[GTER] RES: Mensagem do CERT.br

[Cleber @ Listas]

Entre em contato com a CobreBem no RJ e veja com eles se já tem alguma
informação sobre isso. Como são os desenvolvedores, devem ter sido
notificados por alguém.
Abraços, Cleber


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Henrique de Moraes Holschuh
Enviada em: quinta-feira, 23 de dezembro de 2010 10:04
Para: gter at eng.registro.br
Assunto: Re: [GTER] Mensagem do CERT.br

On 21-12-2010 11:35, Edinilson - ATINET wrote:
> Caros amigos, estamos recebendo inumeras mensagens do CERT.br 
> informando que um dos sites hospedados por nós está hospedando 
> artefatos usados em Phishing/Scam.
>
> O detalhe é que, este arquivo, faz parte do sistema COBREBEM para 
> geração de boleto.
> IP: xxxx
> URL: http://www.xxxxx.com.br/CobreBemX.dll
> Tested on: 2010-12-20 21:30:37 GMT
> Kaspersky antivirus signature: Trojan-Spy.Win32.Banbra.bjf
>
>
> Não será um falso-positivo do sistema do CERT pois já passamos VARIOS 
> tipos de anti-virus e nao encontra nada.

Não basta passar antivirus nesse caso.  Aliás, não adianta nada a menos que
você esteja hospedando o artefato em formato binário para começo de
história.

Se o artefato estiver remoto, e somente o código para o drive-by estiver no
seu site, ele pode estar em qualquer lugar: javascript "obfuscado" em
algumas páginas estáticas, ou dentro das bases de dados de um site dinâmico,
etc.

> Alguem já teve este problema?

Sim.  É *muito* comum.

Coloque um firewall de aplicação dos bons na frente de seus sistemas.

--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br> IM@ - Informática de
Municípios Associados Engenharia de Telecomunicações TEL
+55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente e do
custo que você pode evitar.
--
gter list    https://eng.registro.br/mailman/listinfo/gter