Adicionem o novo domínio do blog aos seus favoritos! www.crashcomputer.com.br

Postagens com a tag ‘Vírus’

   sábado, 5 de fevereiro de 2011

Nova sacanagem na praça.



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Eu não caio fácil nessas, mas essa aqui me impressionou pela sacada usada.

Fatos:

– Foi enviada para meu e-mail comercial
– Eu sou cliente do bradesco
– É raro mas as vezes eu recebo comprovantes de pagamento enviado FORA do meu próprio sistema de confirmação de pagamento.

O que me fez desconfiar na hora:

– Imagem reduzida no corpo do email (em geral eu recebo em full-size)
– Imagem hospedada em link externo.
– O fato de ser um link para pagina “index.php” e ter um parametro, provavelmente falso/nulo/invalido com o nome da suposta imagem (?Comprovande_Deposito.jpg)
– Presta atenção no ?
– A ZORRA que esta o email do remetente, sem falar que não bate com o endereço do servidor onde esta a imagem.
– Sem falar que é marca registrada todos os e-mail deste tipo sempre tem erros de português.

Veja um printscreen:


(clica que cresce)

Como isso deve funcionar. O sacana conseguiu invadir um servidor e criou um sub-domínio qualquer, hospedou um index.php malicioso que certamente perde pra instalar algum script com a suposta inocência de visualizar o tal “comprovante”.

O fato de a pagina ser index.php, você pode omitir o nome do arquivo da URL e passar os parametros logo apos a / e o o suposto parametro não deve ter função alguma.

Agora eu digo.. imagina um usuário salsinha que sabe que não deve clicar em links que tenham .exe .scr etc.. mas ai ele vê isso ai.. link com final .jpg mas não sabe da sacanagem da ?parametro… E ai???



   domingo, 11 de outubro de 2009

Ainda falando sobre vírus…



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Pois é… o assunto vírus de computador esta em alta aqui pelo meu lado! Depois do episódio do maldito Win32.Virut eu despiroquei e instalei o AVIRA na opção “mala sem alça” que desconfia até a da própria sombra e ativei o shell guard, coisa que eu nunca gostei, afinal o anti-virus lerdeia o operação de explorar uma pasta, pois ele fica o tempo todo xeretando nas entranhas dos arquivos. Ou seja, me rendi.

Mas desde ontem, futucando com meu cd personalizado do windows 2000 (HFSLIP nele!), o avira vivia reclamando que alguns arquivos estão infectados com o TR/Dropper.Gen.

Bom, depois de muito bater testa e não agüentar mais o avira reclamando dos “vírus” (falso-positivo) resolvi investigar o caso. Abri um dos arquivos no HEX WORKSHOP, apesar dos insistentes avisos do anti-vírus e me lembrei que esses arquivos foram gerados pela ferramenta IEXPRESS, presente no próprio windows.

Mas se são arquivos que eu mesmo gerei e partir de um ambiente limpo, o que esta errado? Tudo ai não passa de instaladores de programas reempacotados e com as chaves de linha de comando para se instalar com os parâmetros comuns sem fazer pergunta, que é utilizado para auto-instalação no cd do windows.

Resolvi refazer um dos pacotes, para ver em que ponto do processo acontecia o falso-positivo. Peguei um dos pacotes que acusavam vírus e extrai os arquivos de dentro dele, nos arquivos… nada, tudo limpo.

Iniciei o IEXPRESS, adicionei os mesmíssimos arquivos e gerei o pacote como era antes. Até ai, nada de acusar vírus. Abri o pacote finalizado no RESHACKER para trocar o ícone padrão do IEXPRESS, quando mandei salvar o arquivos, surpresa! O avira apitou! Enfim, a combinação do pacote gerado pelo IEXPRESS, e a recompilação do resource pelo RESHACKER, para a troca do ícone, gera o falso positivo.

Experimentei outra ferramente para trocar o ícone, no caso o EXESCOPE, e problema resolvido!

