[GTER] FW: Voce já Pensou... - Report
Jarbas de Freitas Peixoto
jarbas at acmesecurity.org
Fri Jun 6 17:56:45 -03 2003
Promoção-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Olá a todos!
O arquivo focus2.exe é um arquivo (auto-extract). Dentro do mesmo, há vários outros arquivos. Seguem os checksum:
d861b272939654abde4d30e9f6a5e6ae Focus2.exe
Conteúdo do winrar:
c42f902d32751f01b88b078c065f39a0 apps.dat
c50013a8d1f0d1e3b0b08ac9ccdb8346 bpk.bin
340fe78130649ece30551d01ec119013 bpk.exe
80a0c6dc98009b47e38b9834b2e4d3a8 bpkhk.dll
cb1a4d754c9b3e29bc80b05c34e5ff7c bpkwb.dll
c4ca4238a0b923820dcc509a6f75849b kernel
26a7e3330af85796531c16d448cc5e20 kw.dat <== Arquivo com relação de nomes de bancos
d651772d900104b16b085b445b73d328 mc.dat <== Arquivo com relação de nomes de bancos
29be13b2de4e3c07684a3684192de361 rebooting.exe
f4f6bf276fc8cd08a8fc2be00e51f4f5 rinst.dat
770e59fef4d8e5efa89b18c86e2ee4d3 rinst.exe
Ao executar focus2.exe é mostrada uma popup de erro, com a seguinte mensagem: "ERRO NA ALOCAÇÃO DE MEMÓRIA. IMPOSSÍVEL CONTINUAR. CLIQUE EM OK E REINICIE SEU COMPUTADOR."
Ao reiniciar o computador e ativar o navegador, será enviado um e-mail contendo os jpg referentes aos cliques do mouse (o velho truque do teclado virtual).
Neste caso, é utilizado um produto já citado na lista: Perfect Keylogger (http://www.blazingtools.com).
O mais interessante é que o autor da "grande ferramenta de auditoria" oferece o antídoto para a mesma (mas é pago!). "You like to cyberchat with the opposite sex, and don't want your spouse getting suspicious", use o Personal Anti-Spy! :) (http://www.blazingtools.com/antispy.html)
O estilo desse trojan é semelhante ao certificado_digital.exe. Para uma análise mais detalhada, acesse https://forum.acmesecurity.org/
Segue anexo um jpg mostrando o conteudo do e-mail com as informações confidenciais. Caso alguém precise do e-mail completo do cidadão, entre em contato (acme at acmesecurity.org)
Sem mais,
ACME! Team
- - - ----- Original Message -----
From: Fabio Rodrigues
To: Gter (E-mail)
Sent: Friday, June 06, 2003 12:46 PM
Subject: [GTER] FW: Voce já Pensou...
Recebi hoje...
Não arrisquei ainda a baixar o arquivo para ver o que é...
- - - -----Original Message-----
From: Voce Ganhou! [mailto:specialfocus at americanas.com]
Sent: sexta-feira, 6 de junho de 2003 12:45
To: Fabio Rodrigues
Subject: Voce já Pensou...
- - - --------------------------------------------------------------------------------
- - - --
GTER list http://eng.registro.br/mailman/listinfo/gter
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0
iQA/AwUBPuD//nxi97baZwFkEQJWkQCg9PpVKhuEbmJEObJjcwdYJzCA25QAn2ar
0v3PLdyjFaKqmpMlxz9NY+xz
=sg/Q
-----END PGP SIGNATURE-----
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/gter/attachments/20030606/7a62f2a3/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: modelo_email_focus2.JPG
Type: image/jpeg
Size: 55964 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20030606/7a62f2a3/attachment.jpe>
More information about the gter
mailing list