Total Security - totalsecurity.com.br
Vírus se disfarça de mensagem enviada pelo Citibank
A McAfee Security acaba de emitir alerta sobre o aparecimento da ameaça Downloader-DI. De origem desconhecida, o novo cavalo de Tróia se dissemina por meio de spams.Ao chegar à caixa de entrada do usuário, o e-mail indica como remetente "Citibank Accounting", seguido pelo campo de assunto: "Re: Your credit application".
Na mensagem, em inglês, o e-mail afirma que o Citibank agradece o interesse pelo serviço "Home Equity Loan", mas que não foi possível atender ao pedido feito pelo usuário. A mensagem declara que, em anexo, há cópias do pedido de crédito e da requisição enviada ao banco.
Ao executar o anexo "web.da.us.citi.heloc.pif", o vírus se conecta ao Web site do hacker responsável para efetuar o download de um arquivo remoto. Este arquivo, identificado como BackDoor-AXJ, se instala no diretório System do Windows com um nome aleatório de 8 caracteres.
Um arquivo .DLL é também disparado dentro desse diretório, também com um nome aleatório de 8 caracteres, conforme exemplo abaixo: C:WINNTSYSTEM32OQLCINEI.EXE (39,140 bytes - copy of trojan) C:WINNTSYSTEM32BAGMBBPJ.DLL (5,633 bytes - dropped DLL)
Adicionalmente, as portas 7714 e 8546 são abertas na máquina da vítima e uma notificação é fornecida ao hacker via HTTP, por meio do envio de dados para um script PHP (linguagem de programação) remoto. Esses dados incluem endereço IP e os números de portas abertas da máquina da vítima.
Por enquanto, a ameaça é considerada de baixo risco pela McAfee. Suspeitas ou dúvidas quanto ao novo vírus podem ser encaminhadas para virus_research_br@nai.com, ou arquivos para o serviço gratuito WebImmune (www.webimmune.net).
Na mensagem, em inglês, o e-mail afirma que o Citibank agradece o interesse pelo serviço "Home Equity Loan", mas que não foi possível atender ao pedido feito pelo usuário. A mensagem declara que, em anexo, há cópias do pedido de crédito e da requisição enviada ao banco.
Ao executar o anexo "web.da.us.citi.heloc.pif", o vírus se conecta ao Web site do hacker responsável para efetuar o download de um arquivo remoto. Este arquivo, identificado como BackDoor-AXJ, se instala no diretório System do Windows com um nome aleatório de 8 caracteres.
Um arquivo .DLL é também disparado dentro desse diretório, também com um nome aleatório de 8 caracteres, conforme exemplo abaixo: C:WINNTSYSTEM32OQLCINEI.EXE (39,140 bytes - copy of trojan) C:WINNTSYSTEM32BAGMBBPJ.DLL (5,633 bytes - dropped DLL)
Adicionalmente, as portas 7714 e 8546 são abertas na máquina da vítima e uma notificação é fornecida ao hacker via HTTP, por meio do envio de dados para um script PHP (linguagem de programação) remoto. Esses dados incluem endereço IP e os números de portas abertas da máquina da vítima.
Por enquanto, a ameaça é considerada de baixo risco pela McAfee. Suspeitas ou dúvidas quanto ao novo vírus podem ser encaminhadas para virus_research_br@nai.com, ou arquivos para o serviço gratuito WebImmune (www.webimmune.net).
URL Fonte: https://totalsecurity.com.br/noticia/91/visualizar/
Comentários