[GTER] F=?ISO-8859-1?B?VzogVm9jZSBq4SBQZQ==?=nsou... - Report

Jarbas de Freitas Peixoto jarbas at acme-ids.org
Fri Jun 6 18:32:36 -03 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
 
Olá a todos!
 
O arquivo focus2.exe é um arquivo (auto-extract). Dentro do mesmo, há vários
outros arquivos. Seguem os checksum:
 
d861b272939654abde4d30e9f6a5e6ae Focus2.exe
Conteúdo do winrar:
c42f902d32751f01b88b078c065f39a0 apps.dat
c50013a8d1f0d1e3b0b08ac9ccdb8346 bpk.bin
340fe78130649ece30551d01ec119013 bpk.exe
80a0c6dc98009b47e38b9834b2e4d3a8 bpkhk.dll
cb1a4d754c9b3e29bc80b05c34e5ff7c bpkwb.dll
c4ca4238a0b923820dcc509a6f75849b kernel
26a7e3330af85796531c16d448cc5e20 kw.dat <== Arquivo com relação de nomes de bancos
d651772d900104b16b085b445b73d328 mc.dat <== Arquivo com relação de nomes de bancos
29be13b2de4e3c07684a3684192de361 rebooting.exe
f4f6bf276fc8cd08a8fc2be00e51f4f5 rinst.dat
770e59fef4d8e5efa89b18c86e2ee4d3 rinst.exe
 
Ao executar focus2.exe é mostrada uma popup de erro, com a seguinte mensagem:
"ERRO NA ALOCAÇÃO DE MEMÓRIA. IMPOSSÍVEL CONTINUAR. CLIQUE EM OK E REINICIE SEU
COMPUTADOR."
 
Ao reiniciar o computador e ativar o navegador, será enviado um e-mail contendo
os jpg referentes aos cliques do mouse (o velho truque do teclado virtual).
Neste caso, é utilizado um produto já citado na lista: Perfect Keylogger
(http://www.blazingtools.com).
O mais interessante é que o autor da "grande ferramenta de auditoria" oferece o
antídoto para a mesma (mas é pago!). "You like to cyberchat with the opposite
sex, and don't want your spouse getting suspicious", use o Personal Anti-Spy! 
(http://www.blazingtools.com/antispy.html)
 
O estilo desse trojan é semelhante ao certificado_digital.exe. Para uma análise
mais detalhada, acesse https://forum.acmesecurity.org/
 
Em http://www.acmesecurity.org/~jarbas/modelo_email_focus2.jpg está um jpg
mostrando o conteudo do e-mail com as informações confidenciais. Caso alguém
precise do e-mail completo do cidadão, entre em contato (acme at acmesecurity.org)
 
Sem mais,
ACME! Team
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0
 
iQA/AwUBPuEHXHxi97baZwFkEQLttQCdHaDTp1LETUnGaG+nF6jFD3QTrjYAoK3g
v2Q/ldWO+RPx2fbeUaJrl5xk
=RYj0
-----END PGP SIGNATURE-----

-------------------------------------------------
       ACME! Computer Security Research
         http://www.acmesecurity.org

More information about the gter mailing list