terça-feira, 22 de junho de 2010

Cavalo de Tróia SASFIS


Esquema do ataque do Cavalo de Tróia SASFIS

No início deste ano, o Cavalo de Tróia SASFIS tornou-se uma das ameaças mais notadas, sendo disseminado através de mensagens falsas de e-mail, supostamente oriundas da rede Facebook. As infecções SASFIS geralmente têm como resultado o aparecimento de muitas outras infecções de malware
Esta família de malware em particular, torna os sistemas susceptíveis a ataques botnet, especialmente da Botnet Zeus e da Botnet BREDOLAB, estando também associada a variantes FAKEAV, códigos maliciosos geralmente encontrados em sítios pornográficos.
O Cavalo de Tróia SASFIS chega através de uma mensagem de spam com um arquivo anexo. RAR, que contém um arquivo. XLS. Após a extracção do ficheiro, o suposto arquivo. XLS parece um autêntico documento MS Excel. Na realidade, porém, o arquivo é um screensaver detectado como sendo um TROJ_SASFIS.HBC. Este cavalo de Tróia abre de seguida o código BKDR_SASFIS.AC, que permite que as infecções sejam injectadas para o processo svchost.exe.
O arquivo pode à primeira vista parecer, uma planilha do Excel, que possui um cabeçalho binário Win32, que só tem arquivos executáveis. Porém o nome real do arquivo (menos os caracteres chineses) é [telefone&e-mail]. [U 202 e slx.scr], onde o código [U 202 e] é o carácter de controlo Unicode que informa o sistema para processar os sucessivos caracteres da direita para a esquerda.
Assim, para o utilizador, o arquivo aparecerá com o nome [telefone&e-mail] com a extensão Xls.scr, levando o utilizador a acreditar que o arquivo é um arquivo do Excel sendo portanto, "seguro" para abrir, quando na realidade é um arquivo executável com extensão .SCR.
Esta técnica também utiliza outros nomes de arquivos para a mesma finalidade, tais como BACKS [U e 2020] FWS.BAT e I-LOVE-YOU-XOX [U e 2020] TXT.EXE para depois ser processado como BACKSTAB.SWF e I-LOVE -YOU-XOXEXE.TXT.
No primeiro caso, um lote de arquivos está disfarçado como um arquivo Adobe Flash, o arquivo executável é um último disfarçado como um arquivo de texto.
Os utilizadores podem, contudo, impedir o ataque de afectar os sistemas, recorrendo a uma regra simples, não abrir mensagens de e-mail com aparência suspeita e não descarregar nem executar anexos.

Traduçao e adaptação do original em http://emea.trendmicro.com/emea/home/
@protejainternet

Nenhum comentário:

Postar um comentário