Alerta: Se não souber o que esta fazendo não manipule os arquivos dos links pois os mesmos poderão infectar sua máquina.
No dia 17/08/2010 às 17m 36min recebi um email com o assunto: [FOTOS] - Saudade Dessas Fotos...
Mensagem
001852353 (92,1 KB), 001852363.jpg (54,1 KB), 001852312.jpg (78,1 KB), 001852353.jpg (38,1 KB), 001852375.jpg (85,1 KB),
001852365.jpg (65,6 KB), 001852345.jpg (81,5 KB), 001852312.jpg (53,7 KB), 001852353.jpg (74,5 KB)
Oi Meu Amor, não me canso de falar que esse dia foi o mais lindo e o mais importante da minha vida, então um beijo na bocaa. Te Amo Muito. Obs: Apague as fotos depois heim!!!
Ao clicar no link de qualquer uma das imagens Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... somos remetidos para a URL
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... a qual vai baixar o downloader.
O "Fotos-Nossas.exe" é um downloader que obtem o arquivo:
[+] Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
>> Arquivo salvo em C:\WINDOWS\system32\Tcp_IP.exe
>> Após o download este é executado: cmd /k C:\WINDOWS\system32\Tcp_IP.exe
Os arquivos "Fotos-Nossas.exe" e "TCP_IP.exe" foram protegidos para evitar análise mesmo assim aqui vai algumas informações:
- Eles funcionam durante 30 dias após a data de proteção.
- Eles podem ser executados na mesma máquina apenas 100 vezes.
- md5 [ 03445678127a5b209962f0731b19244a ] -- Fotos-Nossas.exe
- md5 [ 2884e587c7e8440fd4e21e1de1135f8d ] -- nossas-fotos.src, TCP_IP.exe
Informações sobre o "TCP_IP.exe"
- Este keylogger monitora acesso ao Serasa e aos bancos Santander, Centelem, Bradesco, Itaú ....
As informações capturadas são enviadas para uma aplicação para Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
praquem=antoniolage123@gmail.com
titulo=.::TCP_INFO::.
texto=
Controle de infecção Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
praquem=antoniolage123@gmail.com
titulo=.::.TCP_INFECT.::.
texto=
.::.INFECT.::.
---------------------------------------------------
Nome da Maquina..:
Dir System32.....:
MAC..............:
SystemDrive
HD Fisico........:
HD Firmware......:
IPS..............:
Data da Abertura.:
Hora da Abertura.:
Monitor.........:
Obs: Esta análise deve ser usada apenas para Estudo, nunca use o conhecimento para eu benefício próprio.
Autor da Análise: Fidqsi
No dia 17/08/2010 às 17m 36min recebi um email com o assunto: [FOTOS] - Saudade Dessas Fotos...
Mensagem
001852353 (92,1 KB), 001852363.jpg (54,1 KB), 001852312.jpg (78,1 KB), 001852353.jpg (38,1 KB), 001852375.jpg (85,1 KB),
001852365.jpg (65,6 KB), 001852345.jpg (81,5 KB), 001852312.jpg (53,7 KB), 001852353.jpg (74,5 KB)
Oi Meu Amor, não me canso de falar que esse dia foi o mais lindo e o mais importante da minha vida, então um beijo na bocaa. Te Amo Muito. Obs: Apague as fotos depois heim!!!
Ao clicar no link de qualquer uma das imagens Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... somos remetidos para a URL
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... a qual vai baixar o downloader.
O "Fotos-Nossas.exe" é um downloader que obtem o arquivo:
[+] Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
>> Arquivo salvo em C:\WINDOWS\system32\Tcp_IP.exe
>> Após o download este é executado: cmd /k C:\WINDOWS\system32\Tcp_IP.exe
Os arquivos "Fotos-Nossas.exe" e "TCP_IP.exe" foram protegidos para evitar análise mesmo assim aqui vai algumas informações:
- Eles funcionam durante 30 dias após a data de proteção.
- Eles podem ser executados na mesma máquina apenas 100 vezes.
- md5 [ 03445678127a5b209962f0731b19244a ] -- Fotos-Nossas.exe
- md5 [ 2884e587c7e8440fd4e21e1de1135f8d ] -- nossas-fotos.src, TCP_IP.exe
Informações sobre o "TCP_IP.exe"
- Este keylogger monitora acesso ao Serasa e aos bancos Santander, Centelem, Bradesco, Itaú ....
As informações capturadas são enviadas para uma aplicação para Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
praquem=antoniolage123@gmail.com
titulo=.::TCP_INFO::.
texto=
Controle de infecção Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
praquem=antoniolage123@gmail.com
titulo=.::.TCP_INFECT.::.
texto=
.::.INFECT.::.
---------------------------------------------------
Nome da Maquina..:
Dir System32.....:
MAC..............:
SystemDrive
HD Fisico........:
HD Firmware......:
IPS..............:
Data da Abertura.:
Hora da Abertura.:
Monitor.........:
Obs: Esta análise deve ser usada apenas para Estudo, nunca use o conhecimento para eu benefício próprio.
Autor da Análise: Fidqsi
Comment