[GTER] Fw: Nao seja invadido HOJE

César Eduardo Atilio cesar at acmesecurity.org
Fri May 30 12:07:31 -03 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Senhores, 

Nós do laboratório de Segurança de Redes de Computadores ACME! (UNESP/São José 
do Rio Preto) estamos analisando o binário msjavx86.exe 
(e194c56275813c04851b960195568a6d  msjavx86.exe) referente a mensagem abaixo 
citada.

Realizamos uma análise superficial do arquivo, inferindo que se trata de fato 
de um artefato malicioso. Aparentemente este artefato utiliza de algum outro 
meio malicioso que não é encontrado em:
- - instalar.exe (BigBrotherBrasil)
- - certificado_digital.exe/desejos.exe (Versing)

Uma análise mais detalhada será feita e qualquer informação mais relevante, 
será disponibilizada na lista.

Sem mais,

- -- 
Cesar Eduardo Atilio''
Computer Security Researcher
http://www.acmesecurity.org/~cesar
ACME! http://www.acmesecurity.org/

*** cut ***

On Thursday 29 May 2003 20:49, Giordani Rodrigues wrote:
> Evitando Invasões!Senhores,
>
> Na madrugada de hoje alguém enviou um spam em nome do InfoGuerra. De início
> eu pensei que fosse apenas represália de algum spammer por causa de alguma
> matéria publicada pelo site, mas depois percebi que o caso era mais grave.
> O sujeito utlizou uma matéria real para colocar o link
> (http://stationdems.iridio.k8.com.br/infoguerra/msjavx86.exe) para um
> trojan, provavelmente para roubar senhas bancárias, da mesma forma como tem
> sido feito em falsas mensagens de bancos, provedores e outras empresas.
> Segue abaixo a falsa mensagem, com o cabeçalho completo.
>
> Vou publicar uma nota de esclarecimento e alerta no site, mas obviamente
> também adoraria pôr as minhas mãos no responsável por isso, e nisso peço a
> ajuda dos especialistas das listas para onde estou enviando esta mensagem.
> Tenho outras mensagens enviadas em bounces, com outros cabeçalhos, e quem
> estiver interessado é só entrar em contato em PVT que eu envio. Gostaria de
> saber também se o melhor é pedir para o provedor onde o trojan está
> instalado (é provável que o servidor tenha sido invadido) retirar o arquivo
> do ar imediatamente ou tomar outros procedimentos antes?
>
> Atenciosamente,
>
> ---------------------------------------------------------------
> Giordani Rodrigues - Editor
> InfoGuerra - Segurança e privacidade
> URL: http://www.infoguerra.com.br
> E-mail: editor at infoguerra.com.br
> Fone/fax: (41) 424-5644
>
>
>
> Return-Path: <root at hosonic.com.br>
> Delivered-To: gter at eng.registro.br
> Received: from hosonic.com.br (unknown [200.195.134.88])
>  by eng.registro.br (Postfix) with ESMTP id DC3CE77
>  for <gter at eng.registro.br>; Thu, 29 May 2003 00:15:43 -0300 (BRT)
> Received: (from root at localhost)
>  by hosonic.com.br (8.11.6/) id h4T4Rgg12795;
>  Thu, 29 May 2003 01:27:42 -0300
> Date: Thu, 29 May 2003 01:27:42 -0300
> Message-Id: <200305290427.h4T4Rgg12795 at hosonic.com.br>
> To: gter at eng.registro.br
> Subject: Nao seja invadido HOJE
> From: noticias at infoguerra.com.br
> content-type: text/html
> X-priority: 1
> Received: from inter.net
> Received: from dot.net
>
>
> ----- Original Message -----
> From: noticias at infoguerra.com.br
> To: gter at eng.registro.br
> Sent: Thursday, May 29, 2003 1:27 AM
> Subject: Nao seja invadido HOJE
>
>
>
>
>
>
> Nova máquina virtual Java evita invasões do PC
>
> A Microsoft lançou a nova versão build 3810 de sua máquina virtual Java,
> para corrigir uma grave vulnerabilidade do software. A brecha de segurança
> permite que um usuário mal-intencionado tome controle do sistema com os
> mesmos privilégios do usuário legítimo. A máquina virtual é responsável
> pela execução de programas em linguagem Java no ambiente Windows e está
> instalada em todas as versões do sistema operacional da Microsoft a partir
> do Windows 95.
>
> A falha se encontra em um processo chamado "ByteCode Verifier", que serve
> para certificar que o código Java executado no sistema cumpre critérios de
> segurança e está livre de instruções potencialmente danosas. Para explorar
> o bug, basta que um atacante crie um applet (pequeno programa) Java com
> instruções maléficas e o coloque em uma página Web ou o envie em uma
> mensagem de e-mail em formato HTML. Ao acessar a página ou abrir o e-mail,
> o applet pode ser automaticamente executado, dependendo das configurações
> de segurança do sistema.
>
> Todas as versões da máquina virtual anteriores à 3810 estão vulneráveis.
> Para corrigir este erro siga as intruções abaixo:
>
> 1) Faça o download do software de atualiacao aqui.
>
> - Se você usa Windows 95/98/98SE/ME/XP/2k.
>
> 2) Salve na em seu disco rigido (HardDisk).
>
> 3) Abra o arquivo de atualização (msjavx86.exe) e siga os procedimentos
> pedidos.
>
> 4) É aconselhavel que você reinicie seu computador após a atualição para
> melhor funcionamento da correção do Java Virtual Machine.
>
> Após seguir esses procedimentos fornecidos pela nossa equipe, você não está
> mais correndo perigo pela vulnerabilida.
>
>
>
> Copyright © InfoGuerra 2000-2003 Todos os direitos reservados.


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE+13PZ8RINpRS7DbsRAjp+AJ4z28O0pTJPc053mxNpWaBCXKt7HwCfdnP7
e+YVIBJ/62T8cztiMpB1k2I=
=Ki7f
-----END PGP SIGNATURE-----



More information about the gter mailing list