São Paulo, 14 de dezembro de 2007 – Um e-mail falso em nome do Serasa está circulando na Internet. A mensagem falsa afirma que o destinatário está com pendências financeiras em seu CPF ou CNPJ e pede para que clique no link para visualizar os débitos. “No entanto, ao clicar o internauta será direcionando para o arquivo “vizualizar.exe”. Este arquivo quando instalado realiza automaticamente o download de um segundo arquivo capaz de roubar senhas de internet banking”, explica especialista de segurança da informação da Future Security, Denny Roger.
Outra peculiaridade descoberta por Roger na análise do vírus é que o servidor utilizado para a invasão está na Espanha. “Os crackers preferem servidores remotos para dificultar o rastreamento do golpe e evitar um julgamento no Brasil”, justifica o especialista. Outro detalhe é que para se conseguir as evidências que provam a origem da invasão, será necessária a realização de uma investigação forense no servidor espanhol. “Caso isso aconteça, o resultado pode ser enviado ao Brasil para darmos continuidade à investigação do crime no Brasil”.
Mas segundo Roger, o mais comum é que o arquivo malicioso hospedado no servidor da Espanha seja simplesmente removido. “Ou seja, uma das evidências da invasão é perdida neste caso”. Ainda não existem processos claros para a realização de uma investigação forense em conjunto com uma equipe de resposta a incidentes internacionais. “As equipes de resposta a incidentes querem deixar o ambiente funcionando de forma correta e acabam prejudicando o trabalho dos peritos em crimes digitais”, argumenta.
Na análise que Roger fez no primeiro arquivo “vizualizar.exe”, dos 32 antivírus utilizados, seis não detectaram a praga. São eles: Avast, ClamAV, FileAdvisor, McAfee, Prevx1 e Sunbelt. Já na investigação do segundo, que é um trojan, dos 32 softwares utilizados 11 não constataram a presença do vírus. Entre eles estão: AntiVir, Authentium, Avast, CAT-QuickHeal, eTrust-Vet, Ewido, FileAdvisor, Microsoft, NOD32v2, TheHacker e VirusBuster.
Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9692
