Total Security - totalsecurity.com.br
Antivírus
Quinta - 17 de Julho de 2003 às 13:29
Por: f4r3j4d0r

    Imprimir


A McAfee Security acaba de emitir alerta sobre o aparecimento da ameaça Downloader-DI. De origem desconhecida, o novo cavalo de Tróia se dissemina por meio de spams.Ao chegar à caixa de entrada do usuário, o e-mail indica como remetente "Citibank Accounting", seguido pelo campo de assunto: "Re: Your credit application".

Na mensagem, em inglês, o e-mail afirma que o Citibank agradece o interesse pelo serviço "Home Equity Loan", mas que não foi possível atender ao pedido feito pelo usuário. A mensagem declara que, em anexo, há cópias do pedido de crédito e da requisição enviada ao banco.

Ao executar o anexo "web.da.us.citi.heloc.pif", o vírus se conecta ao Web site do hacker responsável para efetuar o download de um arquivo remoto. Este arquivo, identificado como BackDoor-AXJ, se instala no diretório System do Windows com um nome aleatório de 8 caracteres.

Um arquivo .DLL é também disparado dentro desse diretório, também com um nome aleatório de 8 caracteres, conforme exemplo abaixo: C:WINNTSYSTEM32OQLCINEI.EXE (39,140 bytes - copy of trojan) C:WINNTSYSTEM32BAGMBBPJ.DLL (5,633 bytes - dropped DLL)

Adicionalmente, as portas 7714 e 8546 são abertas na máquina da vítima e uma notificação é fornecida ao hacker via HTTP, por meio do envio de dados para um script PHP (linguagem de programação) remoto. Esses dados incluem endereço IP e os números de portas abertas da máquina da vítima.

Por enquanto, a ameaça é considerada de baixo risco pela McAfee. Suspeitas ou dúvidas quanto ao novo vírus podem ser encaminhadas para virus_research_br@nai.com, ou arquivos para o serviço gratuito WebImmune (www.webimmune.net).




Comentários

Deixe seu Comentário

URL Fonte: http://totalsecurity.com.br/noticia/91/visualizar/