Xicos & Musquitinhos: Malware da Guerra do Rio

segunda-feira, 29 de novembro de 2010

Malware da Guerra do Rio

Hoje pela manhã recebi um email que chamou minha atenção. O Assunto da mensagem era “axei um video da invasao da favela no Rio !!!”. Tinha 3 links que apontavam para o mesmo domínio. Desconfiei por 3 motivos:

Primeiro motivo: todo assunto que é foco da mídia também se torna foco para os criadores desses malwares. Se você ver algo na mídia que esta sendo bem divulgado e você recebe um email que tem como assunto ou conteúdo o que a mídia esta expondo, desconfie.

Segundo motivo: como vimos no meu post “Como detectar um SPAM e/ou MALWARE?” sempre será enviado um link para que você realize o download do malware, com isso podendo burlar os filtros e antivírus de servidores de email. Neste caso não foi diferente, tinha 3 links para o mesmo local e o site era desconhecido.

Terceiro motivo: o cara escreve achei com “x”.

Veja abaixo a figura do email recebido:

Para testar meu Avast versão free edition tentei baixar este programa direto do link e para a minha felicidade meu Avast bloqueou. Estava com as definições de vírus de número 101129-0 no momento deste teste.

Como não queria desativar meu Avast para realizar este teste, resolvi realizar o teste em uma máquina virtual. Vamos ao que interessa.

Cliquei no link que veio no email e baixei um arquivo com extensão AVI porém nas propriedades do arquivo é identificado como “Proteção de tela”, veja a figura abaixo:

O próximo passo foi enviar o arquivo para o Anubis. Depois da analise foi detectado como sendo o Backdoor.Win32.Rbot:

Depois de analisar o relatório do Anubis percebi que este vírus tenta realizar 4 conexões:

videosamaroes.zapto.org

www.originalgratis.com

www.perolasdoyoutube.com.br

187.17.96.21 Agora só é adicionar estes 3 domínios e o IP no firewall.

Como Administrador de Redes tenho a preocupação se os usuários da minha rede estão caindo em golpes como este, quando recebo estes email de certa forma fico feliz, porque posso analisar o email suspeito e tomar as providências necessárias para minimizar ao máximo o risco de meus usuários de serem afetados por estes malwares. Além de adicionar estes IP´s no firewall é importante analisar se o antivírus da organização já reconhece este malware.

by Osvaldo H Peixoto

Páginas

segunda-feira, 29 de novembro de 2010

Malware da Guerra do Rio

Hoje pela manhã recebi um email que chamou minha atenção. O Assunto da mensagem era “axei um video da invasao da favela no Rio !!!”. Tinha 3 links que apontavam para o mesmo domínio. Desconfiei por 3 motivos:

Primeiro motivo: todo assunto que é foco da mídia também se torna foco para os criadores desses malwares. Se você ver algo na mídia que esta sendo bem divulgado e você recebe um email que tem como assunto ou conteúdo o que a mídia esta expondo, desconfie.

Depois de analisar o relatório do Anubis percebi que este vírus tenta realizar 4 conexões:

videosamaroes.zapto.org

www.originalgratis.com

www.perolasdoyoutube.com.br

187.17.96.21

Agora só é adicionar estes 3 domínios e o IP no firewall.

Nenhum comentário:

Postar um comentário