Alerta: Baixaki hospedando trojan banker

Question

Cuidado pessoal !!!

Baixei o Ares do site Baixaki (instalador aresregular211_installer.exe de 6MB) e fui enganado pois trata-se de um trojan que nem o Avira detectou.

Fui infectado.

J&aacute; n&atilde;o &eacute; a primeira vez que isso acontece pois no Orkut algu&eacute;m havia alertado faz tempo de que o Avast baixado pelo Baixaki era um malware.

Parece que algum cracker brasileiro consegue invadir o site Baixaki e de alguma forma fazer com que o internauta baixe trojans para o seu computador.    Depois esse cracker desfaz o trabalho para n&atilde;o ser percebido imagino eu.

Answer

Realmente faz sentido, parece que o link foi alterado estou baixando para analisar...

Answer

Seja r&aacute;pido antes que o cracker desfa&ccedil;a o servi&ccedil;o.

Answer

Ja baixei o arquivo.

Edit. Ja foi alterado o link, n&atilde;o sei se pelo cracker ou pelo baixaki porque denunciei o link. ;)

Answer

O programa &eacute; o Ares Galaxy 2.1.1.3035?
http://www.baixaqui.com.br/download/ares-galaxy.htm

Entrei agora e o link de download do Baixaki est&aacute; apontando para:
http://www.estudiomusicaltubalee.com/.../aresregular211_installer.exeEu baixei aqui e trata-se de um arquivo de 6,4 MB.

Eis um prinscreen do arquivo baixado no Baixaki:
http://img258.imageshack.us/img258/2589/pstrojandownloaderwin32.png

Agora a an&aacute;lise no Virus Total feita do arquivo baixado no Baixaki:
http://img407.imageshack.us/img407/5825/vttrojandownloaderwin32.png

Link da an&aacute;lise:
http://www.virustotal.com/analisis/bdf833c979b8cd7cb6622bcb6d05b36e4939d41b3479ac5b0b15b6c13a9096ea-1248873633

Antivirus que detectaram o arquivo como sendo um malware:
[COLOR=Blue]a-squared[/COLOR] &raquo; Trojan-Dropper.Agent!IK
[COLOR=#0000ff]DrWeb[/COLOR] &raquo; Trojan.AVKill.779
[COLOR=#0000ff]F-Secure[/COLOR] &raquo; Trojan-Downloader.Win32.Agent.ckhw
[COLOR=#0000ff]Ikarus[/COLOR] &raquo; Trojan-Dropper.Agent
[COLOR=#0000ff]Jiangmin[/COLOR] &raquo; TrojanBanker.Banker.fi
[COLOR=#0000ff]Kaspersky[/COLOR] &raquo; Trojan-Downloader.Win32.Agent.ckhw
[COLOR=#0000ff]McAfee+Artemis[/COLOR] &raquo; Artemis!BC31225B1D95
[COLOR=#0000ff]Rising[/COLOR] &raquo; Packer.Win32.Agent.r
[COLOR=#0000ff]VirusBuster[/COLOR] &raquo; Trojan.Crypt.Gen

**********************************
Agora eu fui ao site Superdownloads para baixar o mesmo programa Ares 2.1.1:
http://superdownloads.uol.com.br/download/190/ares/

O link de download do Superdownloads direciona para a seguinte URL:
http://ufpr.dl.sourceforge.net/project/aresgalaxy/aresgalaxy/AresRegular211_12132008/aresregular211_installer.exe

No caso do Superdownloads o arquivo baixado tem apenas 2,2 MB.

Eis um prinscreen do arquivo baixado no Superdownloads:
http://img197.imageshack.us/img197/7493/psares.png

Agora a an&aacute;lise no Virus Total feita do arquivo baixado no Superdownloads:
http://img181.imageshack.us/img181/3213/vtares.png

Link da an&aacute;lise:
http://www.virustotal.com/analisis/938e2be7f11645ffc60f7ed1d13680c77eda2c2bf5c18a2183d1e529e6f561b4-1248874103

Antivirus que detectaram o arquivo como sendo um malware:
[COLOR=#0000ff]NENHUM[/COLOR]

Podemos concluir que realmente h&aacute; uma falha GRAVE de seguran&ccedil;a no site de downloads Baixaki, onde criminosos est&atilde;o alterando os links reais de downloads por links para downloads de malwares, muito provavelmente com a finalidade de coletar senhas banc&aacute;rias e de cart&otilde;es de cr&eacute;dito.

