[GTER] Mensagem do CERT.br
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Thu Dec 23 10:04:25 -02 2010
On 21-12-2010 11:35, Edinilson - ATINET wrote:
> Caros amigos, estamos recebendo inumeras mensagens do CERT.br informando que
> um dos sites hospedados por nós está hospedando artefatos usados em
> Phishing/Scam.
>
> O detalhe é que, este arquivo, faz parte do sistema COBREBEM para geração de
> boleto.
> IP: xxxx
> URL: http://www.xxxxx.com.br/CobreBemX.dll
> Tested on: 2010-12-20 21:30:37 GMT
> Kaspersky antivirus signature: Trojan-Spy.Win32.Banbra.bjf
>
>
> Não será um falso-positivo do sistema do CERT pois já passamos VARIOS tipos
> de anti-virus e nao encontra nada.
Não basta passar antivirus nesse caso. Aliás, não adianta nada a menos
que você esteja hospedando o artefato em formato binário para começo de
história.
Se o artefato estiver remoto, e somente o código para o drive-by estiver
no seu site, ele pode estar em qualquer lugar: javascript "obfuscado" em
algumas páginas estáticas, ou dentro das bases de dados de um site
dinâmico, etc.
> Alguem já teve este problema?
Sim. É *muito* comum.
Coloque um firewall de aplicação dos bons na frente de seus sistemas.
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list