Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.
Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.
A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.
[photopress:scam_saddam_web.png,full,centered]
Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.
[photopress:scam_saddam_web2.png,full,centered]
Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.
- Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, centenas de exemplos de fraudes, freqüentemente atualizado.
- US-CERT Technical Cyber Security Alert TA04-184A: Internet Explorer Update to Disable ADODB.Stream ActiveX Control, National Cyber Alert System, EUA, 2 de julho de 2004.
- Atualização crítica para Componentes do Microsoft Data Access – Desabilitar o objeto ADODB.Stream do Internet Explorer (KB870669), Base de Conhecimento do Suporte Microsoft, incluindo download da atualização crítica.
- Exploit.ADODB.Stream e Exploit.JS.ADODB.Stream.e, Counter Spy Research Center, Sun Belt.
- Trojan Exploit.JS.ADODB.Stream.e, Cyberoam Tech Updates.
- ADODB.Stream, F-Secure Trojan Information.
- Troj/Psyme-CY, Trojan – Sophos threat analysis.
Em primeiro, ótimo seu Blog. Parabéns.
Caso haja infecção por este vírus, e o antivírus não conseguir a sua remoção, ou solução aceitável, qual seria a medida a ser tomada ??????
Ps.: Achei seu Blog pelo google na pesquisa: “Exploit.JS.ADODB.Stream”
Uso Windows XPsp2 com ACTIVE VIRUS SHIELD
Grato!
WRangel:
Uma boa resposta a essa boa pergunta bem que merecia um artigo mais completo.
Enquanto isso, vou apresentar uma única dica, mas que acho que pode ser efetiva e suficiente na grande maioria dos casos.
Praticamente todo programa malicioso (vírus, verme, trojan…) tenta se instalar para auto-execução toda vez que o Windows é iniciado.
Existe um pequeno programa gratuito chamado Autoruns, desenvolvido pela empresa SysInternals que há um tempo foi comprada pela Microsoft. Você pode baixar gratuitamente em:
http://www.microsoft.com/technet/sysinternals/utilities/Autoruns.mspx
Baixe, descompacte e execute este programa (não requer instalação) autoruns. Localize na listagem exibida pelo Autoruns a seção chamada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
É nessa seção do Registro do Windows que a maioria dos programas maliciosos procura se instalar para auto-execução.
Tente localizar, nesta seção, algum item suspeito ou desconhecido.
Observe principalmente o “path” do programa. Normalmente programas maliciosos se instalam em C:Windows ou em C:Windowssystem32.
Se suspeitar de alguma entrada, desmarque o item.
Reinicie o Windows imediatamente em seguida.
Porém, cuidado! Muitos programas legítimos utilizam esta entrada do Registro para iniciar automaticamente junto com o Windows. Se notar que algum programa ou recurso parou de funcionar após você desmarcar um item com o autoruns, execute o utilitário novamente e marque de volta o item.
Qualquer hora eu posto um artigo mais detalhado sobre o assunto. É um bom tema, realmente…
Abraços!