Eis a&iacute; mais uma modalidade de crime cometido na internet.

Answer

Opa n&atilde;o vi que voce fez os scans dos dois, estou mandando para o jotti tamb&eacute;m.

Edit:

Resultado:

Scanners

https://www.hardware.com.br/static/c/m/25b0df952fed749db6f28fe6d3a3a42f       2009-07-28 Found nothing
       https://www.hardware.com.br/static/c/m/5b0507be6a1bd404370da4d913349b6e       2009-07-29 Found nothing
          http://virusscan.jotti.org/images/logos/asquared.gif       2009-07-29 Trojan-Dropper.Agent!IK
       https://www.hardware.com.br/static/c/m/1c93afd28056f1c37d48a7cd61060338       2009-07-29 Trojan-Dropper.Agent
          https://www.hardware.com.br/static/c/m/7451dcea3dc50a7f907fa22762d37a18       2009-07-28 Found nothing
       https://www.hardware.com.br/static/c/m/c5d14a021577a084bbb94c6a1aa40438       2009-07-29 Trojan-Downloader.Win32.Agent.ckhw
          https://www.hardware.com.br/static/c/m/20af8ed54c99298f2ea03849d3060f08       2009-07-29 Found nothing
       https://www.hardware.com.br/static/c/m/44e1a17f203018381c6bbe6babcf2c53       2009-07-29 Found nothing
          https://www.hardware.com.br/static/c/m/6fd4fb70e5abcd6e44a50b237b51b6f0       2009-07-29 Found nothing
       https://www.hardware.com.br/static/c/m/195258d09ce1607e7ebb09088885f769       2009-07-28 Found nothing
          https://www.hardware.com.br/static/c/m/c01a18eb90f2134c4736a4e344d641e4       2009-07-29 Found nothing
       https://www.hardware.com.br/static/c/m/dc396855208717c40a288aeebb879bfd       2009-07-28 Found nothing
          https://www.hardware.com.br/static/c/m/cbb2ee7f3dd723fc920eeb8de43d0620       2009-07-29 Found nothing
       https://www.hardware.com.br/static/c/m/ff0b9c77a2946b7f5b9aaa98a95383fa       2009-07-28 Found nothing
          https://www.hardware.com.br/static/c/m/a9c3c6a7168e06f79e5183452541f443       2009-07-29 Found nothing
       https://www.hardware.com.br/static/c/m/57944654695efe802378b94f8dd49bb1       2009-07-29 Found nothing
          https://www.hardware.com.br/static/c/m/fb361b2f3bfdcfaf76e87052b13a4026       2009-07-29 Trojan.AVKill.779
       https://www.hardware.com.br/static/c/m/d78846e38a7d8fcccfa5ecb8a126fc8a       2009-07-28 Found nothing
          https://www.hardware.com.br/static/c/m/045e68ed1d8479e58321f4c5304e1387       2009-07-28 Found nothing
       https://www.hardware.com.br/static/c/m/912b58f84a92c909686e47c6be38ef4b       2009-07-29 Trojan.Crypt.Gen
          https://www.hardware.com.br/static/c/m/a08671f3974cc8f180a15faad1806aa5       2009-07-29 Trojan-Downloader.Win32.Agent.ckhw

http://virusscan.jotti.org/en/scanresult/6c334e77b75e069bf85806ffd70c4c97e17af910

Answer

Fui agora acessar o link e est&aacute; dando como n&atilde;o encontrado.
Mas de fato aparece o tamanho do executavel bem diferente do real.