Veja a analise do site virustotal em cima de um arquivo com falso-positivo:

http://www.virustotal.com/analisis/1396be4eaa7f59acaf906a38867fe256cc72ef438616df75402a1c7184cbc66f-1255244530

O arquivos ai não tem nada demais… dentro dele tem o instalado do winamp 5.52, o arquivo de registro do winamp com os parametros iniciais que eu quero. O pacotinho extrai os arquivos na pasta /temp executa o comando “regedit /S winamp_config.reg” e incia o winamp.exe com os paramentro “/VERYSILENT /SP- /TASKS=dekstopicon,startmenuicon,quicklaunchicon”

Vai entender…



   quarta-feira, 7 de outubro de 2009

ALERTA! Discador IG com virus!



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Olho vivo pessoal! O portal do IG esta estava distribuindo um discador infectado com vírus! Primeira suspeita, olhem o tamanho do discador:

Normalmente o tamanho do discador é por volta de 1.2MB, mas este ai esta com 7.58MB.

Ao fazer o download o Avira já deu o alerta de vírus:

O mais estranho é que a página do IG aponta o download pra este link:

http://fire.n1solucoes.com.br/downloads/InstalarDiscadoriG.exe (não coloquei o hiperlink ativo por motivos óbvios)

O n1solucoes é um provedor de hospedagem de paginas, e o fire é um subdomínio. Pelo visto a página do IG foi invadida e trocaram a pagina com o link para o download.

Veja uma analise do discador feita pelo site VirusTotal:

http://www.virustotal.com/analisis/846dfccafbff61099c1aa21eb1013d10f435f552fe2f408466aaf7002e37f879-1254956917

Isso ai é para o pacote de instalação do discador. Já o arquivo Javaxys.exe apresenta este resultado:

http://www.virustotal.com/analisis/e20f09a90f3a29585bcd77756ad219632c57bc77b1eea112709f8b266292ec13-1254949612

Durante a instalação, o executavel abre uma janela do CMD.EXE e executa algo que não da pra ver, é muito rapido, mas é certeza que esta copiando os arquivos do virus executando a operação de inserir a carga dos arquivos no registro e na inicialização. A porcaria ai acima, cria algumas entradas na inicialização do Windows conforme abaixo:

E a localização dos arquivos:

O virus é sacana, e coloca a pasta “Symantec Security” com atributo de oculta, ai ela aparece porque eu desliguei a opção do windows esconder os arquivos com atributo de oculto.

O arquivo que esta colocado dentro da pasta “Inicializar” é executado no próximo boot e o resultado é esse:



   sábado, 27 de outubro de 2007

Xô coisa ruim!



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Tem certas epocas que um monte de coisas começam a desandar ou uma unica coisa dá tanta zica que parece urucubaca.

A dessa vez foi o meu PC, o servidor. O windows que estava rodando nele já era um remendo em cima de uma instalação com minha antiga placa mãe, e tinha coisa instalada na imagem de restauração que nem de logem existe mais como uma placa de rede wi-fi da encora, etc…

Pra resumir mais ainda essa “gambiarra ambulante” estava funcionando na base do 1/2 boca a mais de um ano, e ligado 24 horas por dia.

Na quarta-feira resolvi que era hora de arregaçar as mangas, passar a borracha e começar tudo novo, zero bala e atualizado.

Tudo começou quando o firewall de tão velho que era já estava pipocando alertas de 5 em 5 minutos que tinha uma versão nova. Resolvi atualizar. Disse que não podia, que era preciso baixar a versão completa e remover a velha pra instalar. Vamos lá… removo a velha, faço uma dúzia de gambiarras no registro pra um monte de coisa que deu xilique e parou de funcionar e instalo a nova… pau… nada de aparecer o icone de gerenciamento no system tray e nada do firewall funcionar direto… ou bloqueava o trafego todo ou deixava igualzinho a uma peneira.

