Hoje um amigo meu enviou-me um executável pelo messenger para ver se corria no meu PC porque no dele não corria e quando eu também tento correr esse ficheiro, simplesmente não acontece nada. Entretanto vou perguntar ao meu amigo onde ele tinha arranjado o ficheiro mas ele já não estava online e por isso não me respondeu e eu então não dei grande importancia ao caso e continuei o que estava a fazer. Como eu tenho por norma ter a minha firewall com as configurações de maneira a que eu seja avisado cada vez que um programa tenta aceder á internet, passado um minuto de ter tentado correr o ficheiro, sou avisado que esse ficheiro está a tentar aceder á internet e eu bloqueei esse acesso. Então copio esse ficheiro para o portatil onde tenho um antivirus diferente e tambem não me detecta nenhum codigo malicioso nesse ficheiro.
Começo então a achar isso estranho e ligo por telemovel ao meu amigo para saber que ficheiro era aquele e ele diz-me que não me tinha enviado nada e que ainda não tinha estado hoje online !
Resolvo então analisar o ficheiro numa maquina virtual para não me causar eventuais danos e verifico que ele está encriptado. Depois de desencriptado e desassemblado no debugger verifico que esse executavel de 35 Kb é nada mais nada menos do que um keylogger que captura todas as teclas clicadas, tira um printscreen de 10 em 10 segundos e faz um log dos movimentos do rato.Verifico também que criou uma chave no registo do windows para arrancar sempre que se ligar o PC e que se autocopiou para a pasta system32 e que criou uma pasta onde guarda todos os logs e imagens para depois enviar para um determinado mail do gmail.
Por isso tenham cuidado com executaveis estranhos mesmo quando enviados por amigos.
Começo então a achar isso estranho e ligo por telemovel ao meu amigo para saber que ficheiro era aquele e ele diz-me que não me tinha enviado nada e que ainda não tinha estado hoje online !
Resolvo então analisar o ficheiro numa maquina virtual para não me causar eventuais danos e verifico que ele está encriptado. Depois de desencriptado e desassemblado no debugger verifico que esse executavel de 35 Kb é nada mais nada menos do que um keylogger que captura todas as teclas clicadas, tira um printscreen de 10 em 10 segundos e faz um log dos movimentos do rato.Verifico também que criou uma chave no registo do windows para arrancar sempre que se ligar o PC e que se autocopiou para a pasta system32 e que criou uma pasta onde guarda todos os logs e imagens para depois enviar para um determinado mail do gmail.
Por isso tenham cuidado com executaveis estranhos mesmo quando enviados por amigos.
