[GTER] Black-hole em host/rede hospedando malware?

Durval Menezes durval at tmp.com.br
Fri Jul 28 15:27:01 -03 2006 

Prezados,

Analisando o email abaixo (mais um dos muitos scams que andam por ai...), 
fui baixar o artefato apontado pela URL e, para minha grande surpresa,
verifiquei que o respectivo host/rede (foto10072006.smtp.ru, 81.211.64.121)
esta' sem rota a partir de pelo menos dois backbones nacionais:

-> Telemar (a partir de um acesso Velox):
	 1  200.217.72.1  29.258 ms  27.748 ms  31.875 ms
	 2  * * *
	 4  3 * *
	 5  * * *

-> Embratel (a partir de um host hospedado no IDC deles):
	1  XXX.YYY.com.br (999.999.999.999)  1.198 ms  1.272 ms  2.604
ms
	2  embratel-999-9-9-99999.rjo.embratel.net.br (200.244.174.999)  12.899
ms  186.15 ms  12.99 ms
	3  embratel-999-9-9-99999.rjo.embratel.net.br (200.244.174.999)  201.875
ms !H *  84.995 ms !H

O mais curioso e' que nao ha' problema de acesso nenhum no host/rede
hospedeiro: a partir de um servidor que mantemos no exterior (USA/Los
Angeles, ligado `a Alter.net) conseguimos acessar sem problemas:

 3  unknown.Level3.net (209.245.56.201)  1.208 ms  1.060 ms  1.298 ms
 4  ge-7-0-0.mp2.SanDiego1.Level3.net (4.68.113.69)  35.935 ms  1.173 ms 1.452 ms
 5  so-3-0-0.mp2.Stockholm1.Level3.net (4.68.128.70)  178.545 ms 178.321 ms  178.421 ms
 6  ge-1-2.car2.Stockholm1.Level3.net (4.68.125.230)  178.318 ms 178.318 ms  178.323 ms
 7  213.242.110.154  202.042 ms  201.882 ms  201.911 ms
 8  cisco02.Moscow.gldn.net (194.186.157.221)  206.622 ms  206.545 ms 206.535 ms
 9  cat01.Moscow.gldn.net (194.186.157.70)  211.620 ms  208.297 ms 208.291 ms
10  gw-gt-int.pochta.ru (194.186.36.126)  208.531 ms  208.458 ms 208.591 ms
11  ftp.smtp.ru (81.211.64.121) [open]  211.274 ms  210.163 ms  209.782 ms

Alguem sabe o que esta' acontecendo? A explicacao mais obvia (de que o
host/rede acima estaria sendo "blackholed" por razoes de seguranca por
ambos os backbones nacionais) e' pouco crivel...

Em tempo: o artefato e' mais uma encarnacao do famigerado
Downloader.Banload, ou seja, nada de muito inesperado...

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)


----- Forwarded message from "faviocosta at bol.com.br" <faviocosta at bol.com.br> -----

From: "faviocosta at bol.com.br" <faviocosta at bol.com.br>
Subject: ´´Jamais imaginei isso de voce
 ´´
To: durval at tmp.com.br
Date: Fri, 28 Jul 2006 01:22:44 -0300
X-Priority: 3
X-Library: Indy 9.00.10
X-Sender-IP: 200.103.28.207
X-SIG5: 4244a1d66e14d662556666b0df003a0d
X-Spam: no; 0.03; verem:01 bol:90 atitudes:86 respeito:16 poderia:17 isso:17 camera:81 falta:18 amigos:81 foto:79 ainda:22 http:75 abaixo:25 jamais:72 que:27 



                      Jamais imaginei que uma pessoa como vc poderia tomar
uma atitudes  dessas.,  Anti-humana  e  ainda  por cima na frente 
de  uma  camera para  todos verem,  e  uma  falta  de respeito 
com os amigos; veja vc mesmo a suas fotos no link abaixo.

http://foto10072006.smtp.ru/foto.scr

----- End forwarded message -----

More information about the gter mailing list