«

»

dez
16

Análise de Malware #1 – Banco Satander

Recebi a alguns dias um malware da Carol com o desafio de ver o que ele fazia, para minha sorte o malware não é tão malicioso assim, ou é? Abaixo uma foto do e-mail que recebi:

Ao clicar em Atualizar para versão 2.0 ele baixa um arquivo executável de nome SincronizarOnline.exe, hoje (16-dez-2011) o arquivo já não estava mais disponível para download, me retornou um erro 404(não encontrado), mesmo assim ainda tenho ele aqui.. E pelas propriedades dele (Via Windows) da para ver que é um Arquivo SFX RAR, ou seja, foi compactado e gerado um executável via um WinRAR. Na aba comentário da para ver que ele executa um arquivo chamado ModuloAtualizacao.exe

Descompactei esse SincronizarOnline.exe e enviei o arquivo de nome ModuloAtualizacao.exe para o VirusTotal (velho conhecido meu heheh), e claro, me retornou como sendo um vírus:

File name: ModuloAtualizacao.exe
Submission date: 2011-12-10 01:03:30 (UTC)
Current status: finished
Result: 28 /43 (65.1%)

O nome dele Win32/Spy.Banker. Pela máquina WindowsXP (no VirtualBox), verifiquei pelo RDG Packer Detector, do que se tratava, um “vírus” gerado pelo Borland Delphi 6 ou 7 sem nenhum packer. Ao abrir o executável pelo OllyDBG fui direto para as referreced strings, e bem no final achei um link para um site de pizzaria no DF…

0046F32B ASCII “Unit1″^M
0046F449 MOV EDX,0046F4BC ASCII “subject=”^M
0046F46A MOV EDX,0046F4D0 ASCII “http://www.pizzariapigalle.com.br/language/vc.php”^M
0046F4BC ASCII “subject=”^M
0046F4D0 ASCII “http://www.pizza”^M

A pizzaria existe, pode ser aberta em qualquer navegador: http://www.pizzariapigalle.com.br/, o interessante como alguém pode ter injetado esse PHP dentro do site, provavelmente quem fez o site acabou desenvolvendo esse Spy Banker ou antigamente o site sofria problemas de SQL Injection, pois agora eu testei e não achei nenhuma vulnerabilidade.

Para ter uma análise mais detalhada, executei o programa, ao mesmo tempo executei o WinDump para ver o tráfego da rede:

Como pode ser visto nas fotos acima, ele pede agência/conta/usuário/senha/assinatura eletrônica e token, ou seja, todos os dados da conta. Aí você deve se perguntar, mais ele pede o token, como se o token troca a cada minuto? Bem, ele pensou nisso também, tanto que para a “atualização” seja concretizada ele pede a assinatura eletrônica e o token por 4 vezes, ou 4 passos como ele diz… A cada passo ele envia para aquele link que mostrei acima com os dados via método POST, e então espera 1 minuto, pede de novo e envia novamente, ainda no fim ele mostra como atualização feita com sucesso. Por mais que a conta que digitei é inválida e os outros dados também:

Bem, é isso, é só tomar cuidado que ninguém cai nessas armadilhas, mais que óbvio que nenhum banco envia e-mail, quanto mais um módulo de atualização em executável. Mais qualquer dúvida, ligue para o seu gerente antes. Até mais =)

Link permanente para este artigo: http://laerciomotta.com/2011/12/16/analise-de-malware-1-banco-satander/

8 comentários

  1. Myckael disse:

    Já vi alguma maquina com esse virus. O pior que é que tem gente que, por mais alertas que sejam dados, ainda caem nessa.

    Parabens pela análise.

    1. Laercio Motta disse:

      Valeu Sr Myckael, muito obrigado =)

  2. Fernando Mercês disse:

    Parabéns!

    Vale a pena avisa à Pizzaria, para deletar o script inserido lá. Aliás, pode até pedir que enviem pra você, e aí você pode olhar o código.

    Um abraço.

    1. Laercio Motta disse:

      Mandei um e-mail para eles, vamos ver se respondem! Valeuu =)

      1. The Panda disse:

        “Já vi alguma maquina com esse virus.”

        A sua, né?

        1. Laercio Motta disse:

          Não meu amigo Gaúcho, eu uso Linux,
          essas coisas não funcionam no meu SO.. =)

  3. Carol disse:

    Gostou né!! rsrs

    Amigos e usuários aqui do trabalho vivem me enviando coisas assim mas nunca tenho um tempinho pra analisar.
    Quando aparecerem outros te envio tb, ok!

    Abraços. 😉

  4. Vinicius Vieira disse:

    Show camarada! Parabéns pela matéria…

Deixe uma resposta

Seu e-mail não será publicado.

Você pode usar estas tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>