Por Fabio Assolini

O ARIS-LD, grupo de análises e resposta a incidentes de segurança da Linha Defensiva, obteve acesso a um código malicioso de origem brasileira que utiliza técnicas de sequestro ou ransomware para forçar a compra de um programa que teria o objetivo de “limpar” o computador.

Ransomwares são softwares maliciosos que forçam o usuário a pagar para ter seu computador livre de um problema que o próprio programa causou. Os primeiros casos desse tipo de malware apareceram em 1989, com um vírus chamado Aids Info Disk. O termo foi criado em 2005, quando surgiu o trojan GPCode, que criptografava o conteúdo do disco rígido do usuário e pedia dinheiro para liberar o acesso.

A praga descoberta pela Linha Defensiva é a primeira de origem brasileira a usar tais técnicas de extorsão de que se tem notícia. Antes, elas só eram vistas em pragas estrangeiras.

O golpe brasileiro começa com um falso e-mail apresentando ao usuário um suposto convite de formatura:

Assunto: Olá, estou te enviando meu convite de formatura com local, data e hora

CONVITE
Olá, estou te enviando meu convite de formatura com local, data e hora.
Conto com sua presença.
Nos encontramos lá,
Abraços…

Anexo:
ConviteFormatura.pps (52KB)

Ao ser aberto, o malware se instala no sistema e impede que o usuário abra pastas, programas e documentos. A lista de itens bloqueados pelo malware é extensa:

  • Microsoft Word
  • Microsoft Excel
  • Bloco de notas
  • Visualizador de imagens e fax
  • Photo_Lightweight_Viewer
  • Galeria de Fotos
  • Meus Documentos
  • Editor do Registro
  • PowerPoint
  • Minhas imagens
  • Calculadora
  • Configurações do sistema
  • Gerenciador de tarefas
  • Paint
  • Minhas músicas
  • Windows Media Player
  • Windows Live Messenger
  • Adobe Reader/Acrobat
 

Ao tentar abrir um documento criado nos programas listados acima, o usuário recebe a seguinte mensagem na tela, referenciando a um certo “erro no modulo do windows versão 4817.3812 (32 bytes)”:

ARIS-LD/Reproduçãoerro

O link na mensagem leva até o site brasileiro do falso antivírus Byte Clark, que diz resolver o problema mediante a compra do programa, que custa R$ 20,00. Segundo o registro.br, responsável pelo registro de sites no Brasil, o dominio byteclark.com.br foi criado em 12 de abril passado e está registrado para a uma empresa sem relação com o desenvolvimento de softwares.

ARIS-LD/Reproduçãosite

[ Ampliar ]

Ao ser instalado no computador, o programa “antivírus” apenas remove os arquivos que foram implantados por ele próprio.

ARIS-LD/Reproduçãoimg1

[ Ampliar ]

No momento da análise, nenhum programa antivírus dos 40 disponíveis no serviço de análise VirusTotal detectou a praga brasileira.

Detalhes técnicos

Ao se instalar no sistema, o malware cria os seguintes arquivos e chave nos registro:

  • C:WINDOWSsystem32svchosts.exe
  • C:comps.exe
  • C:byte.ccs
  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunmsnmsgrr: “C:WINDOWSsystem32svchosts.exe”

O arquivo byte.ccs traz dados da máquina infectada, como sistema operacional e outros dados pessoais. Eles são enviados para o endereço de e-mail tramposerio40@gmail.com

A ferramenta de remoção BankerFix, da Linha Defensiva, já remove esse malware e os arquivos criados por ele.

Anúncios

Escrito por Redação Linha Defensiva

6 comentários

  1. Excelente post Fábio! Algumas perguntas:

    Você analisou a maneira com que o malware impede o acesso aos arquivos? Que tipo de criptografia é utilizada? Ele substitui os links dos programas/documentos por uma chamada para o seu código? Como é feito este redirecionamento? É feita a deleção dos arquivos originais ou é feito um wipe?

    Você entrou em contato com o CERT.BR ou alguma Delegacia especializada em Crimes Virtuais para fazer uma denúncia e passar os dados relevantes do Gmail, Registro.BR e Caixa Econômica para bloqueio e levantamento de informações?

    [ ]s e parabéns pelo trabalho.

    Curtir

    Responder

  2. Parabens pela investigação todo mundo poderia fazer denuncias a polícia de sua cidade contra o site e esse tal de Rodolfo Esteves B. da S.

    Curtir

    Responder

  3. Olá Sandro!

    O malware impede o acesso aos softwares listados através de um GetActiveWindow, identificando o processo que está rodando e dando o comando para fechá-lo. Ele não aplica nenhuma criptografia ou wipe nos arquivos do usuário, como faria um ransomware mais avançado. Ele se instala na inicialização e impede o acesso ao registro e ao gerenciador de tarefas para dificultar a remoção.

    Encaminhamos denúncia a Polícia Federal, CERT e registro.br sobre o incidente para que tomem as providências cabíveis.

    Curtir

    Responder

  4. Interessante! Parece menos nocivo aos usuários que um ransomware tradicional..

    O estranho é a página do falso software de segurança continuar no ar…

    [ ]s!

    Curtir

    Responder

  5. Após as denúncias o conteúdo do site foi removido do ar

    Curtir

    Responder

  6. Vladimir Chermach 13/08/2009 às 22:19

    Posso dizer q sou fã do bankerfix, ja faz um tempao… tive de formatar um pc de cliente para remover esse virus em questao..
    Acostumei a usar o bankerfix pra virus de msn, e nem lembrei dele na hora… (¬¬)

    Valeu Linha Defensiva.. vou ficar mais antenado…

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.