Bom… não tem jeito, vamos fazer os 5Gb de backup e formatar. Mas eu já queria usar uma versão do windows 2000 que eu customizei e atochei todas as atualizações disponiveis até na terça-feira nele. E de quebra já sai com um monte de tweaks de registros, softwares e toda a sorte de “customização”.

Cato um CD-RW que tinha uma versão SP2 e mando apagar e gravar o iso fresquinho nela. Por via das duvidas mando verificar a gravação.. tudo ok.

Reset e instalação… 15 minutos depois instalado. Mas… problemas!!! Instalou o SP2!!! Como? Sei lá… mas algo não deu certo na gravação do CD. Saco… vamos de novo. Instalo o UltraISO na marra e mando apagar o CD… diz que não tem cd no drive. Abro e fecho o drive funciona. Gravo de novo, mando verificar, e TESTO o cd antes de começar tudo de novo… beleza, agora é o w2k sp4 “gambiarrado”.

Dedão no reset e…. quem disse que quer bootar pelo CD??? Aperta daqui aperta dali, e nada. Pego o CD e testo no notebook e esta ok. Resultado, meu gravador de DVD passou desta pra melhor. Justo nesse dia? Não podia ter sido na semana passada? Ou na semana que vem? Mas não… murphy é implacável.

Pego um gravador de CD antigo de 12X pra quebrar o galho e instalo tudo. Nisso já era quase de manhã e eu preguei, fui pra cama.

No dia seguinte eu continuo. Só que teve um *PEQUENO* detalhe… a besta aqui esqueceu de desligar o roteador… o micro ficou a manhã inteira pendurado na internet, sem antivirus e sem firewall. E como o ip do servidor esta em DMZ no roteador, adivinha???? 5 pragas de raças diferentes se instalaram. E de quebra se propagou na rede e infectou todos os outros 4 PCs!

O K6-II 550MHz da bancada, o Notebook e o “Compaq-XP-Fudeba” que estava ligado e na rede pra poder usar o drive de DVD dele.

Toca a desinfectar todos os pcs, e fazer do jeito certo… desligar todo mundo do roteador, instalar o antivirus e conectar UM de cada vez e sozinho pra atualizar. E só montar a rede quando todos os 4 estivessem limpos.

E PROVIDENCIAR um firewall e antivirus pro servidor.

Final das contas… gastei praticamente a noite toda pra limpar todo mundo e por a casa em ordem.



   terça-feira, 5 de julho de 2005

Spam + Virus = Sureal?



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Eita!!! Pena que isso além de um baita SPAM é um Belissimo exemplar de um trojam, virus ou qualquer coisa parecida:

Bem, mas BEM mesmo que isso ai poderia ser verdade!!!

[ Ouvindo: Armin – Communication ]


   quinta-feira, 8 de abril de 2004

Virus e mais virus!



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Pois é… os vírus estão ficando interessantes! Se não tiver um pouco de jogo de cintura, cai que nem patinho! Olha só esses dois que eu recebi hoje!

É… tem que ficar bem esperto. Juro que por uma fração de segundo passou pela minha cabeça em clicar neste que diz que é um e-mail retornado! O mais curioso é que o vírus não veio e anexo, como o de praxe, veio um link que aponta para:

mailbox://C:/WINDOWS/APPLICATION_DATA/Mozilla/Profiles/default/79feeyo6.slt/Mail/pop3.mail.msxpro.com/Inbox?number=54783434&part=1.2&filename=message.scr

Quebrei o link para caber na tela. Curioso isso, estou até achando que é alguma falha no mozilla!

Outro então pra enganar tem até a mensagem dizendo que a mensagem esta limpa de vírus!

Tenho até dó dos “anarfa” que tem por ai… alias… tenho não, deixa explodir! ]:)



  Melhor visualizado a
1024 x 768 True color
Proudly powered by WordPress. Theme developed with WordPress Theme Generator.
E altamente gambiarrado por mim mesmo :)
Copyright © 2010 by Crash Computer. All rights reserved.