Recebi a alguns dias um malware da Carol com o desafio de ver o que ele fazia, para minha sorte o malware não é tão malicioso assim, ou é? Abaixo uma foto do e-mail que recebi:
Ao clicar em Atualizar para versão 2.0 ele baixa um arquivo executável de nome SincronizarOnline.exe, hoje (16-dez-2011) o arquivo já não estava mais disponível para download, me retornou um erro 404(não encontrado), mesmo assim ainda tenho ele aqui.. E pelas propriedades dele (Via Windows) da para ver que é um Arquivo SFX RAR, ou seja, foi compactado e gerado um executável via um WinRAR. Na aba comentário da para ver que ele executa um arquivo chamado ModuloAtualizacao.exe
Descompactei esse SincronizarOnline.exe e enviei o arquivo de nome ModuloAtualizacao.exe para o VirusTotal (velho conhecido meu heheh), e claro, me retornou como sendo um vírus:
File name: ModuloAtualizacao.exe
Submission date: 2011-12-10 01:03:30 (UTC)
Current status: finished
Result: 28 /43 (65.1%)
O nome dele Win32/Spy.Banker. Pela máquina WindowsXP (no VirtualBox), verifiquei pelo RDG Packer Detector, do que se tratava, um “vírus” gerado pelo Borland Delphi 6 ou 7 sem nenhum packer. Ao abrir o executável pelo OllyDBG fui direto para as referreced strings, e bem no final achei um link para um site de pizzaria no DF…
0046F32B ASCII “Unit1″^M
0046F449 MOV EDX,0046F4BC ASCII “subject=”^M
0046F46A MOV EDX,0046F4D0 ASCII “http://www.pizzariapigalle.com.br/language/vc.php”^M
0046F4BC ASCII “subject=”^M
0046F4D0 ASCII “http://www.pizza”^M
A pizzaria existe, pode ser aberta em qualquer navegador: http://www.pizzariapigalle.com.br/, o interessante como alguém pode ter injetado esse PHP dentro do site, provavelmente quem fez o site acabou desenvolvendo esse Spy Banker ou antigamente o site sofria problemas de SQL Injection, pois agora eu testei e não achei nenhuma vulnerabilidade.
Para ter uma análise mais detalhada, executei o programa, ao mesmo tempo executei o WinDump para ver o tráfego da rede:
Como pode ser visto nas fotos acima, ele pede agência/conta/usuário/senha/assinatura eletrônica e token, ou seja, todos os dados da conta. Aí você deve se perguntar, mais ele pede o token, como se o token troca a cada minuto? Bem, ele pensou nisso também, tanto que para a “atualização” seja concretizada ele pede a assinatura eletrônica e o token por 4 vezes, ou 4 passos como ele diz… A cada passo ele envia para aquele link que mostrei acima com os dados via método POST, e então espera 1 minuto, pede de novo e envia novamente, ainda no fim ele mostra como atualização feita com sucesso. Por mais que a conta que digitei é inválida e os outros dados também:
Bem, é isso, é só tomar cuidado que ninguém cai nessas armadilhas, mais que óbvio que nenhum banco envia e-mail, quanto mais um módulo de atualização em executável. Mais qualquer dúvida, ligue para o seu gerente antes. Até mais =)
8 comentários
Pular para o formulário de comentário
Já vi alguma maquina com esse virus. O pior que é que tem gente que, por mais alertas que sejam dados, ainda caem nessa.
Parabens pela análise.
Autor
Valeu Sr Myckael, muito obrigado =)
Parabéns!
Vale a pena avisa à Pizzaria, para deletar o script inserido lá. Aliás, pode até pedir que enviem pra você, e aí você pode olhar o código.
Um abraço.
Autor
Mandei um e-mail para eles, vamos ver se respondem! Valeuu =)
“Já vi alguma maquina com esse virus.”
A sua, né?
Autor
Não meu amigo Gaúcho, eu uso Linux,
essas coisas não funcionam no meu SO.. =)
Gostou né!! rsrs
Amigos e usuários aqui do trabalho vivem me enviando coisas assim mas nunca tenho um tempinho pra analisar.
Quando aparecerem outros te envio tb, ok!
Abraços. 😉
Show camarada! Parabéns pela matéria…