Início > Outros > Mais um malware sendo enviado via DM no Twitter…

Mais um malware sendo enviado via DM no Twitter…

Apenas aproveitando para avisar a todos…

Acordei hoje e tinha algumas mensagens do seguinte estilo (todas iguais, só mudava o remetente):

Com essa mania de links curtinhos, é fácil clicar desavisado =/

Enfim, eu recebi 2 links diferentes (CUIDADO! MALWARE!): http://twt.tl/EVqiFuN e http://twt.tl/OooGgNg.

Utilizando o wget para acompanhar os redirects, o caminho dos dois é idêntico:

  1. http://bit.ly/auxUhM
  2. http://youtubi.org/watchv-/?/v=bJq54167cSelZ
  3. http://youtubi.org/watchv-dQp62194mZdcP/www.youtube.com

E no 3o finalmente temos o download do malware, devidamente identificado pelo file como: “www.youtube.com: PE32 executable for MS Windows (GUI) Intel 80386 32-bit”.

MD5 do arquivo: 81cce45115d9bf35c1a9ee9f2dc9e741

SHA1 do arquivo: 967f37047dba0ded065a944fb07641f459b9eb4c

Aproveitei para envia-los para 2 scanners online, o VirusTotal e o Jotti.

O VirusTotal me avisou que este mesmo arquivo (pelo md5/sha1) já havia sido enviado hoje mais cedo, por volta de 03:00h do horário de Brasília. Como recebi as DMs por volta de 01:15h, o timeline ta consistente.

ATENÇAO: Até o atual momento, poucos AVs contem a assinatura desta variante. A maioria só esta identificando o malware através de heurística, que por ser custoso – computacionalmente – está desabilitado em muitos AVs.

Aqui estão os links para os scans dos sites acima:

VirusTotal: http://www.virustotal.com/pt/analisis/7f50bd658adcf635aa30842cc5f14c5b35fd999e4f3c11479e4e9104c01635e0-1268200988

Jotti: http://virusscan.jotti.org/pt-BR/scanresult/bf9795313ee5bf584034ee28069248d72a1f9772

Fazendo um whois: O registro do domínio foi feito ontem: “Created On:09-Mar-2010 03:39:49 UTC”. ;)

Lembrem-se de caso receber esta DM via twitter, AVISE quem lhe enviou, pois a pessoa pode não saber que está infectada.

E se possível tente contatar a empresa responsável pelo registro do domínio e/ou hosting :)

Anúncios
  1. março 10, 2010 às 12:19 pm

    Fala belezA?
    eu enviei para minha lista de contato esse endereço http://bit.ly/auxUhM.
    O engraçado é que tenho Macintosh, e não tem virus né!
    Não fiz nenhum acesso ao twitter por outra maquina windows e o horário de envio das DMs eu não estava online.
    Como será que ocorreu isso?
    Eu tava pensando que há uns 6 meses atrás me enviaram um link por DM e eu entrei
    mas não era virus… não baixou nada, talvez tenha roubado minha senha de acesso… seria isso possivel de somente agora se manifestar? Valeu

  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: