Nova Ameaça na Família de Malwares TROJ_CHEPRO e TROJ_BANLOAD

Houve um recente aumento no envio de arquivos “.cpl” que foram detectados como TROJ_BANLOAD/TROJ_CHEPRO.

Esse malware pode ser relativamente comparado a um downloader normal. Porém, ele é um arquivo “.cpl” que pode ser executado por um duplo clique e engana o usuário normal que o confunde com um “arquivo de Painel de Controle".

Mapeamento de Critérios

Critério	Detalhes
VOLUME	Esse malware está afetando três (3) regiões: LAR, APAC e EMEA
IMPACTO	Esse malware é usado para espalhar o malware BANCOS que rouba informações bancárias de usuários

Diagrama de Infecção

Soluções Disponíveis

Reputação de Arquivos
Vacina	Detecção/Políticas/Regra	Branch / versão da vacina	Data/hora do lançamento (GMT+8)
VSAPI	TROJ_BANLOAD.SM1	ENT CPR 9.864.05	18-04-2013 / 12:52
	TROJ_BANLOAD.SMAB	ENT CPR 9.934.07	22-05-2013 / 21:24
	TROJ_BANLOAD.SM3	ENT CPR 9.976.05	12-06-2013 / 10:34
	TROJ_CHEPRO.RTF	ENT CPR 10.418.05	18-11-2013 / 22:11
	TROJ_CHEPRO.CPL	ENT CPR 10.418.05	18-11-2013 / 22:11
	TROJ_CHEPRO.SM	ENT CPR 10.438.05	27-11-2013 / 21:51
	TROJ_CHEPRO.SMZ	ENT OPR 10.469.00	13-12-2013 / 13:16
	HS_CHEPRTF.SM1 (silent)	ENT OPR 10.477.00	17-12-2013 / 12:47
	TROJ_CHEPRTF.SM1	ENT OPR 10.485.00	21-12-2013 / 12:24
AEGIS	Policy 1736T (Encerra o malware CHEPRO que solta o malware no diretório %appdata%)	AEGIS TMTD 1382 (Controlled AU)	13-12-2013
AEGIS	Policy 1736F (Feedback do malware CHEPRO que solta o malware no diretório %appdata% )	AEGIS TMTD 1381 (OPR)	27-12-2013

Relatório de Vírus
Detecção	URL	Data/hora do publicação (GMT+8)
TSPY_BANCOS.QSPN	http://about-threats.trendmicro.com/us/malware/TSPY_BANCOS.QSPN	10-07-2012 / 13:10
TSPY_BANCOS.CVH	http://about-threats.trendmicro.com/us/malware/TSPY_BANCOS.CVH	13-12-2013 / 03:15
TROJ_CHEPRO.RTF	http://about-threats.trendmicro.com/us/malware/TROJ_CHEPRO.RTF	12-12-2013 / 04:11
TROJ_CHEPRO.CPL	http://about-threats.trendmicro.com/us/malware/TROJ_CHEPRO.CPL	12-12-2013 / 10:33

Solução de Reputação Web - Web Reputation
Bloqueia as URLs acessadas pelo malware CPL para baixar outros malwares

Web Reputation
URL	Classificação	Data/hora do bloqueio (GMT+8)
hxxp://facebookjordan[.]zapto[.]org:99/ready	Vetor de Doença	28-11-2013 / 13:35
hxxp://zakzak100[.]zapto[.]org:99/is-ready	Vetor de Doença	16-11-2013 / 12:10
hxxp://75[.]no-ip[.]biz:1984/is-ready	Vetor de Doença	28-11-2013 / 13:35
hxxp://zakzak100[.]zapto[.]org:99/is-ready	Vetor de Doença	16-10-2013 / 12:10
hxxp://xkiller[.]no-ip[.]info:1/is-ready	Vetor de Doença	28-11-2013 / 13:35
hxxp://servecounterstrike[.] servecounterstrike[.]com:75/is-ready	Vetor de Doença	16-10-2013 / 19:10
hxxp://microsoftntdll[.]sytes[.]net/is-ready	Vetor de Doença	23-10-2013 / 17:25:00
hxxp://hassan1122[.]no-ip[.]biz:1188	C&C	24-09-2012 / 05:50

Solução de Reputação de Email

●    Os usuários são bastante aconselhados a se certificarem de ter uma solução de verificação de emails implementada em sua rede e ativar sua verificação de emails.
●    Bloqueio de Anexos Não Protegidos por Senha

O True File Type Feature é um recurso do produto que remove anexos (em formato ZIP) nos emails. Recomenda-se muito ativar esse recurso para remover anexos contendo arquivos binários. O procedimento para ativar esse recurso varia por produto:
●    Worry-Free Business Security (WFBS)
●    ScanMail for Exchange (SMEX)
●    ScanMail IBM for Domino (SMID)
●    InterScan Messaging Security (IMSx)
●    Hosted Email Security (HES)
●    Para diferentes produtos de mensagens da Trend Micro

Recomendações

Para configurar o OSCE para melhor proteção, acesse este link.

●    Ative o firewall para proteger contra ameaças da web.
●    Bloqueie sites relacionados a malwares.
●    Atualize regularmente a lista de sites que são confiáveis.
●    Monitore as conexões da rede em busca de qualquer conexão ou conectividade suspeita.
●    Mantenha sempre os níveis de correções atualizados.
●    Mantenha sempre os arquivos/mecanismo de vacinas atualizados.
●    Evite visitar sites não confiáveis que podem redirecionar ou baixar malwares no sistema.
●    Garanta que os programas e usuários do computador usem os mais baixos níveis de privilégios necessários para completar a tarefa.
●    Esteja ciente dos ataques de engenharia social para ficar protegido.

Mais informações neste post do blog Trend Micro Security Intelligence.

BYEquipe Trend Micro

*****************************************

O Fórum e o Blog F2 - Suporte, sempre ajudam você com as Apostilas, tutoriais, e-books, vídeo-aulas, simuladores, gratuitos. Ajude também o Fórum e o Blog F2 - Suporte, fazendo uma doação, através do PagSeguro pode ser qualquer valor, por boleto, cartão ou débito em conta, contamos com sua ajuda!!!