Falando de tudo e de todos, sem discriminação...
O que estou
lendo agora:

 

:: Home | E-mail | Technorati Profile | Fotos | RSS Feed ::

Total Credits:  

[ Leitura Diária: ]
» Tabajara's Blog
» Kibe Loco
» Física na Veia
» Glúon
» Fudeblog
» Introspecção
» Pecado
» Mind Crisis
» Calvim Blog
» Comentando...
» Jacaré Banguela
» Tira-Teimas
» Sujeirices
» Rigues
» Brain Dump
» Sem Perdão
» Planet MSX
» Parn
» Blog do Atom
» Geringonças...
» Na Larica
» There, I Fixed It
» Blog do Guardia
» Pakéquis
» Blog do Picco
» Anime's Blog
[ Marcadores: ]
» Blog
» Cômico
» Crash
» D.I.Y.
» Fotos
» Fudeba
» Geral
» Internet
» Mods
» Banana
[  Perfil  ]



Nome: Luciano
Local: S. J. da Boa Vista,
 São Paulo
Brasil

Visualizar meu
perfil completo
 
[ Arquivos ]
[  Status:  ]

[ ]
 

Malucos já
 estiveram aqui...
[  Divulgação:  ]


  »quarta-feira, 7 de outubro de 2009

ALERTA! Discador IG com virus!

Olho vivo pessoal! O portal do IG esta estava distribuindo um discador infectado com vírus! Primeira suspeita, olhem o tamanho do discador:



Normalmente o tamanho do discador é por volta de 1.2MB, mas este ai esta com 7.58MB.

Ao fazer o download o Avira já deu o alerta de vírus:



O mais estranho é que a página do IG aponta o download pra este link:

http://fire.n1solucoes.com.br/downloads/InstalarDiscadoriG.exe (não coloquei o hiperlink ativo por motivos óbvios)

O n1solucoes é um provedor de hospedagem de paginas, e o fire é um subdomínio. Pelo visto a página do IG foi invadida e trocaram a pagina com o link para o download.

Veja uma analise do discador feita pelo site VirusTotal:

http://www.virustotal.com/analisis/846dfccafbff61099c1aa21eb1013d10f435f552fe2f408466aaf7002e37f879-1254956917

Isso ai é para o pacote de instalação do discador. Já o arquivo Javaxys.exe apresenta este resultado:

http://www.virustotal.com/analisis/e20f09a90f3a29585bcd77756ad219632c57bc77b1eea112709f8b266292ec13-1254949612

Durante a instalação, o executavel abre uma janela do CMD.EXE e executa algo que não da pra ver, é muito rapido, mas é certeza que esta copiando os arquivos do virus executando a operação de inserir a carga dos arquivos no registro e na inicialização. A porcaria ai acima, cria algumas entradas na inicialização do Windows conforme abaixo:



E a localização dos arquivos:







O virus é sacana, e coloca a pasta "Symantec Security" com atributo de oculta, ai ela aparece porque eu desliguei a opção do windows esconder os arquivos com atributo de oculto.

O arquivo que esta colocado dentro da pasta "Inicializar" é executado no próximo boot e o resultado é esse:



Technorati Tags: , ,

Marcadores: , ,

» Escrito por Luciano as 8:50 PM | |

2 Comentários:

Às Quinta-feira, Outubro 08, 2009 9:21:00 AM , Blogger Jefferson disse...
Aparentemente eles consertaram, porque o download tem 900K agora.

Mas continua hospedado na N1solucoes.

 

Às Quinta-feira, Outubro 08, 2009 5:18:00 PM , Blogger Luciano disse...
Pois é... é estranho o IG hospedar o discador no N1solucoes. Afinal, eles não tem host próprio?

Agora nenhuma notinha, aviso, nada na página do IG? Isso é que é jogar o lixo por baixo do tapete!

Uma empresa séria teria colocado um aviso na página: Caros usuários, quem baixou o discador do dia x ao dia y, favor descartar o arquivo e fazer novo download.

Mas eles vão fazer? Hamm... sei sei...

 

Postar um comentário

Links para esta postagem:

Criar um link

<< Início
  Melhor visualizado a
1024 x 768 True color