Recebi hoje este e-mail. O Cracker está utilizando diversas técnicas no mesmo golpe.
Primeira técnica é o SPAM, seguido de engenharia social (segunda técnica). O apelo é que alguém criou uma comunidade no Orkut “especialmente para você”.
Clicando no link do e-mail para visualizar a “comunidade no Orkut”, o usuário é direcionado para uma página clone do Orkut. Igual a página verdadeira. Esta é a terceira técnica: clonagem de site. A “vítima” precisa digitar seu usuário e senha do Orkut para visualizar a “comunidade especial para você”.
Para visualizar a página clone, acesse http://www.en7minutos.com/images/.Community.aspx-cmm=52367.htm.
Entre em ação a quarta técnica, roubo de usuário e senha do Orkut. Isso ocorre porque neste momento, quando o usuário digita seu login e senha do Orkut, o site clone grava essas informações em um arquivo para que o Cracker possa acessá-las mais tarde.
Após fornecer as credenciais do Orkut, o próprio site clone já tenta instalar um Trojan (cavalo de Tróia) na máquina do usuário. Caso o computador esteja com o Windows XP (Service Pack 2) + Internet Explorer versão 7, essa instalação do Trojan só será realizada com sucesso caso o usuário aceite a instalação. Isso ocorre porque o Windows XP com IE 7 possui esse recurso de segurança.
A quinta técnica é a instalação do Trojan. Mesmo o usuário com Windows XP (Service Pack 2) + IE7 recusando a instalação do Trojan, a página clone identifica que foi cancelada a instalação e retorna uma mensagem informando que:
Devido o imenso numero de acesso, e com intuito de cada dia mais zelar pela segurança no Orkut apartir de agora é preciso realizar o download da correção de segurança.
ABRIR
O usuário é obrigado a clicar na opção abrir. Neste momento é realizado o download do arquivo “abrir_orkut” como uma página de internet. Porém, trata-se de um Trojan programado para baixar outros códigos maliciosos na internet.
Segue o resultado dos programas antivírus que conseguiram detectar a praga (foram realizados testes com 32 programas de antivírus, apenas 14 detectaram o código malicioso).
AhnLab-V3
Win-AppCare/Xema.393728
AntiVir
TR/Crypt.CFI.Gen
BitDefender
BehavesLike:Trojan.Downloader
CAT-QuickHeal
(Suspicious) – DNAScan
eSafe
suspicious Trojan/Worm
F-Prot
W32/Trojan-juke-based!Maximus
Ikarus
Trojan-PWS.Win32.Small.br
McAfee
New Malware.n
Microsoft
VirTool:Win32/Obfuscator.C
Norman
W32/Suspicious_U.gen
Panda
Trj/Banker.IMS
Sophos
Mal/Behav-130
Sunbelt
VIPRE.Suspicious
Webwasher-Gateway
Trojan.Crypt.CFI.Gen
Abraços,
Denny Roger
55 (11) 8101 4476
www.dennyroger.com.br
denny@dennyroger.com.br
