Conforme já havia relatado o Delegado Emerson Wendt em seu Blog Fraudes Eletrônicas (leia aqui), há um spam circulando que vem com o assunto:
“Casal Global e Flagrado Fazendo Sexo em Boate em Santa Catarina. Cenas Fortes.”
Possui um link que direciona para o site:
http://www.ddorfprivat.de/gal/51/noticias/videos/youtube.com/Casal-Global-e-Flagrado-Fazendo-Sexo-em-Boate-em-Santa_Catarina.php?0.74624
Esse por sua vez solicita o download do executável:
Casal-Global-e-Flagrado-Fazendo-Sexo-em-Boate-em-Santa_Catarina-WAV.exe
MD5: 2e5c5874b1dc697eee0709afc928207f
Kaspersky Name: Trojan-Downloader.Win32.Banload.bdqi
Ao ser executado o malware realiza esses procedimentos:
Faz download de: http://212.189.144.121/infw.gif
Salva como: c:\rosebrut.jpg
Renomeia e copia para: C:\windows\system32\igfxtrai.exe
Cria o arquivo .bat: c:\compactPE.bat
Salva como: c:\rosebrut.jpg
Renomeia e copia para: C:\windows\system32\igfxtrai.exe
Cria o arquivo .bat: c:\compactPE.bat
Com o conteúdo: start C:\windows\system32\igfxtrai.exe
Executa o .bat: cmd.exe /c c:\compactPE.bat
Faz download de: http://212.189.144.121/infw.jpg
Salva como: c:\rosebrut2.jpg
Renomeia e copia para: C:\degrau01.exe
Cria o arquivo .bat: c:\asiscs1.bat
Executa o .bat: cmd.exe /c c:\compactPE.bat
Faz download de: http://212.189.144.121/infw.jpg
Salva como: c:\rosebrut2.jpg
Renomeia e copia para: C:\degrau01.exe
Cria o arquivo .bat: c:\asiscs1.bat
Com o conteúdo: start C:\degrau01.exe
Executa o .bat: cmd.exe /c c:\asiscs1.bat
Executa o .bat: cmd.exe /c c:\asiscs1.bat
O site http://212.189.144.121/ já está fora do ar, não foi possível prosseguir com a investigação. Estava hospedado na Itália.
Então caso você tenha um desses arquivos citados em seu computador, já sabe, trata-se de um malware banker, ou seja, uma espécie de vírus que se instala no computador com a finalidade de furtar senhas de contas bancárias.
Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet
Belo trabalho Ronaldo!
ResponderExcluirVai continuar a anlisá-lo ?
Me interessei no .BAT compactPE.bat qual seu funcionamento. Pelo nome do arquivo já temos uma idéia, porém como ele o faz ?
Abraço!
Bernardo,
ResponderExcluirEntão, não dá pra continuar porque já foi desativado o site e não deu pra baixar os demais arquivos.
Apesar do nome, esse BAT não se trata de um compactador de PE, ele só faz o que eu escrevi mesmo, executa o arquivo C:\windows\system32\igfxtrai.exe.
Abraço, valeu!
Estou curioso sou novo no site venho acompanhando seus posts e não entendo por que ter o trabalho de de fazer a pessoa baixa um xxx.jpg para depois virar um exe !! por que não baixa em formato exe já que todo esse processo é feito de modo oculto ?
ResponderExcluiressa duvida não me sai da cabeça
perdoem minha inexperiência no assunto..
fico grato se auguem puder me explicar
Olá, toda dúvida é bem-vinda. :)
ExcluirEles deixam em jpg principalmente para tentar fazer com que o arquivo passe desapercebido pelo administrador do site.
Geralmente eles invadem um site e copiam o malware para lá, então se colocarem .jpg talvez o cara que cuida do site não perceba que o site dele está hospedando o malware.
Abraços.