Answer

O baixaki n&atilde;o deve saber que eles est&atilde;o com o site comprometido.

Nota do Baixaki:

[COLOR=#FF0000][FONT=arial black,avant garde]AVISO IMPORTANTE: [COLOR=#000000]Ap&oacute;s uma atualiza&ccedil;&atilde;o, o programa Ares Galaxy est&aacute; sendo reconhecido como[COLOR=#3366ff] [/COLOR][COLOR=#ff0000][COLOR=#3366ff]c[/COLOR][COLOR=#3366ff]avalo-de-tr&oacute;ia[/COLOR] [/COLOR]por grande parte das ferramentas de seguran&ccedil;a, portanto retiramos seu download [COLOR=#3366ff]temporariamente[/COLOR]. Estamos a esperar uma resposta dos desenvolvedores, uma vez que o link oficial est&aacute; com  este problema.

[/COLOR][/FONT][/COLOR]

Answer

Ou n&atilde;o devem saber ou n&atilde;o se comprometen a dizer que est&atilde;o vulner&aacute;veis, n&atilde;o acha?

Answer

Sim, pensei nessa hip&oacute;tese tamb&eacute;m at&eacute; porque se eles anunciam isso, pode gerar uma queda nos acessoas ao site.

Answer

Formatei a minha m&aacute;quina e recoloquei a imagem do sistema que tinha aqui como backup.
 
Agora ao tentar o download do Ares pelo Baixaki o Avira detectou.

Answer

ai
descubri uma parada
esse link http://www.estudiomusicaltubalee.com/.../aresregular211_installer.exe
pertence a este site
http://www.estudiomusicaltubalee.com/
mais tem o direto como http://www.estudiomusicaltubalee.com/downloads
Downloads mais percebam q no menu n&atilde;o tem nada de download
PS:. Esse diretorio diz q naum existe
e o link no baixaki ainda continua com o link do virus

