O site www.testosterona.blog.br está infectado. Ao acessar o site um código malicioso tenta se instalar na máquina. Para isso, uma janela do Java pedindo a instalação de um suposto “plug in” é exibida. Se o botão rotulado “Run” for clicado, um código malicioso tenta se instalar na máquina do visitante.
Veja a imagem:
Pelas informações coletadas, o malware é baixado de um IP referente aos EUA.
Segundo um artigo do Altieres Rohr, no G1 Tecnologia - que pode ser lido clicando aqui -, as funções do código malicioso são essas:
Segundo um artigo do Altieres Rohr, no G1 Tecnologia - que pode ser lido clicando aqui -, as funções do código malicioso são essas:
O golpe tira proveito de um componente conhecido como Java Web Start. Ele permite que softwares sejam executados no sistema a partir de uma página web. Códigos em Java são normalmente restritos e não podem realizar nenhuma atividade maliciosa, sendo considerados seguros.
Com o Java Web Start, no entanto, é possível “burlar” as permissões normais do Java, mas uma mensagem de confirmação aparece nesses casos. Se o usuário aceitar, o programa será executado com as mesmas permissões que qualquer outro software no PC da vítima. Em outras palavras, clicar em “Run” na janela do Java é o mesmo que baixar e dar dois cliques em um arquivo executável.
Portanto, todo cuidado é necessário.
Já notifiquei, por e-mail, o responsável pela hospedagem do site (de acordo com a informação disponível no Registro.br). Quem repassou essa informação ao Blog do Emerson Wendt foi o hacker identificado por z3r0wN.
Update 14/11/2010: O problema foi corrigido. Notifiquei o Anderson Nogueira, da WebMatrix Network, às 23h07min (13/11) e às 00h27min de hoje (14/11) recebi e-mail informando que o problema havia sido corrigido.
Update 14/11/2010: O problema foi corrigido. Notifiquei o Anderson Nogueira, da WebMatrix Network, às 23h07min (13/11) e às 00h27min de hoje (14/11) recebi e-mail informando que o problema havia sido corrigido.
Comentários