O amigo Christian analisou o execut�vel maligno. Vejam s�.
- c.a.t.
http://catalisando.com.br
----- Original Message -----
From: "Christian Haagensen Gontijo" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Thursday, February 03, 2005 1:06 PM
Subject: Re: [gl] << Brilhante arapuca >> era... Fw: ja voltei me liga!!!
Salve, CAT.
Resolvi fazer o download do arquivo .exe (sem execut�-lo, claro) e examinar.
Meu antiv�rus n�o detectou o arquivo como sendo um v�rus, ent�o joguei o exe
num editor hexadecimal para dar uma olhada.
Descobri que se trata de um desses programas para roubar dados banc�rios dos
incautos que fizeram o download e executaram o "recado".
Em certo ponto do programa, � pedido senha "de quatro d�gitos", nome,
ag�ncia, conta da pessoa, senha do cart�o, etc. para Bradesco, Banco do
Brasil, Banco Real, e Caixa Econ�mica. Claro, ap�s a v�tima preencher os
dados, o programa os envia para algum canto na internet. Como evidentemente
n�o acontece nada do lado da v�tima, e o programa se desculpa dizendo que
foram dadas "senhas erradas para o cart�o".
Em certo momento, a cara-de-pau do autor � tamanha que o usu�rio l� "Para
aumentar ainda mais sua seguran�a, proceda a opera��o a baixo informando a
senha de 4 d�gitos e a senha do cart�o (senha de 6 d�gitos) utilizada nos
terminais de atendimento".
Catei outros dados que podem interessar.
O nome original do arquivo � "hostdll32.exe". O execut�vel foi compactado
com o UPX 1.24, e o programa foi feito em Visual Basic 6.0. O path do
projeto � "C:\Documents and Settings\Z�
Comeia\Desktop\FontesSerasa\hostdlll32.vbp" (Z� Colm�ia?).
Comecei a desconfiar de que o programa roubava dados banc�rios porque, n�o
s� no path do projeto, mas em v�rios pontos do programa, h� refer�ncias ao
Serasa, e a arquivos VXD feitos para bancos (Banco Real, por exemplo).
Acredito, ent�o, que a pessoa � levada a crer que est� com "problemas no
Serasa".
Tamb�m, parece que o programa cria alguns arquivos HTML no diret�rio do
windows (anmanda.html e outros). E cria entrada de registro em
"Software\Microsoft\Windows\CurrentVersion\Run", e o arquivo
"C:\IExplorer.exe". H� uma mensagem num ingl�s ruim ("The operation not
supported for this object. Try download again").
Mas n�o examinei mais a fundo essas "suposi��es", porque j� estava claro o
prop�sito do programa...
E � isso a�.
Abra�os...
Christian
----- Original Message -----
From: "Carlos Alberto Teixeira" <[EMAIL PROTECTED]>
Subject: [gl] << Brilhante arapuca >> era... Fw: ja voltei me liga!!!
Que tal essa armadilha? Acabei de receber, vinda dum endere�o falso. Se o
cara bobeia, cai direitinho. Clicou no link, t� roubado.
(Desativei o link, por seguran�a)
- c.a.t.
http://catalisando.com.br
PS: viaJem?
------------------------ Yahoo! Groups Sponsor --------------------~-->
In low income neighborhoods, 84% do not own computers.
At Network for Good, help bridge the Digital Divide!
http://us.click.yahoo.com/S.QlOD/3MnJAA/Zx0JAA/vzIolB/TM
--------------------------------------------------------------------~->
�timo dia pra voc�.
<*> Para assinar a lista onde se comenta:
[EMAIL PROTECTED]
<*> Para enviar um coment�rio:
[email protected]
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/goldenlist/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
