O site da Prefeitura de Camboriú-SC está hospedando malware há mais de um mês segundo o Malc0de Database. Como podemos ver nas imagens abaixo, o arquivo malicioso foi detectado no dia 20/08 e hoje, dia 26/09, ainda continua lá em:
http://www.cidadedecamboriu.sc.gov.br/educacao/ceis/cei_caic/imagens/DSC050723.JPG.exe
Imagino que se esse arquivo está lá o site deve possuir alguma vulnerabilidade que ainda não foi corrigida e permitiu a invasão.
O executável foi compilado com o Visual Basic e não possui nenhum tipo de proteção, se dermos uma olhada nas strings podemos encontrar informações interessantes.
São vários campos para enviar um e-mail através do SMTP do gmail, inclusive com usuário e senha. Ao descompilar o executável com o VB Decompiler percebemos que utiliza uma classe pronta que faz esse trabalho de comunicação com o servidor SMTP chamada de CDOmail.
Porém não está funcionando, ao executar o artefato e capturar o tráfego de rede a comunicação com o SMTP não obteve sucesso, como nos mostra o excelente software NetworkMiner.
Avisei os responsáveis pelo domínio há uma semana e nada aconteceu, o mesmo para o e-mail de ouvidoria da prefeitura.
Ótimo exemplo de malware simples de ser analisado
ResponderExcluirCara, você é um ótimo profissional
Desculpe a pergunta, mas onde você trabalha e com o que?
Tu trabalhas com analise de malware ou é só passatempo?
Uma dica pro blog: poderia por um link no fim do post pra acessar ele? (fica mais fácil de comentar)
Porquê quando eu leio o post, para abrir em nova pagina e comentar, tenho que subir novamente lah no inicio do post, isso é meio ruim sabe
Abraço cara, nota 10 pro blog, como sempre
Concordo com o Nathan!
ResponderExcluirSeus exemplos são magníficos ... tanto a análise quanto a explicação dos passos!
Espero que continue com esse belo trabalho!
Parabéns.
Olá amigo, Muito bom o seu blog, o melhor no ramo... Gosto muito destas análises. Estes dias me deparei em vários blogs conhecidos com links redirecionando para uma pagina fake da adobe flash, e pedia para fazer download de um executável que seriaa o flash. Este executável se tratava de um Malware.
ResponderExcluirLink da pagina:
http://84.45.38.216/~network2/ads.js/?A
Executável:
http://www.4shared.com/file/TQVh0kbH/FlashPlayer_12.html
Fiz uma mera análise, e descobri que ele adiciona no IE um novo proxy e também mudava meu arquivo hosts:
http://update9.microsoft.com:8180/proxy.dat
Este por objetivo faser um redirecionamento do site do BB.
Estou postando para obter informaçoes mais detalhadas sobre este malware, e para deixar uma dica de talvez uma postagem sua.
Isto é mais uma prova da falta de estrutura, conhecimento, incompetência e despreparo dos setores de TI dos orgãos do setor público brasileiro, Parabéns pelo post!
ResponderExcluirRivaldo Oliveira
Ótimo post, tô sempre acompanhando.
ResponderExcluirSeria bom se você desse dicas de segurança também.
Ahh... E também seria bom mais artigos sobre engenharia reversa com Ollydbg, sou fã de engenharia reversa.
Agradeço os comentários de todos e também as sugestões que estão sendo anotadas. A ideia é continuar com esse trabalho do blog, expandir e sempre melhorar, o feedback de vocês é muito importante.
ResponderExcluirAbraços!
Muito bom o post ...
ResponderExcluire o mais inacreditável é que mesmo após quase um mês após o post, a praga continua no site, pois acabei de tentar o acesso.