Logo Hardware.com.br
Henrique - RJ
Henrique - R... Cyber Highlander Registrado
6.6K Mensagens 1.7K Curtidas

Alerta: Baixaki hospedando trojan banker

#1 Por Henrique - R... 29/07/2009 - 07:07
Cuidado pessoal !!!

Baixei o Ares do site Baixaki (instalador "aresregular211_installer.exe" de 6MB) e fui enganado pois trata-se de um trojan que nem o Avira detectou.

Fui infectado.

Já não é a primeira vez que isso acontece pois no Orkut alguém havia alertado faz tempo de que o Avast baixado pelo Baixaki era um malware.

Parece que algum cracker brasileiro consegue invadir o site Baixaki e de alguma forma fazer com que o internauta baixe trojans para o seu computador. Depois esse cracker desfaz o trabalho para não ser percebido imagino eu.
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...

São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam.


Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano
Henrique - RJ
Henrique - R... Cyber Highlander Registrado
6.6K Mensagens 1.7K Curtidas
#3 Por Henrique - R...
29/07/2009 - 09:28
Seja rápido antes que o cracker desfaça o serviço.
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...

São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam.


Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano
Weyne Jr
Weyne Jr Tô em todas Registrado
2.9K Mensagens 16 Curtidas
#5 Por Weyne Jr
29/07/2009 - 10:44
O programa é o Ares Galaxy 2.1.1.3035?
http://www.baixaqui.com.br/download/ares-galaxy.htm

Entrei agora e o link de download do Baixaki está apontando para:
http://www.estudiomusicaltubalee.com/.../aresregular211_installer.exe
Eu baixei aqui e trata-se de um arquivo de 6,4 MB.

Eis um prinscreen do arquivo baixado no Baixaki:
Imagem


Agora a análise no Virus Total feita do arquivo baixado no Baixaki:
Imagem

Link da análise:
http://www.virustotal.com/analisis/bdf833c979b8cd7cb6622bcb6d05b36e4939d41b3479ac5b0b15b6c13a9096ea-1248873633


Antivirus que detectaram o arquivo como sendo um malware:
a-squared » Trojan-Dropper.Agent!IK
DrWeb » Trojan.AVKill.779
F-Secure » Trojan-Downloader.Win32.Agent.ckhw
Ikarus » Trojan-Dropper.Agent
Jiangmin » TrojanBanker.Banker.fi
Kaspersky » Trojan-Downloader.Win32.Agent.ckhw
McAfee+Artemis » Artemis!BC31225B1D95
Rising » Packer.Win32.Agent.r
VirusBuster » Trojan.Crypt.Gen

**********************************
Agora eu fui ao site Superdownloads para baixar o mesmo programa Ares 2.1.1:
http://superdownloads.uol.com.br/download/190/ares/

O link de download do Superdownloads direciona para a seguinte URL:
http://ufpr.dl.sourceforge.net/project/aresgalaxy/aresgalaxy/AresRegular211_12132008/aresregular211_installer.exe

No caso do Superdownloads o arquivo baixado tem apenas 2,2 MB.

Eis um prinscreen do arquivo baixado no Superdownloads:
Imagem


Agora a análise no Virus Total feita do arquivo baixado no Superdownloads:
Imagem


Link da análise:
http://www.virustotal.com/analisis/938e2be7f11645ffc60f7ed1d13680c77eda2c2bf5c18a2183d1e529e6f561b4-1248874103

Antivirus que detectaram o arquivo como sendo um malware:
NENHUM

Podemos concluir que realmente há uma falha GRAVE de segurança no site de downloads Baixaki, onde criminosos estão alterando os links reais de downloads por links para downloads de malwares, muito provavelmente com a finalidade de coletar senhas bancárias e de cartões de crédito.

Eis aí mais uma modalidade de crime cometido na internet.
fabiocpv
fabiocpv Super Participante Registrado
637 Mensagens 14 Curtidas
#6 Por fabiocpv
29/07/2009 - 10:46
Opa não vi que voce fez os scans dos dois, estou mandando para o jotti também.

Edit:

Resultado:

Scanners

Imagem 2009-07-28 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-29 Trojan-Dropper.Agent!IK
Imagem 2009-07-29 Trojan-Dropper.Agent
Imagem 2009-07-28 Found nothing
Imagem 2009-07-29 Trojan-Downloader.Win32.Agent.ckhw
Imagem 2009-07-29 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-28 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-28 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-28 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-29 Found nothing
Imagem 2009-07-29 Trojan.AVKill.779
Imagem 2009-07-28 Found nothing
Imagem 2009-07-28 Found nothing
Imagem 2009-07-29 Trojan.Crypt.Gen
Imagem 2009-07-29 Trojan-Downloader.Win32.Agent.ckhw

http://virusscan.jotti.org/en/scanresult/6c334e77b75e069bf85806ffd70c4c97e17af910
Tutoriais:

ANUBIS
Veja exatamente o que um executável faz com o seu Computador
.



fabiocpv
fabiocpv Super Participante Registrado
637 Mensagens 14 Curtidas
#8 Por fabiocpv
29/07/2009 - 11:02
O baixaki não deve saber que eles estão com o site comprometido.

Nota do Baixaki:

AVISO IMPORTANTE: Após uma atualização, o programa Ares Galaxy está sendo reconhecido como cavalo-de-tróia por grande parte das ferramentas de segurança, portanto retiramos seu download temporariamente. Estamos a esperar uma resposta dos desenvolvedores, uma vez que o link oficial está com este problema.



