Site Baixaki com vírus., Baixando trojan banker

Cuidado pessoal !!!

Baixei o Ares do site Baixaki (instalador "aresregular211_installer.exe" de 6MB) e fui enganado pois trata-se de um trojan que nem o Avira detectou.

Fui infectado.

Já não é a primeira vez que isso acontece pois no Orkut alguém havia alertado faz tempo de que o Avast baixado pelo Baixaki era um malware.

Parece que algum cracker brasileiro consegue invadir o site Baixaki e de alguma forma fazer com que o internauta baixe trojans para o seu computador. Depois esse cracker desfaz o trabalho para não ser percebido.

Qual antivírus detectou ser um banker?

Veja a análise do instalador do Ares Galaxy que foi baixado do Baixaki:
http://www.virustotal.com/pt/analisis/938e...61b4-1248881514

Olá JoseMelo

Ao clicar no botão de download do Ares no Baxaki o site agora deve estar redirecionando para o link correto do programa.

Das duas uma, ou o cracker invadiu novamente o Baixaki e desfez o "serviço" ou o próprio site corrigiu.

Veja sobre este assunto no fórum Guia do Hardware: http://www.guiadohardware.net/comunidade/b...67/#post4517278

Já faz tempo que isso vem acontecendo e pelo jeito não corrigiram a falha de segurança do site (Baixaki) pois o cracker continua invadindo e fazendo com que programas muito baixados sejam trocados por trojans que depois de instalados ficam ocultos sem dar a perceber ao internauta.

O link que baixava o trojan era http:///www.estudiomusicaltubalee.com///downloads///aresregular211_installer.exe que agora está baixando outro executável de 4,5 KB (que deve ser trojan também: o cracker é bem ativo; acabei de analisar no VirusTotal e nada foi detectado por enquanto) e não o de 6MB de antes.

Este post foi editado por Henrique - RJ em 30/07/2009, 05:04 AM.

A segunda hipótese é mais provável.

A conta foi suspensa.

A conta aqui não foi suspensa pois consigo baixar usando o Free Download Manager.

Henrique:

Poderia enviar o arquivo para o ARIS?

avs@linhadefensiva.org

Grato

Pessoal,

Tive acesso ao arquivo e fiz a análise (obrigado Weyne Jr) e realmente trata-se de um malware banker.

O malware tem 6,47 MB enquanto o Ares legítimo possue 2,26 MB. O ícone do malware é idêntico ao do programa verdadeiro.

A fim de ajudar as pessoas que cairam no golpe, vou listar abaixo os arquivos que são criados pela praga:

Arquivos:
C:\Arquivos de programas\Symantec Security\Instalando.MANIFEST
C:\Arquivos de programas\Symantec Security\Javaxys.exe
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Javaxys.exe
C:\WINDOWS\system32\Java\bin\install.bat
C:\WINDOWS\system32\Java\bin\installer.exe
C:\WINDOWS\system32\Java\bin\javavm.exe
C:\WINDOWS\system32\SysRescue.exe
C:\WINDOWS\system32\TS45.SYS (Rootkit)
C:\WINDOWS\system32\Versão_1.0.0.7.Dll
C:\WINDOWS\Tasks\startt.job
C:\autoexec.bat

Entradas no HijackThis:
O4 - HKLM\..\Run: [Javaxys] C:\Arquivos de programas\Symantec Security\Javaxys.exe
O4 - HKLM\..\Run: [SysRescue.exe] C:\Windows\System32\SysRescue.exe

Alguns arquivos criados por essa infecção já são removidos pelo Bankerfix da Linha Defensiva. Os que ainda não são serão adicionados na próxima atualização.

Se alguém aqui caiu no golpe, sugiro que executem o Bankerfix.

Att,

Sera que o baixaki sabe disto?

Gostaria de ter uma copia do ficheiro, para enviar para a eset para adicionarem a base de dados e para a BitDefender.

O Baixaki sabe e não faz nada para resolver e o cracker continua invadindo.

Não se preocupe em enviar o trojan pois já foi distribuido pelo VirusTotal.

Provavelmente sim porque o link foi arrumado, agora está apontando para o programa legítimo.

O arquivo já é detectado por vários programas antivirus:
http://www.virustotal.com/analisis/bdf833c...96ea-1249054367
Os que ainda não detectam receberão o arquivo pelo VirusTotal.

Eu gostaria de saber quando é que o NOD32 começa a detectar esse banker.

Olá D10g0,

Se você ver o link que o Einstein postou o nod32 já identifica o arquivo.

A situação a cada dia parece estar pior. Não podemos confiar em nada. O que podemos fazer para evitar esse tipo de situação - digo para não sermos engandos, achando que estamos baixando um arquivo legitimo, sendo que estamos baixando um fake?


Baixar somente do site oficial?



[]s

Olá Sentinel,

Uma boa dica é observar o link no qual é feito o download o no qual ele é redirecionado passando o mouse em cima do link de download e verificando o link no canto esquerdo a baixo.

E o pior é que invasão de servidores é algo corriqueiro nos dias de hoje.

Imaginem a invasão de um site muito acessado mundialmente e a contaminação do mesmo com uma simples aplicação flash que é carregada automaticamente pelo navegador ao entrar.

Pronto, tua máquina é infectada e você nem percebe.

Semana passada, ao entrar em uma página, recebi uma mensagem do flash (estava atualizado) que nunca vi antes me alertando e bloqueando a execução.

Corrijam-me se estiver errado.

Este post foi editado por Henrique - RJ em 01/08/2009, 08:24 AM.