Cuidado com o vírus do Informe de Rendimento

Caso você receba um e-mail de “Informe de Rendimento”, nesta época do Ano que o pessoal está fazendo o IR, muito cuidado para ver se a fonte é confiável.

Eu recebi um com um link e resolvi explorar o link.
curl -v http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL
* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:48:12 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.google.com
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Parece que é inócuo, não? Então use um user-agent que simule Windows.

curl -v -A "Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko" http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL
* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:50:51 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.4shared.com/download/v8Ptjs0gba/rendimento_20160703_eRGIySeSpG.exe?sbsr=4e647ca5a1d90c49bb0122f2b9a68883969&lgfp=3000
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Neste caso ele irá redirecionar você para o download de um executável no 4Shared que contém o payload do vírus ou malware.

Caso você use um Mac ou qualquer outra coisa que não seja Windows ele irá redirecionar você para o Google.

curl -v -A "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:52:45 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.google.com
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Não esqueça de estar com seu anti-virus sempre atualizado.

Comments on this entry are closed.

  • Há tempos que não venho à este site, mas como tenho uma estrema admiração pelo pessoal desde os tempos do NokiaBR, quero voltar à acompanhar o conteúdo deste site.

  • José Antonio

    Obrigado, Fernando. Vamos voltar a escrever sim. Grande abraço!