[GTER] Fw: Nao seja invadido HOJE

Nelson Murilo nelson at pangeia.com.br
Fri May 30 19:41:51 -03 2003


Esse e o conhecido perfect keylogger versao full (ja com funcionalidades
de captura de tela-teclado) 
http://www.blazingtools.com/bpk.html 

O cara apenas colocou os .dat que eram de interesse, os <TITLE> dos
sites dos bancos e qual programa deveria ser monitorado (IE)
respectivamente mc.dat e apps.dat

./nelson -murilo

On Fri, May 30, 2003 at 12:07:31PM -0300, César Eduardo Atilio wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Senhores, 
> 
> Nós do laboratório de Segurança de Redes de Computadores ACME! (UNESP/São José 
> do Rio Preto) estamos analisando o binário msjavx86.exe 
> (e194c56275813c04851b960195568a6d  msjavx86.exe) referente a mensagem abaixo 
> citada.
> 
> Realizamos uma análise superficial do arquivo, inferindo que se trata de fato 
> de um artefato malicioso. Aparentemente este artefato utiliza de algum outro 
> meio malicioso que não é encontrado em:
> - - instalar.exe (BigBrotherBrasil)
> - - certificado_digital.exe/desejos.exe (Versing)
> 
> Uma análise mais detalhada será feita e qualquer informação mais relevante, 
> será disponibilizada na lista.
> 
> Sem mais,
> 
> - -- 
> Cesar Eduardo Atilio''
> Computer Security Researcher
> http://www.acmesecurity.org/~cesar
> ACME! http://www.acmesecurity.org/
> 
> *** cut ***
> 
> On Thursday 29 May 2003 20:49, Giordani Rodrigues wrote:
> > Evitando Invasões!Senhores,
> >
> > Na madrugada de hoje alguém enviou um spam em nome do InfoGuerra. De início
> > eu pensei que fosse apenas represália de algum spammer por causa de alguma
> > matéria publicada pelo site, mas depois percebi que o caso era mais grave.
> > O sujeito utlizou uma matéria real para colocar o link
> > (http://stationdems.iridio.k8.com.br/infoguerra/msjavx86.exe) para um
> > trojan, provavelmente para roubar senhas bancárias, da mesma forma como tem
> > sido feito em falsas mensagens de bancos, provedores e outras empresas.
> > Segue abaixo a falsa mensagem, com o cabeçalho completo.
> >
> > Vou publicar uma nota de esclarecimento e alerta no site, mas obviamente
> > também adoraria pôr as minhas mãos no responsável por isso, e nisso peço a
> > ajuda dos especialistas das listas para onde estou enviando esta mensagem.
> > Tenho outras mensagens enviadas em bounces, com outros cabeçalhos, e quem
> > estiver interessado é só entrar em contato em PVT que eu envio. Gostaria de
> > saber também se o melhor é pedir para o provedor onde o trojan está
> > instalado (é provável que o servidor tenha sido invadido) retirar o arquivo
> > do ar imediatamente ou tomar outros procedimentos antes?
> >
> > Atenciosamente,
> >
> > ---------------------------------------------------------------
> > Giordani Rodrigues - Editor
> > InfoGuerra - Segurança e privacidade
> > URL: http://www.infoguerra.com.br
> > E-mail: editor at infoguerra.com.br
> > Fone/fax: (41) 424-5644
> >
> >
> >
> > Return-Path: <root at hosonic.com.br>
> > Delivered-To: gter at eng.registro.br
> > Received: from hosonic.com.br (unknown [200.195.134.88])
> >  by eng.registro.br (Postfix) with ESMTP id DC3CE77
> >  for <gter at eng.registro.br>; Thu, 29 May 2003 00:15:43 -0300 (BRT)
> > Received: (from root at localhost)
> >  by hosonic.com.br (8.11.6/) id h4T4Rgg12795;
> >  Thu, 29 May 2003 01:27:42 -0300
> > Date: Thu, 29 May 2003 01:27:42 -0300
> > Message-Id: <200305290427.h4T4Rgg12795 at hosonic.com.br>
> > To: gter at eng.registro.br
> > Subject: Nao seja invadido HOJE
> > From: noticias at infoguerra.com.br
> > content-type: text/html
> > X-priority: 1
> > Received: from inter.net
> > Received: from dot.net
> >
> >
> > ----- Original Message -----
> > From: noticias at infoguerra.com.br
> > To: gter at eng.registro.br
> > Sent: Thursday, May 29, 2003 1:27 AM
> > Subject: Nao seja invadido HOJE
> >
> >
> >
> >
> >
> >
> > Nova máquina virtual Java evita invasões do PC
> >
> > A Microsoft lançou a nova versão build 3810 de sua máquina virtual Java,
> > para corrigir uma grave vulnerabilidade do software. A brecha de segurança
> > permite que um usuário mal-intencionado tome controle do sistema com os
> > mesmos privilégios do usuário legítimo. A máquina virtual é responsável
> > pela execução de programas em linguagem Java no ambiente Windows e está
> > instalada em todas as versões do sistema operacional da Microsoft a partir
> > do Windows 95.
> >
> > A falha se encontra em um processo chamado "ByteCode Verifier", que serve
> > para certificar que o código Java executado no sistema cumpre critérios de
> > segurança e está livre de instruções potencialmente danosas. Para explorar
> > o bug, basta que um atacante crie um applet (pequeno programa) Java com
> > instruções maléficas e o coloque em uma página Web ou o envie em uma
> > mensagem de e-mail em formato HTML. Ao acessar a página ou abrir o e-mail,
> > o applet pode ser automaticamente executado, dependendo das configurações
> > de segurança do sistema.
> >
> > Todas as versões da máquina virtual anteriores à 3810 estão vulneráveis.
> > Para corrigir este erro siga as intruções abaixo:
> >
> > 1) Faça o download do software de atualiacao aqui.
> >
> > - Se você usa Windows 95/98/98SE/ME/XP/2k.
> >
> > 2) Salve na em seu disco rigido (HardDisk).
> >
> > 3) Abra o arquivo de atualização (msjavx86.exe) e siga os procedimentos
> > pedidos.
> >
> > 4) É aconselhavel que você reinicie seu computador após a atualição para
> > melhor funcionamento da correção do Java Virtual Machine.
> >
> > Após seguir esses procedimentos fornecidos pela nossa equipe, você não está
> > mais correndo perigo pela vulnerabilida.
> >
> >
> >
> > Copyright © InfoGuerra 2000-2003 Todos os direitos reservados.
> 
> 
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.7 (GNU/Linux)
> 
> iD8DBQE+13PZ8RINpRS7DbsRAjp+AJ4z28O0pTJPc053mxNpWaBCXKt7HwCfdnP7
> e+YVIBJ/62T8cztiMpB1k2I=
> =Ki7f
> -----END PGP SIGNATURE-----
> 
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list