Infraworksys Soluções em Tecnologia
Boa tarde - Terça-feira, 21/05/2019 Você está em: HOME > Notícias

  » Indique a Infraworksys
  » Previsão do tempo
  » Cotações BACEN
  » Links úteis
  » Downloads
  » Notícias
  » Dicas
  » Mapa


Newsletters Infraworksys
Cadastre-se e receba nossos informativos.

Nome:

E-Mail:

Aceito receber.


Notícias

Inscreva-se em nosso Feed RSS e receba nossas dicas mais rapidamente.
   Adicionar ao Pageflakes - RSS Dicas - Infraworksys   Adicionar ao Google Reader / iGoogle - RSS Dicas - Infraworksys   Adicionar ao My Yahoo - RSS Dicas - Infraworksys   Adicionar ao Netvibes - RSS Dicas - Infraworksys   Adicionar ao MyMSN - RSS Dicas - Infraworksys

Categoria:

Criado em: 12/05/2009 19:32:05
Categorias: Crimes digitais, Empresas, Hackers, Internet, Phishing, Segurança, Sistema Windows, SPAM, Vírus, Web sites

Antivírus fraudulento brasileiro "sequestra" sistema

O ARIS-LD, grupo de análises e resposta a incidentes de segurança da Linha Defensiva, obteve acesso a um código malicioso de origem brasileira que utiliza técnicas de sequestro ou ransomware para forçar a compra de um programa que teria o objetivo de "limpar" o computador.

Ransomwares são softwares maliciosos que forçam o usuário a pagar para ter seu computador livre de um problema que o próprio programa causou. Os primeiros casos desse tipo de malware apareceram em 1989, com um vírus chamado Aids Info Disk. O termo foi criado em 2005, quando surgiu o trojan GPCode, que criptografava o conteúdo do disco rígido do usuário e pedia dinheiro para liberar o acesso.

A praga descoberta pela Linha Defensiva é a primeira de origem brasileira a usar tais técnicas de extorsão de que se tem notícia. Antes, elas só eram vistas em pragas estrangeiras.

O golpe brasileiro começa com um falso e-mail apresentando ao usuário um suposto convite de formatura:

Assunto: Olá, estou te enviando meu convite de formatura com local, data e hora

CONVITE
Olá, estou te enviando meu convite de formatura com local, data e hora.
Conto com sua presença.
Nos encontramos lá,
Abraços...

Anexo:
ConviteFormatura.pps (52KB)

Ao ser aberto, o malware se instala no sistema e impede que o usuário abra pastas, programas e documentos. A lista de itens bloqueados pelo malware é extensa:

  • Microsoft Word
  • Microsoft Excel
  • Bloco de notas
  • Visualizador de imagens e fax
  • Photo_Lightweight_Viewer
  • Galeria de Fotos
  • Meus Documentos
  • Editor do Registro
  • PowerPoint
  • Minhas imagens
  • Calculadora
  • Configurações do sistema
  • Gerenciador de tarefas
  • Paint
  • Minhas músicas
  • Windows Media Player
  • Windows Live Messenger
  • Adobe Reader/Acrobat

Ao tentar abrir um documento criado nos programas listados acima, o usuário recebe a seguinte mensagem na tela, referenciando a um certo "erro no modulo do windows versão 4817.3812 B 32bits":

ARIS-LD/Reprodução
erro

O link na mensagem leva até o site brasileiro do falso antivírus Byte Clark, que diz resolver o problema mediante a compra do programa, que custa R$ 20,00. Segundo o registro.br, responsável pelo registro de sites no Brasil, o dominio byteclark.com.br foi criado em 12 de abril passado e está registrado para a uma empresa sem relação com o desenvolvimento de softwares.

ARIS-LD/Reprodução
site

Ao ser instalado no computador, o programa "antivírus" apenas remove os arquivos que foram implantados por ele próprio.

ARIS-LD/Reprodução
img1

No momento da análise, nenhum programa antivírus dos 40 disponíveis no serviço de análise VirusTotal detectou a praga brasileira.

Detalhes técnicos

Ao se instalar no sistema, o malware cria os seguintes arquivos e chave nos registro:

  • C:\WINDOWS\system32\svchosts.exe
  • C:\comps.exe
  • C:\byte.ccs
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msnmsgrr: "C:\WINDOWS\system32\svchosts.exe"

O arquivo byte.ccs traz dados da máquina infectada, como sistema operacional e outros dados pessoais. Eles são enviados para o endereço de e-mail

A ferramenta de remoção BankerFix, da Linha Defensiva, já remove esse malware e os arquivos criados por ele.

Fonte: Linha Defensiva

Envie por E-Mail

Os meios eletrônicos desafiam operadores do Direito
Governo lança cartilha com dicas de segurança em redes sociais
Lenovo planeja comprar rivais no Brasil
Você tem perfil para abrir uma empresa on-line?
Microsoft e ITI fecham acordo de cooperação
Funcionários não conseguem se desconectar.
Suporte estendido para Windows 2000 Server termina em 13 de julho de 2010
Funcionário da MS cogita Windows de 128 bits
Google invade privacidade e afronta Constituição
Advogados se rendem às facilidades dos smartphones
Antivírus fraudulento brasileiro "sequestra" sistema
Gripe suína é explorada por spammers
A era da tecnologia é também a era da insegurança
NIC.br cria mais três tipos de domínios
Justiça do Trabalho inicia implantação do processo virtual em nível nacional

Página de 7   
Total de dicas: 98
® 2007 Infraworksys Soluções em Tecnologia - Todos os direitos reservados!
Política de privacidade - Termos e condições