Dobradinha: Scam da BR-Turbo + Um Virus com nome de Antivírus(!!)

Recebi este Scam a algum tempo. Ele simula ser uma cobrança do serviço Br-Turbo, da Brasil Telecom. O link enviado no email aponta para um endereço que parece ser um blog. Ao acessar o blog, a surpresa: Ele minimiza a janela do navegador e exibe duas mensagens em javascript, informando que seu computador estaria infectado e que seria feita uma varredura online na sua máquina.


Se você aceitar a verificação, você é redirecionado para um site que SIMULA uma verificação no seu computador. O site utiliza um logotipo em formato de escudo, idêntico ao da Central de Segurança do Windows, e algumas vezes utiliza o termo "Microsoft Security Warning", simulando os  alertas de segurança da Microsoft. A página exibe então algumas animações (destacadas em vermelho na imagem), simulando a verificação. 


Após a suposta verificação o site afirma que encontrou diversas ameaças no seu computador, tendo conseguido limpar algumas, mas que outras ficaram pendentes, sendo necessário o download de um suposto antivirus.



Caso você clique em qualquer ponto na página é exibida uma mensagem de que seu sistema ainda está infectado e solicitando o download da suposta ferramenta. A melhor opção é fechar a página. 

Pequeno glossário do Site

Hacker: A palavra hacker significa fuçador, ou alguém que tem um grande conhecimento em uma área, que sente prazer em saber como as coisas funcionam. A grande mídia em geral atribui o sentido incorreto à palavra (muitos hackers pesquisam falhas de segurança em sistemas e agem no sentido da correção delas). Na maioria das vezes, quando um jornal fala em Hackers, na verdade deveria utilizar o termo cracker.

Trojan: É um programa malicioso que vêem disfarçado, fingindo ser fotos, cartões de mensagem ou uma proteção de tela, por exemplo. Atualmente a maioria dos trojans visa o roubo de dados pessoais como emails, senhas de sites de relacionamento como o Orkut e Fotologs, números de documentos e cartões de crédito (que são utilizados em fraudes on-line) e senhas de banco. Também existe a possibilidade da máquina contaminada passar a fazer parte de uma Botnet (veja abaixo).
A titulo de curiosidade, a origem do termo vem da expressão Trojan Horse (Cavalo de Tróia), referindo-se ao fato de na guerra de Tróia os gregos utilizarem um cavalo oco de madeira para invadir a cidade. O cavalo, que deveria ser um presente, trazia uma surpresa desagradável em seu interior ...

Botnet: Rede de vários (às vezes milhares) computadores infectados por programas maliciosos e sob o controle de um (ou vários) cracker. Os usuários dos computadores não têem ciencia de que seu computador está 

Scam
: É uma tentativa de enganar o usuário através de emails que solicitam o download e a execução de programas Trojans

Phishing: O phishing também tenta obter dados pessoais, porém nesta modalidade o usuário é levado a um site que é uma cópia (as vezes quase perfeita) de um site real (como um banco por exemplo). 

VirusTotal.com: É um site que permite o envio de arquivos suspeitos para serem submetidos à verificação por diversos antivirus, permitindo assim a verificação dos arquivos e  a comparação dos diversos antivirus disponíveis.

Scam - Tribunal Superior Eleitoral


Recebi este scam hoje, embora seja apenas um reenvio de scams anteriores com um virus diferente. O scam finge ser enviado pelo Tribunal Superior Eleitoral, avisando sobre o cancelamento do CPF e Titulo de Eleitor do usuário.  Alguns itens de destaque:
  • Em primeiríssimo lugar, órgãos públicos como o TSE, Receita Federal, etc. não fazem contato via email.
  • O remetente do email é "MSN Live", que é um sistema de bate papo online da Microsoft. O endereço foi forjado como sendo "receita@gov.com.br" (forjar esse tipo de informação em emails é relativamente fácil)
  • O email é totalmente genérico, não contendo nehum dado (como seu nome, número dos documentos em questão, etc).
  • O endereço do site para o qual o email aponta não pretence à Receita Federal ou ao TSE.
A análise feita pelo site VirusTotal.com pode ser encontrada aqui.

Scam - iPhone 3G

Recebi um scam fingindo ser uma mensagem da Claro, que estaria distribuindo(!!) iPhones gratuitamente. Ao clicar no link do email, o usuário é redirecionado para um site, que força o download de um arquivo regulamento.exe que é reconhecido como virus por metade dos antivirus do site VirusTotal.com (link da análise aqui)



Dica - Teclado numérico no PuTTY

Algumas vezes, ao utilizar o vi através do PuTTY, o teclado numérico não funciona de forma correta (ao digitar um número aparecem letras na tela). Para resolver isso, altere a opção "Terminal-Type String" (que fica em "Connection->Data") para "linux" (veja abaixo).

Separando o nome e o endereço em uma URL com PHP

O Problema:

Aqui na empresa temos um sistema em PHP que trabalha com URLs https autenticadas, no formato https://usuario:password@endereco. O sistema baixa arquivos, processa e exibe resultados, repetindo o ciclo a cada 15 segundos. O programador que o desenvolveu utilizava chamadas padrão (do tipo fopen($URL, "r") para baixar os arquivos. O problema é que como os servidores são acessados via internet, temos todo um problema de timeouts. O timeout padrão do PHP é alto (uns 60 segundos) e como são vários servidores a serem acessados, o sistema leva 10 minutos entre as checagens, devido a vários timeouts na sequência. Visando resolver esse problema, pesquisei e encontrei a libcurl, que permite um controle maior sobre os parâmetros de timeout (e vários outros) e faz parte do PHP na maioria das distribuições Linux . Mas havia um problema: a libcurl não reconhece o formato de URL acima (https://usuario:password@endereco), sendo necessário informar o usuário e senha separados da URL, e o banco de dados do sistema já estava configurado e alimentado nesse formato.

A Solução:

Desenvolvi duas funções: uma que retorna apenas o conjunto usuario:password da URL (suprimindo o endereço) , e outra que retorna apenas o endereço da URL (suprimindo o usuário e password.

As Funções:


Abaixo estão as funções, relativamente comentadas. (testadas em PHP 5.2)

function extrair_User_Pass($URL)
{
//Inverte a string, pega tudo entre o primeiro '@' e as '//' e joga no Array "$arr1"
preg_match("'@.*\b//'",strrev($URL),$arr1);

//Converte a String em "$arr1[0]" em um array, inverte sua ordem e armazena em "$arr1"
$arr1 = array_reverse(str_split($arr1[0]));

//Retira o '@' e as '//'
array_shift($arr1);
array_shift($arr1);
array_pop($arr1);

return implode($arr1);
}
function extrair_URL($URL)
{
return preg_replace("/".extrair_User_Pass($URL)."@/","",$URL);
}

Explicação:

A primeira função (extrair_User_Pass) recebe uma string contendo a URL e retorna uma string com o usuário e a senha no formato requerido pela libcurl (usuario:password), desprezando o restante.

A segunda função (extrair_URL) faz exatamente o oposto: também recebe uma string com uma URL e retorna apenas a parte de endereço e protocolo, desprezando as informações de usuário e senha. Note que a segunda função utiliza a primeira.

Pragas Digitais - Versão 2.0

Após um "pequeno" hiato de 1 ano, vou tentar colocar a casa em ordem, com outros artigos além da idéia original (que era de um blog de segurança voltado para leigos).

Resultado da Pesquisa