> Informática > Vírus e Cia  > Spam
Capa
Notícias
O que é Spam
Tipos/Características
Os spammers
O que diz a lei
Spam no Brasil
Spam no mundo
O que é scam
Dicas
Download
Como denunciar
Fórum
E-mail Protegido
Capa Informática
Últimas Notícias
Ajuda
Análises
Colunistas
Download
E-business
Games
Imagens
Virus e Cia.
Spam
Quarta, 6 de outubro de 2004, 19h08 
Supostas dívidas com Fininvest são isca para golpe
 
Últimas de Spam
» Acusado de matar por comentário em site é solto
» Estudo diz que 31% dos internautas clicam em spams
» IBM lança ferramenta que devolve spam ao emissor
» Canadá registra queda no número de spams
Busca
Saiba mais na Internet sobre:
Busque outras notícias no Terra:
O nome da empresa Fininvest está sendo usado em um dos mais recentes ataques de phishing scam. Um e-mail, em nome da financiadora, alega que o usuário está com seu crédito bloqueado devido a débitos pendentes. Valendo-se da apresentação de dívidas com valores elevados, a mensagem tenta induzir as vítimas a baixar um arquivo contendo um suposto extrato. Como de costume, os golpistas usam do artifício para capturar dados sigilosos, como senhas e números de cartões de crédito.

O e-mail apresenta erros logo em seu campo de assunto, no qual o nome da empresa é citado como "fininveste" e várias palavras estão sem os devidos acentos. A mensagem chega com o título "seu credito na fininveste esta bloqueado". O conteúdo da mensagem, em formato HTML, vem junto a uma cópia do site legítimo da empresa.

O texto relaciona datas com os respectivos valores que supostamente deveriam ser pagos, referentes aos meses de agosto (R$ 2.490,79) e setembro (R$ 1.720,96). Para tornar a mensagem mais efetiva, o golpista ameaça: "Pedimos a vossa atenção a este comunicado, pois, medidas legais serão adotadas, tais como a inclusão em nosso Sistema de Proteção ao Crédito e Bloqueio no Cadastro Nacional de Pessoa Física, bem como no Cadastro Nacional de Pessoa Jurídica".

Em seguida, há um link com a indicação "Visualizar extrato de débito". O link remete ao endereço http://paginas.aol.com.br/belleti000/EXTRATO.zip. Nos quadros laterais da mensagem há outros links, todos apontando para o endereço http://www.metalicos.kit.net/lista.zip.

As páginas com os arquivos EXTRATO.zip e lista.zip já foram tirados do ar, mas InfoGuerra ainda teve tempo de baixá-los e analisá-los. Apesar de apresentarem nomes diferentes, trata-se do mesmo programa malicioso.

A análise, feita pelo sistema do site VirusTotal, identificou a presença do TrojanSpy.Win32.Bancos.av, também conhecido como Trojan.Delf.AR, TrojanSpy.Win32.Banker.cv, PWS-Bancos.gen e Bancos.Q, dependendo da empresa antivírus. Trata-se de um cavalo-de-tróia desenvolvido especialmente para capturar senhas de bancos brasileiros.

Ao ser executado, o programa altera o registro do Windows para entrar em atividade sempre que o sistema operacional for iniciado. Para isso, o cavalo-de-tróia modifica a seguinte entrada: HKLM/Software/Microsoft/Windows/Current Version/Run.
 

InfoGuerra

Copyright © InfoGuerra 2007 Todos os direitos reservados