Tutoriais:

ANUBIS
Veja exatamente o que um executável faz com o seu Computador
.



Henrique - RJ
Henrique - R... Cyber Highlander Registrado
6.6K Mensagens 1.7K Curtidas
#11 Por Henrique - R...
29/07/2009 - 11:11
Formatei a minha máquina e recoloquei a imagem do sistema que tinha aqui como backup.

Agora ao tentar o download do Ares pelo Baixaki o Avira detectou.
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...

São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam.


Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano
BrunoGall
BrunoGall Super Participante Registrado
644 Mensagens 14 Curtidas
#12 Por BrunoGall
29/07/2009 - 11:40
ai
descubri uma parada
esse link http://www.estudiomusicaltubalee.com/.../aresregular211_installer.exe
pertence a este site
http://www.estudiomusicaltubalee.com/
mais tem o direto como http://www.estudiomusicaltubalee.com/downloads
Downloads mais percebam q no menu não tem nada de download
PS:. Esse diretorio diz q naum existe
e o link no baixaki ainda continua com o link do virus
Linux User #492980
fabiocpv
fabiocpv Super Participante Registrado
637 Mensagens 14 Curtidas
#13 Por fabiocpv
29/07/2009 - 13:21
GDATA e Comodo ja identificam segundo o site virscan.org



Resultado da Verificação : 24% Software(9/37) encontrou código malicioso! Tempo : 2009/07/29 11:14:15 (ACT)
a-squared 4.5.0.3 20090729180306 2009-07-29 Trojan-Dropper.Agent!IK 1.595
AhnLab V3 2009.07.28.02 2009.07.28 2009-07-28 - 0.790
AntiVir 8.2.0.234 7.1.5.45 2009-07-29 - 0.271
Antiy 2.0.18 20090729.2652900 2009-07-29 - 0.738
Arcavir 2009 200907291326 2009-07-29 - 0.120
Authentium 5.1.1 200907281853 2009-07-28 - 1.221
AVAST! 4.7.4 090728-0 2009-07-28 - 0.238
AVG 8.5.288 270.13.35/2270 2009-07-29 - 1.984
BitDefender 7.81008.3869501 7.26881 2009-07-29 - 3.759
CA (VET) 9.0.0.143 31.6.6643 2009-07-29 - 5.280
ClamAV 0.95.2 9630 2009-07-29 - 0.912
Comodo 3.10 1805 2009-07-29 Heur.Suspicious 0.763
CP Secure 1.1.0.715 2009.07.28 2009-07-28 - 11.693
Dr.Web 4.44.0.9170 2009.07.29 2009-07-29 - 5.036
F-Prot 4.4.4.56 20090728 2009-07-28 - 1.168
F-Secure 7.02.73807 2009.07.24.08 2009-07-24 Trojan-Downloader.Win32.Agent.ckhw [AVP] 10.324
Fortinet 2.81-3.120 10.657 2009-07-29 - 0.924
GData 19.6764/19.416 20090729 2009-07-29 Trojan-Downloader.Win32.Agent.ckhw [Engine:A] 7.796
Ikarus T3.1.01.64 2009.07.29.73124 2009-07-29 Trojan-Dropper.Agent 3.909
JiangMin 11.0.800 2009.07.29 2009-07-29 TrojanBanker.Banker.fi 4.023
Kaspersky 5.5.10 2009.07.29 2009-07-29 Trojan-Downloader.Win32.Agent.ckhw 3.446 KingSoft 2009.2.5.15 2009.7.29.19 2009-07-29 - 0.466
McAfee 5.3.00 5691 2009-07-28 - 3.009
Microsoft 1.4903 2009.07.29 2009-07-29 - 6.924
Norman 6.01.09 6.01.00 2009-07-29 - 4.013
nProtect 20090728.01 4951926 2009-07-28 -
7.296 Panda 9.05.01 2009.07.28 2009-07-28 - 2.389
Quick Heal 10.00 2009.07.28 2009-07-28 - 2.962
Rising 20.0 21.40.24.00 2009-07-29 Packer.Win32.Agent.r 0.943
Sophos 2.88.0 4.43 2009-07-29 - 2.781
Sunbelt 5295 5295 2009-07-28 - 1.558
Symantec 1.3.0.24 20090728.007 2009-07-28 - 0.973
The Hacker 6.3.4.3 v00377 2009-07-28 - 0.757
Trend Micro 8.700-1004 6.328.03 2009-07-29 - 0.064
VBA32 3.12.10.9 20090728.1507 2009-07-28 - 8.338
ViRobot 20090729 2009.07.29 2009-07-29 - 0.408
VirusBuster 4.5.11.10 10.109.16/1824374 2009-07-29 Trojan.Crypt.Gen 4.345
Tutoriais:

ANUBIS
Veja exatamente o que um executável faz com o seu Computador
.



UMARIZAL
UMARIZAL Highlander Registrado
15.8K Mensagens 385 Curtidas
#14 Por UMARIZAL
29/07/2009 - 16:26
Gostaria de solicitar, conforme já fiz via MP com alguns usuários que postaram links para o arquivo infectado, que NÃO postem mais o link para o arquivo. Ao postar o link, você está propiciando a possível contaminação de outros usuários.

Se quiser se referir ao arquivo, poste seu nome, tamanho exato e a URL "alterada" afim de não permitir seu simples acesso ao clique.

Desde já, agradeço a colaboração de todos.

Um forte abraço!
Hospedagem de Sites : http://www.mixhost.com.br
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal