Vírus “Retire minha foto do Facebook”

Recebi hoje um e-mail de um conhecido que estava propagando um vírus e como havia acabado de ter uma aula de Segurança da Informação, mais especificamente sobre códigos maliciosos, resolvi fazer alguns testes.

VIRUS "Retire minha foto do FACEBOOK"

VIRUS "Retire minha foto do FACEBOOK"


Tendo em mente a definição de vírus de computador, que diz que o mesmo precisa ser executado para executar a ação maliciosa ao qual foi construido, na própria interface do e-mail ( gmail ) cliquei com o botão direito e mandei salvar como e salvei como um arquivo sem extensão, como se fosse um arquivo de texto puro. Depois abri o arquivo (botão direito, menu abrir com) com o programa NotePad++ para averiguar seu conteúdo. Dentro do arquivo havia 584 linhas de código binário (caracteres nao impressos na tela, ver imagem abaixo) e algumas linhas de caracteres legiveis, que foram gerados pelo programa usado para construir o vírus.

Codigo Binário (Caracteres não legiveis)

Informações da Compilação do Virus

Informações da Compilação do Virus

Quando tiver um tempo com folga, o próximo passo será analisar o código do vírus com um DEBUG para tentar entender exatamente qual seria a ação maliciosa do vírus.

Submeti o arquivo do vírus ao site www.virustotal.com que analisa o arquivo com mais de 20 tipos diferentes de programas anti-virus e diz quais realmente protegem contra o tipo de vírus analisado.
Vejam o resultado na tabela abaixo. Apenas o McAfee, McAfee-GW-Edition, Microsoft, Norman, Rising, UPERAntiSpyware, TheHacker, TrendMicro e TrendMicro-HouseCall identificaram o arquivo como suspeito, ou seja, todos os outros não consideraram o arquivo como uma ameaça, estando assim vulneráveis a esse código malicioso, ao qual estou me referindo como vírus.

Antivirus Result Update
AhnLab-V3 20120202
AntiVir 20120202
Antiy-AVL 20120202
Avast 20120202
AVG 20120203
BitDefender 20120203
ByteHero 20120126
CAT-QuickHeal 20120202
ClamAV 20120203
Commtouch 20120203
Comodo 20120202
DrWeb 20120203
Emsisoft 20120203
eSafe 20120202
eTrust-Vet 20120202
F-Prot 20120201
F-Secure 20120203
Fortinet 20120202
GData 20120202
Ikarus 20120203
Jiangmin 20120202
K7AntiVirus 20120202
Kaspersky 20120203
McAfee Artemis!D7E29A653403 20120202
McAfee-GW-Edition Artemis!D7E29A653403 20120202
Microsoft TrojanDownloader:Win32/Delf.QO 20120202
NOD32 20120203
Norman W32/Malware 20120202
nProtect 20120202
Panda 20120202
PCTools 20120201
Prevx 20120203
Rising Suspicious 20120118
Sophos 20120202
SUPERAntiSpyware Trojan.Agent/Gen-Autorun[Swisyn] 20120203
Symantec 20120203
TheHacker Posible_Worm32 20120202
TrendMicro PAK_Generic.001 20120202
TrendMicro-HouseCall PAK_Generic.001 20120203
VBA32 20120202
VIPRE 20120202
ViRobot 20120203
VirusBuster 20120202
O site mostra mais algumas informacoes sobre o aquivo que podem ajudar a indentificar qual seria sua ação maliciosa. No final mostra-se quantas vezes o virus foi submetido ao site e qual o horario de cada analise. Pelo resultado, vi que fui a segunda pessoa pessoa a submeter o tal codigo malicioso para análise e a primeira pessoa o havia feito 15 horas antes de mim.

TrID

UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda’s Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)

ExifTool
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2012:02:01 23:26:03+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 49152
LinkerVersion............: 2.25
EntryPoint...............: 0x2c370
InitializedDataSize......: 32768
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 131072
Portable Executable structural information
PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
UPX0                   4096        131072         0     0.00  d41d8cd98f00b204e9800998ecf8427e
UPX1                 135168         49152     46592     7.90  a2f617be77588f5f59b1a79b5f668dc9
.rsrc                184320         32768     31744     6.09  eb5fa9cd6a5e2a60112295d1be72163a

PE Imports....................:

advapi32.dll
	RegCloseKey

shell32.dll
	ShellExecuteA

KERNEL32.DLL
	LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

oleaut32.dll
	VariantCopy

user32.dll
	CharNextA
First seen by VirusTotal

2012-02-02 10:19:37 UTC ( 15 hours, 45 minutes ago )

Last seen by VirusTotal

2012-02-03 02:03:31 UTC ( 1 minute ago )

File names (max. 25)
  1. virus_foto_facebook
  2. file-3496131_scr
Portanto se voce utiliza alguns dos anti-virus listados acima que não reconheceram o arquivo como código malicioso, seu computador está desprotegido, assim nao baixe ou execute o arquivo anexo ao e-mail.

4 respostas em “Vírus “Retire minha foto do Facebook”

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s