[GTER] FW: Voce já Pensou... - Report

[Jarbas de Freitas Peixoto]

Promoção-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Olá a todos!

O arquivo focus2.exe é um arquivo (auto-extract). Dentro do mesmo, há vários outros arquivos. Seguem os checksum:

d861b272939654abde4d30e9f6a5e6ae    Focus2.exe
Conteúdo do winrar:
c42f902d32751f01b88b078c065f39a0    apps.dat 
c50013a8d1f0d1e3b0b08ac9ccdb8346    bpk.bin    
340fe78130649ece30551d01ec119013    bpk.exe
80a0c6dc98009b47e38b9834b2e4d3a8    bpkhk.dll
cb1a4d754c9b3e29bc80b05c34e5ff7c    bpkwb.dll
c4ca4238a0b923820dcc509a6f75849b    kernel
26a7e3330af85796531c16d448cc5e20    kw.dat        <== Arquivo com relação de nomes de bancos
d651772d900104b16b085b445b73d328    mc.dat    <== Arquivo com relação de nomes de bancos
29be13b2de4e3c07684a3684192de361    rebooting.exe
f4f6bf276fc8cd08a8fc2be00e51f4f5    rinst.dat
770e59fef4d8e5efa89b18c86e2ee4d3    rinst.exe

Ao executar focus2.exe é mostrada uma popup de erro, com a seguinte mensagem: "ERRO NA ALOCAÇÃO DE MEMÓRIA. IMPOSSÍVEL CONTINUAR. CLIQUE EM OK E REINICIE SEU COMPUTADOR."

Ao reiniciar o computador e ativar o navegador, será enviado um e-mail contendo os jpg referentes aos cliques do mouse (o velho truque do teclado virtual). 
Neste caso, é utilizado um produto já citado na lista: Perfect Keylogger (http://www.blazingtools.com).
O mais interessante é que o autor da "grande ferramenta de auditoria" oferece o antídoto para a mesma (mas é pago!). "You like to cyberchat with the opposite sex, and don't want your spouse getting suspicious", use o Personal Anti-Spy! :) (http://www.blazingtools.com/antispy.html)

O estilo desse trojan é semelhante ao certificado_digital.exe. Para uma análise mais detalhada, acesse https://forum.acmesecurity.org/

Segue anexo um jpg mostrando o conteudo do e-mail com as informações confidenciais. Caso alguém precise do e-mail completo do cidadão, entre em contato (acme at acmesecurity.org)

Sem mais,
ACME! Team





- - - ----- Original Message ----- 
From: Fabio Rodrigues 
To: Gter (E-mail) 
Sent: Friday, June 06, 2003 12:46 PM
Subject: [GTER] FW: Voce já Pensou...


Recebi hoje...

Não arrisquei ainda a baixar o arquivo para ver o que é...

- - - -----Original Message-----
From: Voce Ganhou! [mailto:specialfocus at americanas.com]
Sent: sexta-feira, 6 de junho de 2003 12:45
To: Fabio Rodrigues
Subject: Voce já Pensou...


 


- - - --------------------------------------------------------------------------------


- - - --
GTER list    http://eng.registro.br/mailman/listinfo/gter

-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0

iQA/AwUBPuD//nxi97baZwFkEQJWkQCg9PpVKhuEbmJEObJjcwdYJzCA25QAn2ar
0v3PLdyjFaKqmpMlxz9NY+xz
=sg/Q
-----END PGP SIGNATURE-----




-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/gter/attachments/20030606/7a62f2a3/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: modelo_email_focus2.JPG
Type: image/jpeg
Size: 55964 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20030606/7a62f2a3/attachment.jpe>