 3 motivos:

 

Primeiro motivo: todo assunto que é foco da mídia também se torna foco para os criadores desses malwares. Se você ver algo na mídia que esta sendo bem divulgado e você recebe um email que tem como assunto ou conteúdo o que a mídia esta expondo, desconfie.


Segundo motivo: como vimos no meu post “Como detectar um SPAM e/ou MALWARE?” sempre será enviado um link para que você realize o download do malware, com isso podendo burlar os filtros e antivírus de servidores de email. Neste caso não foi diferente, tinha 3 links para o mesmo local e o site era desconhecido.


Terceiro motivo: o cara escreve achei com “x”.

Veja abaixo a figura do email recebido:



Para testar meu Avast versão free edition tentei baixar este programa direto do link e para a minha felicidade meu Avast bloqueou. Estava com as definições de vírus de número 101129-0 no momento deste teste.
Como não queria desativar meu Avast para realizar este teste, resolvi realizar o teste em uma máquina virtual. Vamos ao que interessa.

Cliquei no link que veio no email e baixei um arquivo com extensão AVI porém nas propriedades do arquivo é identificado como “Proteção de tela”, veja a figura abaixo:




O próximo passo foi enviar o arquivo para o Anubis. Depois da analise foi detectado como sendo o Backdoor.Win32.Rbot:


 Depois de analisar o relatório do Anubis percebi que este vírus tenta realizar 4 conexões:

 

videosamaroes.zapto.org

www.originalgratis.com

www.perolasdoyoutube.com.br

187.17.96.21

 

Agora só é adicionar estes 3 domínios e o IP no firewall.

 

Como Administrador de Redes tenho a preocupação se os usuários da minha rede estão caindo em golpes como este, quando recebo estes email de certa forma fico feliz, porque posso analisar o email suspeito e tomar as providências necessárias para minimizar ao máximo o risco de meus usuários de serem afetados por estes malwares. Além de  adicionar estes IP´s no firewall é importante analisar se o antivírus da organização já reconhece este malware.


by Osvaldo H Peixoto


Nenhum comentário:

Postar um comentário