Answer

GDATA e Comodo ja identificam segundo o site virscan.org

Resultado da Verifica&ccedil;&atilde;o :                   24% Software(9/37) encontrou c&oacute;digo malicioso!                                               Tempo :                   2009/07/29 11:14:15 (ACT) 
a-squared             4.5.0.3             20090729180306              2009-07-29                     [COLOR=#cc0000]Trojan-Dropper.Agent!IK[/COLOR] 1.595                        
AhnLab V3             2009.07.28.02             2009.07.28              2009-07-28                     [COLOR=green]-[/COLOR] 0.790 
AntiVir             8.2.0.234             7.1.5.45              2009-07-29                     [COLOR=green]-[/COLOR] 0.271                        
Antiy             2.0.18             20090729.2652900              2009-07-29                     [COLOR=green]-[/COLOR] 0.738                        
Arcavir             2009             200907291326              2009-07-29                     [COLOR=green]-[/COLOR] 0.120
Authentium             5.1.1             200907281853              2009-07-28                     [COLOR=green]-[/COLOR] 1.221                        
AVAST!             4.7.4             090728-0              2009-07-28                     [COLOR=green]-[/COLOR] 0.238
AVG             8.5.288             270.13.35/2270              2009-07-29                     [COLOR=green]-[/COLOR] 1.984                       
 BitDefender             7.81008.3869501             7.26881              2009-07-29                     [COLOR=green]-[/COLOR] 3.759
CA (VET)             9.0.0.143             31.6.6643               2009-07-29                     [COLOR=green]-[/COLOR] 5.280                       
 ClamAV             0.95.2             9630              2009-07-29                     [COLOR=green]-[/COLOR] 0.912                        
Comodo             3.10             1805              2009-07-29                     [COLOR=#cc0000]Heur.Suspicious[/COLOR] 0.763                        
CP Secure             1.1.0.715             2009.07.28              2009-07-28                     [COLOR=green]-[/COLOR] 11.693                        
Dr.Web             4.44.0.9170             2009.07.29              2009-07-29                     [COLOR=green]-[/COLOR] 5.036
F-Prot             4.4.4.56             20090728              2009-07-28                     [COLOR=green]-[/COLOR] 1.168
F-Secure             7.02.73807             2009.07.24.08              2009-07-24                     [COLOR=#cc0000]Trojan-Downloader.Win32.Agent.ckhw [AVP][/COLOR] 10.324                        
Fortinet             2.81-3.120             10.657              2009-07-29                     [COLOR=green]-[/COLOR] 0.924
GData             19.6764/19.416             20090729              2009-07-29                     [COLOR=#cc0000]Trojan-Downloader.Win32.Agent.ckhw [Engine:A][/COLOR] 7.796
Ikarus             T3.1.01.64             2009.07.29.73124              2009-07-29                     [COLOR=#cc0000]Trojan-Dropper.Agent[/COLOR] 3.909
JiangMin             11.0.800             2009.07.29              2009-07-29                     [COLOR=#cc0000]TrojanBanker.Banker.fi[/COLOR] 4.023
Kaspersky             5.5.10             2009.07.29              2009-07-29                     [COLOR=#cc0000]Trojan-Downloader.Win32.Agent.ckhw[/COLOR] 3.446                        KingSoft             2009.2.5.15             2009.7.29.19              2009-07-29                     [COLOR=green]-[/COLOR] 0.466
McAfee             5.3.00             5691              2009-07-28                     [COLOR=green]-[/COLOR] 3.009
Microsoft             1.4903             2009.07.29              2009-07-29                     [COLOR=green]-[/COLOR] 6.924                       
 Norman             6.01.09             6.01.00              2009-07-29                     [COLOR=green]-[/COLOR] 4.013                       
 nProtect             20090728.01             4951926              2009-07-28                     [COLOR=green]-[/COLOR]
             7.296                        Panda             9.05.01             2009.07.28              2009-07-28                     [COLOR=green]-[/COLOR] 2.389
Quick Heal             10.00             2009.07.28              2009-07-28                     [COLOR=green]-[/COLOR] 2.962
Rising             20.0             21.40.24.00              2009-07-29                     [COLOR=#cc0000]Packer.Win32.Agent.r[/COLOR] 0.943
Sophos             2.88.0             4.43              2009-07-29                     [COLOR=green]-[/COLOR] 2.781
Sunbelt             5295             5295              2009-07-28                     [COLOR=green]-[/COLOR] 1.558
Symantec             1.3.0.24             20090728.007              2009-07-28                     [COLOR=green]-[/COLOR] 0.973
The Hacker             6.3.4.3             v00377              2009-07-28                     [COLOR=green]-[/COLOR] 0.757
Trend Micro             8.700-1004             6.328.03              2009-07-29                     [COLOR=green]-[/COLOR] 0.064                       
 VBA32             3.12.10.9             20090728.1507              2009-07-28                     [COLOR=green]-[/COLOR] 8.338                       
 ViRobot             20090729             2009.07.29              2009-07-29                     [COLOR=green]-[/COLOR] 0.408                       
 VirusBuster             4.5.11.10             10.109.16/1824374              2009-07-29                     [COLOR=#cc0000]Trojan.Crypt.Gen[/COLOR] 4.345

Answer

Gostaria de solicitar, conforme j&aacute; fiz via MP com alguns usu&aacute;rios que postaram links para o arquivo infectado, que N&Atilde;O postem mais o link para o arquivo. Ao postar o link, voc&ecirc; est&aacute; propiciando a poss&iacute;vel contamina&ccedil;&atilde;o de outros usu&aacute;rios.

Se quiser se referir ao arquivo, poste seu nome, tamanho exato e a URL alterada afim de n&atilde;o permitir seu simples acesso ao clique.

Desde j&aacute;, agrade&ccedil;o a colabora&ccedil;&atilde;o de todos.

Um forte abra&ccedil;o!

Answer

E o avast ser&aacute; que ta infectado?

Em 2008 eu eu baixei o avast l&aacute; e uso at&eacute; hoje se tiver to ferrado.

Ferramentas

Mover Tópico