Conforme noticiei na secção Curtas, um email anda a circular pela web usando como tema as declarações electrónicas em Portugal. No corpo do email temos três links possivelmente para páginas que foram comprometidas e estão alojar o malware.
Esse mesmo malware apenas é detectado por 6 antivírus (ver [aqui]) até a data deste artigo (quando recebi era FUD). Deixo aqui uma breve análise ao que obtive acerca deste SCAM.
Data do teste: 14 Jan. 2009
Hash do ficheiro .exe: 0xA0037D5F1E68D5531019738B7ABFC239
Ficheiros criados no sistema:
- C:\Windows\ails+.txt
- C:\Windows\msapi.cfg
- C:\Windows\msapi.exe
- C:\Windows\msapic.exe
- C:\Windows\mspi.exe
Foram executados os seguintes processos em memória:
- msapi.exe
- msapic.exe
Alterações no registo do Windows (regedit):
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- MSapi = “Windows\msapi.exe”
Portas abertas:
- TCP 1073 (msapi.exe)
O malware por diversas vezes tenta estabelecer uma ligação segura (https) com o portaldasfinancas.gov.pt enviando informação?! para além de tentar descarregar outros três ficheiros (ProjectProduto.exe, C.php, Rayban.exe) de outro website – novidadesloucas.com.br.
Se executou o ficheiro do email, correr um anti-spyware e um antivírus actualizado para prevenir danos maiores.
Actualização:
Situação semelhante está a decorrer nos EUA como podem verificar [aqui].
