Dynsec

Depois de muito tempo recebi um spam/phishing de cartões da UOL

Voce recebeu um cartao do UOL!

Olá Alguem especial enviou um cartão.
Para visualizá-lo, clique no link abaixo ou Cole ele no Navegador:

http://www.uolcartoesbrpa.com.br/MODIFICADO-2CEEFCA0104CA0219A.rar?#http://cts.uol.com.br/recebeu.html?id

Este cartão ficará disponível por 15 dias.

Envie um cartão para um amigo.
Clique no seguinte endereço: http://www.uol.com.br/cartoes
______________________________________________________________________
Acabe com aquelas janelinhas que pulam na sua tela.
AntiPop-up UOL - É grátis!
http://antipopup.uol.com.br

Como bom curioso resolvi fazer uma análise básica =)

root@dynseclabs:/tmp# clamscan uolcartoes-2CEEFCA0104CA0219A.rar
uolcartoes-2CEEFCA0104CA0219A.rar: OK

———– SCAN SUMMARY ———–
Known viruses: 573966
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.08 MB
Data read: 0.08 MB (ratio 1.00:1)
Time: 1.609 sec (0 m 1 s)

root@dynseclabs:/tmp# unrar x uolcartoes-2CEEFCA0104CA0219A.rar
UNRAR 3.80 freeware Copyright (c) 1993-2008 Alexander Roshal

Extracting from uolcartoes-2CEEFCA0104CA0219A.rar

Extracting uolcatoes.exe OK
All OK

root@dynseclabs:/tmp# clamscan uolcatoes.exe

uolcatoes.exe: OK

———– SCAN SUMMARY ———–
Known viruses: 573966
Engine version: 0.95.1
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.08 MB
Data read: 0.08 MB (ratio 1.00:1)
Time: 1.204 sec (0 m 1 s)

Averiguando o dominio www.uolcartoesbrpa.com.br

% Copyright (c) Nic.br
% A utilização dos dados abaixo é permitida somente conforme
% descrito no Termo de Uso (http://registro.br/termo), sendo
% proibida a sua distribuição, comercialização ou reprodução,
% em particular para fins publicitários ou propósitos
% similares.
% 2009-06-16 13:41:07 (BRT -03:00)

domínio: uolcartoesbrpa.com.br
entidade: ABISAGUE BELEM GARCIA
endereço: R CORONEL MANOEL PY, 204, apartamento
endereço: 90550-040 - Porto Alegre - RS
país: BR
ID entidade: ABBGA
ID admin: ABBGA
ID técnico: ABBGA
ID cobrança: ABBGA
servidor DNS: ns1.dominios.uol.com.br
status DNS: 14/06/2009 AA
último AA: 14/06/2009
servidor DNS: ns2.dominios.uol.com.br
status DNS: 14/06/2009 AA
último AA: 14/06/2009
servidor DNS: ns3.dominios.uol.com.br
status DNS: 14/06/2009 AA
último AA: 14/06/2009
criado: 14/06/2009 #5661944
expiração: 14/06/2010
alterado: 14/06/2009
provedor: UOLHOST (22)
status: publicado

ID: ABBGA
nome: ABISAGUE BELEM GARCIA
criado: 14/06/2009
alterado: 14/06/2009
provedor: UOLHOST (22)

% Problemas de segurança e spam também devem ser reportados ao
% cert.br, http://cert.br/, respectivamente para cert@cert.br
% e mail-abuse@cert.br
%
% whois.registro.br aceita somente consultas diretas. Tipos de
% consultas são: dominio (.br), ticket, provedor, ID, bloco
% CIDR, IP e ASN.

Estranhamente o dominio ta hospedado na UOL hosts =)

E por final o resultado via Anubis

Summary:
Description Risk

Spawns Processes: The executable produces processes during the execution. low

Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys. low

Mais Informação: http://anubis.iseclab.org/?action=result&task_id=16be2db96110790a4b1446370086ff893&format=html

É um keylogger, só não sabemos ainda do que pois precisamos de maior analise.

Cuidado com Phishing que recebem , como viram o clamav não detectou, nunca confie muito no seu Anti Virus =)

Deem uma olhada no resultado do Virus Total : http://www.virustotal.com/analisis/5856783898fc1b6acc703b6b2f53badd768c8117c438866186b4c65f00315d68-1245041847

Rodrigo Montoro (Sp0oKeR)

Este conteúdo foi publicado em Terça, 16 de Junho de 2009 às 13:50 e está arquivado em DynSec. Você pode acompanhar quaisquer comentários a esta publicação através do RSS 2.0. Você pode deixar uma resposta, ou link do seu próprio site.  | Enviar por e-mail  | Hits para esta publicação: 436