Fraude do dia: Saddam

Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.

Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.

A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.

[photopress:scam_saddam_web.png,full,centered]

Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.

[photopress:scam_saddam_web2.png,full,centered]

Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.

4 Replies to “Fraude do dia: Saddam”

  1. Em primeiro, ótimo seu Blog. Parabéns.
    Caso haja infecção por este vírus, e o antivírus não conseguir a sua remoção, ou solução aceitável, qual seria a medida a ser tomada ??????

    Ps.: Achei seu Blog pelo google na pesquisa: “Exploit.JS.ADODB.Stream”

    Uso Windows XPsp2 com ACTIVE VIRUS SHIELD
    Grato!

  2. WRangel:
    Uma boa resposta a essa boa pergunta bem que merecia um artigo mais completo.

    Enquanto isso, vou apresentar uma única dica, mas que acho que pode ser efetiva e suficiente na grande maioria dos casos.

    Praticamente todo programa malicioso (vírus, verme, trojan…) tenta se instalar para auto-execução toda vez que o Windows é iniciado.

    Existe um pequeno programa gratuito chamado Autoruns, desenvolvido pela empresa SysInternals que há um tempo foi comprada pela Microsoft. Você pode baixar gratuitamente em:

    http://www.microsoft.com/technet/sysinternals/utilities/Autoruns.mspx

    Baixe, descompacte e execute este programa (não requer instalação) autoruns. Localize na listagem exibida pelo Autoruns a seção chamada:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    É nessa seção do Registro do Windows que a maioria dos programas maliciosos procura se instalar para auto-execução.

    Tente localizar, nesta seção, algum item suspeito ou desconhecido.

    Observe principalmente o “path” do programa. Normalmente programas maliciosos se instalam em C:Windows ou em C:Windowssystem32.

    Se suspeitar de alguma entrada, desmarque o item.
    Reinicie o Windows imediatamente em seguida.

    Porém, cuidado! Muitos programas legítimos utilizam esta entrada do Registro para iniciar automaticamente junto com o Windows. Se notar que algum programa ou recurso parou de funcionar após você desmarcar um item com o autoruns, execute o utilitário novamente e marque de volta o item.

    Qualquer hora eu posto um artigo mais detalhado sobre o assunto. É um bom tema, realmente…

    Abraços!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *