Todos os posts tagados msapi

Análise ao email falso da DGCI

Conforme noticiei na secção Curtas, um email anda a circular pela web usando como tema as declarações electrónicas em Portugal. No corpo do email temos três links possivelmente para páginas que foram comprometidas e estão alojar o malware.

Esse mesmo malware apenas é detectado por 6 antivírus (ver [aqui]) até a data deste artigo (quando recebi era FUD). Deixo aqui uma breve análise ao que obtive acerca deste SCAM.

Data do teste: 14 Jan. 2009
Hash do ficheiro .exe: 0xA0037D5F1E68D5531019738B7ABFC239

Ficheiros criados no sistema:

  • C:\Windows\ails+.txt
  • C:\Windows\msapi.cfg
  • C:\Windows\msapi.exe
  • C:\Windows\msapic.exe
  • C:\Windows\mspi.exe

Foram executados os seguintes processos em memória:

  • msapi.exe
  • msapic.exe

Alterações no registo do Windows (regedit):

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • MSapi = “Windows\msapi.exe”

Portas abertas:

  • TCP 1073 (msapi.exe)


O malware por diversas vezes tenta estabelecer uma ligação segura (https) com o portaldasfinancas.gov.pt enviando informação?! para além de tentar descarregar outros três ficheiros (ProjectProduto.exe, C.php, Rayban.exe) de outro website – novidadesloucas.com.br.

Se executou o ficheiro do email, correr um anti-spyware e um antivírus actualizado para prevenir danos maiores.

Actualização:

Situação semelhante está a decorrer nos EUA como podem verificar [aqui].