Todos os posts tagados fud

VampCrypt – um crypter que ultrapassa a protecção dos antivírus

No blogue Abysssec foi publicado um artigo sobre como ultrapassar a maioria dos antivírus. Utilizando um simples algoritmo de encriptação e desencriptação, os autores conseguiram alcançar o objectivo de criar um crypter, intitulado de VampCrypt, que consegue tornar  software malicioso FUD (Fully UnDetectable).

Esperemos que seja um alerta para as empresas de software antivírus.

Análise ao email falso da DGCI

Conforme noticiei na secção Curtas, um email anda a circular pela web usando como tema as declarações electrónicas em Portugal. No corpo do email temos três links possivelmente para páginas que foram comprometidas e estão alojar o malware.

Esse mesmo malware apenas é detectado por 6 antivírus (ver [aqui]) até a data deste artigo (quando recebi era FUD). Deixo aqui uma breve análise ao que obtive acerca deste SCAM.

Data do teste: 14 Jan. 2009
Hash do ficheiro .exe: 0xA0037D5F1E68D5531019738B7ABFC239

Ficheiros criados no sistema:

  • C:\Windows\ails+.txt
  • C:\Windows\msapi.cfg
  • C:\Windows\msapi.exe
  • C:\Windows\msapic.exe
  • C:\Windows\mspi.exe

Foram executados os seguintes processos em memória:

  • msapi.exe
  • msapic.exe

Alterações no registo do Windows (regedit):

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • MSapi = “Windows\msapi.exe”

Portas abertas:

  • TCP 1073 (msapi.exe)


O malware por diversas vezes tenta estabelecer uma ligação segura (https) com o portaldasfinancas.gov.pt enviando informação?! para além de tentar descarregar outros três ficheiros (ProjectProduto.exe, C.php, Rayban.exe) de outro website – novidadesloucas.com.br.

Se executou o ficheiro do email, correr um anti-spyware e um antivírus actualizado para prevenir danos maiores.

Actualização:

Situação semelhante está a decorrer nos EUA como podem verificar [aqui].