Após a notícia que publiquei aqui, já recebi alguns emails do vírus informático que se está a propagar pela web usando o nome da PSP (Polícia Segurança Pública), com o remetente investigaçoes@psp.pt.

Ao contrário do que se pensava, o email não traz qualquer anexo mas sim link para uma página php que, quando executada, faz iniciar o download de um ficheiro executável (.exe) com o nome inquerito_363234_2009.exe (md5: b63f8acda0d65001526a7035ea527e77) de 1709568 bytes.

Este ficheiro é apenas detectado por 12 dos 41 maiores/conhecidos antivírus com diversos nomes, entre eles:

• Trojan-Spy.Win32.Bancos.zm!IK
• TR/Crypt.CFI.Gen
• Gen:Trojan.Heur.OTW@v1BfL1eGn
• W32/Virut.AI!Generic
• Trojan.Win32.Malware.1
• Artemis!B63F8ACDA0D6
• Trojan.Crypt.CFI.Gen
• Mal/Behav-188
• PAK_Generic.009

O vírus usa o packer PE_Patch.Enigma e e tenta fazer 8 importes.

Com o Ssdeep, uma ferramenta para calcular e comparar o Context Triggered Piecewise Hashing, obtive a seguinte hash: 49152:plWPC/Gh0CmV0dXkIvI/xrvkbgyGgrvRMzQqTMwN7:pEPn0t0dXrI/xrvkbzrJMz3

Todos os emails vieram do mesmo IP 204.12.25.181, numa amostra de 9 emails após um trace verifiquei que pertencem a um ISP localizado nos Estados Unidos.

O texto do email parece um pouco português brasileiro o que pode levar a pensar ser um ataque vindo do Brasil ou ter sido usado um tradutor online.

O alojamento onde estava a imagem está em manutenção, provavelmente já se encontra bloqueado ou suspenso. O dominio do uploadimagens.com, onde estava alojada uma das imagens do email foi registada pela empresa Webvila.pt, uma empresa de hosting em Portugal.

Procurei no Google informações sobre o IP, domínio e o alojamento e nada foi encontrado.

Vou continuar acompanhar o desenvolvimento deste vírus e volto actualizar este artigo.

UPDATE (29-09-2009)

Após ter a minha Sandbox (máquina de testes) a funcionar a 100% com o Wireshark consegui obter mais umas informações acerca deste malware que veio justificar a notícia que saiu hoje na Tek Sapo sobre Portugal ser 20º nos países com mais vírus.

Este malware tenta conectar ao IP 200.160.238.133 (hostname: servidoresfacil.com.br) à porta 80 para enviar informação pelo método POST para um ficheiro PHP “www.hh1nn1.co.cc/savedata.php” com informação encriptada no parâmetro “dados” e com informação em plaintext no parâmetro “pcname” com o nome do computador e “tipo”. De reparar que as variáveis estão em língua portuguesa.

Os seguintes ficheiros são criados ou modificados:

• %SYSTEM%\MSNMSGR.EXE (possivelmente para propagar malware pela lista de contactos – Trojan.Msn(Ikarus)
• %SYSTEM%\SMS.EXE
• %SYSTEM%\splana.bin

Na memória de referir que foram iniciados novos processos:

• MSNMSGR.EXE
• SMS.EXE

Quanto às alterações no registo do Windows, as principais alterações foram:

• Mudar o parâmetro “EnableLUA” para desactivar a opção “administrator in Admin Approval Mode”
• Inserir no arranque o MSNMSGR.EXE e o SMS.EXE

Realizei novas pesquisas sobre algumas palavras chaves deste malware e reparei que em 17 de Setembro de 2009, Silas Martins, publicou informação acerca de um vírus que se propaga por email usando o tema de um vídeo de um paciente a morrer de gripe A, com o remetente falso “informe.sic@aeiou.pt” .

Pode ter sido este o primeiro malware a ser lançado deste endereço (www.hh1nn1.co.cc) pois no nome do domínio tem referências ao vírus H1N1. O processo era o mesmo, no email tinha um link a uma página .php (h1n1.php) que carregava para download um .exe (h1n1.exe) infectado com o vírus Virut.Al.

Após comparação da hash do h1n1.exe e o inquerito_363234_2009.exe, são exactamente iguais, portanto tratasse do mesmo vírus mas com outro nome e outro método de esquema.

UPDATE (21-10-2009)

Temos recebido imensos emails com novas variantes deste email problemático, que usa o nome da PSP para se progpagar nas redes portuguesas, desta vez com algumas alterações.

O email foi corrigido, pois na sua primeira versão usava o caracter “ç” algo não permitido no formato padrão, ou seja, passou de “investigaçoes” para “investigacoes”. Possivelmente o autor do vírus está atento às notícias que têm divulgado e discutido este problema.

O link do anexo também foi alterado, para:

http://www.tatifoto.com/media/images/..%20/site.php?x=PSP&file=Alerta

Quase de certeza que este endereço está comprometido (já foi no passado).
Após abertura do link que acompanha este email, vai iniciar o download de um ficheiro “Alerta.scr”. Este ficheiro é detectado pelos antívirus com uma taxa de 56.1% de eficácia.

Já iniciei este novo teste na minha sandbox e vou actualizar com mais informações assim que disponíveis…

DS

Posts Relacionados:

1. O diário de um falso positivo (vírus)
2. Vírus em mensagem falsa da PSP
3. Autoridades anti-vírus da China alertam mutação do Hack_Kido
4. Empresa anti-virus BitDefender.pt hackada
5. Trojan ZBot não é detectado por programas antivírus