Descobri um lance que até eu mesmo fiquei surpreso. Fui no site da vivo pra ver preço de 3G. Quando eu entrei apareceu uma janela pra fazer download. Achei estranho. Geralmente empresa de telefonia não faz download de nada. Banco faz, mas é o java. Não um aplicativo.
Site não carregava. fui pra Claro e pra Tim pra procurar os preços.
depois de um tempo fui editar um arquivo texto que estava fazendo sobre servidores Proxiy. aí tinha um arquivinho du mauu no meu /home. O nome era o mesmo da praga Ruindowns:
'\WINDOWS\system32\drivers\etc\hosts'
c:\NOSO072009BETA3ba.log'
Fiquei tentando imaginar da onde teria vindo aquela cousa. Aí lembrei do site da vivo ( uns 13289 minutos depois.. rsrs zuera uns 5 vai).
Abri o arquivo hosts (que é tipo um dns local pra quem não sabe; dns é a tradução de um número de ip pra nome humano e vice versa; o vice-versa se chama dns-reverso)
Conteúdo do arquivo hosts:
Investigando...
Baixei o arquivo .php (home da vivo) com o wget
Abri o index.php e encontrei um arquivo .jpg
Baixei o .jpg com o wget.
Depois usei o comando file pra descobrir que arquivo era realmente aquele .jpg
$ file logo_top.jpg:
Zip archive data, at least v2.0 to extract
Mas, não era um jpg, era um aplicativo javexx, ou seja, um .jar.
$ unzip logo_top.jpg
Archive: logo_top.jpg
inflating: META-INF/MANIFEST.MF
inflating: META-INF/VIVOO.SF
inflating: META-INF/VIVOO.RSA
inflating: laa.class
inflating: .classpath
inflating: .project
$ egrep hosts laa.class
Binary file laa.class matches
Ou seja, um malware para os usuários da Janela.
Ainda bem que no linux o hosts não fica dentro de c:. Malware LLoserrr...rsrs
É isso galera! Tem que ficar esperto o pessoal do Windão!
Atualizando agora acabei de ver que a info divulgou o artigo falando sobre: Clique Aqui
Flw galera!
Site não carregava. fui pra Claro e pra Tim pra procurar os preços.
depois de um tempo fui editar um arquivo texto que estava fazendo sobre servidores Proxiy. aí tinha um arquivinho du mauu no meu /home. O nome era o mesmo da praga Ruindowns:
'\WINDOWS\system32\drivers\etc\hosts'
c:\NOSO072009BETA3ba.log'
Fiquei tentando imaginar da onde teria vindo aquela cousa. Aí lembrei do site da vivo ( uns 13289 minutos depois.. rsrs zuera uns 5 vai).
Abri o arquivo hosts (que é tipo um dns local pra quem não sabe; dns é a tradução de um número de ip pra nome humano e vice versa; o vice-versa se chama dns-reverso)
Conteúdo do arquivo hosts:
69.162.114.180 santander.com.br
69.162.114.180 www.santander.com.br
69.162.114.181 itau.com.br
69.162.114.181 www.itau.com.br
69.162.114.181 www.itau.com
69.162.114.181 itau.com
69.162.114.181 itaupersonnalite.com.br
69.162.114.181 www.itaupersonnalite.com.br
69.162.114.182 www.bradesco.com.br
69.162.114.182 bradesco.com.br
69.162.114.182 www.bradesco.com
69.162.114.182 bradesco.com
69.162.114.182 www.bradescoempresa.com.br
69.162.114.182 bradescoempresa.com.br
69.162.114.182 www.bradescoprime.com.br
69.162.114.182 bradescoprime.com.br
69.162.114.182 bradescocartoes.com.br
69.162.114.182 www.bradescocartoes.com.br
69.162.114.179 www.nossacaixa.com.br
69.162.114.179 nossacaixa.com.br
Investigando...
Baixei o arquivo .php (home da vivo) com o wget
Abri o index.php e encontrei um arquivo .jpg
Baixei o .jpg com o wget.
Depois usei o comando file pra descobrir que arquivo era realmente aquele .jpg
$ file logo_top.jpg:
Zip archive data, at least v2.0 to extract
Mas, não era um jpg, era um aplicativo javexx, ou seja, um .jar.
$ unzip logo_top.jpg
Archive: logo_top.jpg
inflating: META-INF/MANIFEST.MF
inflating: META-INF/VIVOO.SF
inflating: META-INF/VIVOO.RSA
inflating: laa.class
inflating: .classpath
inflating: .project
$ egrep hosts laa.class
Binary file laa.class matches
Ou seja, um malware para os usuários da Janela.
Ainda bem que no linux o hosts não fica dentro de c:. Malware LLoserrr...rsrs
É isso galera! Tem que ficar esperto o pessoal do Windão!
Atualizando agora acabei de ver que a info divulgou o artigo falando sobre: Clique Aqui
Flw galera!
Nenhum comentário:
Postar um comentário