Análise Rápida do Malware: Casal Global Flagrado Fazendo Sexo

Conforme já havia relatado o Delegado Emerson Wendt em seu Blog Fraudes Eletrônicas (leia aqui), há um spam circulando que vem com o assunto:

“Casal Global e Flagrado Fazendo Sexo em Boate em Santa Catarina. Cenas Fortes.”

Possui um link que direciona para o site:

http://www.ddorfprivat.de/gal/51/noticias/videos/youtube.com/Casal-Global-e-Flagrado-Fazendo-Sexo-em-Boate-em-Santa_Catarina.php?0.74624

Esse por sua vez solicita o download do executável:

Casal-Global-e-Flagrado-Fazendo-Sexo-em-Boate-em-Santa_Catarina-WAV.exe
MD5: 2e5c5874b1dc697eee0709afc928207f
Kaspersky Name: Trojan-Downloader.Win32.Banload.bdqi

Ao ser executado o malware realiza esses procedimentos:

Faz download de: http://212.189.144.121/infw.gif
Salva como: c:\rosebrut.jpg
Renomeia e copia para: C:\windows\system32\igfxtrai.exe
Cria o arquivo .bat: c:\compactPE.bat
Com o conteúdo: start C:\windows\system32\igfxtrai.exe
Executa o .bat: cmd.exe /c c:\compactPE.bat

Faz download de: http://212.189.144.121/infw.jpg
Salva como: c:\rosebrut2.jpg
Renomeia e copia para: C:\degrau01.exe
Cria o arquivo .bat: c:\asiscs1.bat
Com o conteúdo: start C:\degrau01.exe
Executa o .bat: cmd.exe /c c:\asiscs1.bat

O site http://212.189.144.121/ já está fora do ar, não foi possível prosseguir com a investigação. Estava hospedado na Itália.

Então caso você tenha um desses arquivos citados em seu computador, já sabe, trata-se de um malware banker, ou seja, uma espécie de vírus que se instala no computador com a finalidade de furtar senhas de contas bancárias.

Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet

4 comentários:

  1. Belo trabalho Ronaldo!
    Vai continuar a anlisá-lo ?
    Me interessei no .BAT compactPE.bat qual seu funcionamento. Pelo nome do arquivo já temos uma idéia, porém como ele o faz ?

    Abraço!

    ResponderExcluir
  2. Bernardo,

    Então, não dá pra continuar porque já foi desativado o site e não deu pra baixar os demais arquivos.

    Apesar do nome, esse BAT não se trata de um compactador de PE, ele só faz o que eu escrevi mesmo, executa o arquivo C:\windows\system32\igfxtrai.exe.

    Abraço, valeu!

    ResponderExcluir
  3. Estou curioso sou novo no site venho acompanhando seus posts e não entendo por que ter o trabalho de de fazer a pessoa baixa um xxx.jpg para depois virar um exe !! por que não baixa em formato exe já que todo esse processo é feito de modo oculto ?
    essa duvida não me sai da cabeça
    perdoem minha inexperiência no assunto..
    fico grato se auguem puder me explicar

    ResponderExcluir
    Respostas
    1. Olá, toda dúvida é bem-vinda. :)

      Eles deixam em jpg principalmente para tentar fazer com que o arquivo passe desapercebido pelo administrador do site.

      Geralmente eles invadem um site e copiam o malware para lá, então se colocarem .jpg talvez o cara que cuida do site não perceba que o site dele está hospedando o malware.

      Abraços.

      Excluir

Related Posts Plugin for WordPress, Blogger...