Já enviei as URLs para www.malware.com.br. Possivelmente vai estar nas black lists deles em breve.
João Rocha. On 6/9/07, Joao Rocha Braga Filho <[EMAIL PROTECTED]> wrote: > Alguém bolou um dos ataques de engenharia social em massa mais bem > bolados que eu já vi. Muito sutil. Foi via Orkut. > > Eu postei a seguinte mensagem nas comunidades de segurança do > Orkut que faço parte. > > " > Um dos mais bem bolados golpes que já vi. > > Descobri hoje um dos mais bem bolados golpes que já vi. Simples, > sutil, e eficiente. > > Alguém criouum perfil no orkut com uma foto muito erótica mistrando > seios siliconados, e batizou de "milene rodrigues". Colocou uns > dizeres provocantes, como: > > " > Uma MuLheR Q qR daH muiTo... > > adorO sExo.... > > Qm KiseR mE cOmE > > eH Soh me avizA.... > > fazE amor bem GosTozO > " > > Criou uma comunidade chamada "Fuçei em seu Orkut" (Sim, com "ç".). > Preencheu com algumas coisas coerentes, tanto no perfil quanto na > comunidade. É a única comunidade deste perfil. Deste modo, sempre que > alguém for ver este perfil, verá a comunidade, que tem um nome > simpático, e coerente com a próxima etapa. Esta pessoa passeou por uma > grande quantidade de páginas de orkut, com algum robo, só vendo as > páginas, e anda mais. Não mandou mensagens, não chamou a atenção, não > incomodou, e nem nada. Só acessou as páginas. > > Até este ponto só seria um golpe genial de marketing pessoal, para > conseguir uma comunidade cheia, muitos amigos etc. Teria usado a > curiosidade que as pessoas tem em saber quem viu as suas páginas, > coida que o orkut mosta. Mas agora que vem a parte mortal. Tanto na > comunidade, quanto no perfil, existem um link para uma página na > itália que tem um script obscuro, que carrega um programa executável > chamado fim.exe de um site no brasil, hospedado no provedor > e-hosting.com.br. Parece que o momento foi muito bem escolhido, pois > este provedor tem problemas de competência, pois não tem atendimento > telefônico nos finais de semana (Pelo menos hoje.) nos telefones, > anunciados em seu site, do Rio de Janeiro, São Paulo e Belo Horizonte. > Assim, todas as minhas tentativas de contatar ele falharam. > > Eu vi em poucas horas a comunidade armadilha crescer em algumas > centenas de membros, mesmo eu me tornando membro e colocando o aviso > nela. Parece que as pessoas estão ignorando os meus avisos. > > Sugiro a todos colocarem bloqueios em seus firewall e squids para o > domínio pistoia.cna.it e para o arquivo fim.exe. Eu já fiz isto aqui e > já apereceram registros nos logs do squid. Quem tiver contato com o > e-hosting, avise-os para procurar e remover o arquivo fim.exe que está > no site da flamity.com.br. Quem tiver como entrar em contato com dono > deste site, avise-os. Eu tentei e caiu em uma secretária eletrônica. > > O meu squid já bloqueou alguns acessos a este site e este arquivo. > > Vou espalhar este alerta. > > Descobri por que, aparentemente, este fim.exe foi reconhecido pelo AVG > de uma pessoa que eu conheço e ela me mediu ajuda por telefone para > limpar o computador dela. > > > Atenciodamente, > João Rocha. > " > > Desculpe-me se tem alguém do e-hosting aqui. Estava um pouco furioso > e frustrado com a dificuldade de contato com vocês. Eu mandei mensagem > pelo site e tentei ligar, mas sem sucesso. > > Sugiro a proibição, no squid, para o domínio pistoia.cna.it e/ou baixar o > programa fim.exe. > > Já informei ao clamav sobre o arquivo fim.exe, enviado uma cópia para > eles. > > Talvez eu esteja fazendo tempestade em copo d'água, mas em um caso > destes é melhor pecar por excesso de zelo. > > > João Rocha. > > -- > "Sempre se apanha mais com as menores besteiras. Experiência própria." > > [EMAIL PROTECTED] > [EMAIL PROTECTED] > http://www.goffredo.eti.br > -- "Sempre se apanha mais com as menores besteiras. Experiência própria." [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
