Falsas mensagens da TIM instalam Trojan-Downloader

Não temos como afirmar que a TIM é a empresa preferida do consumidor brasileiro, mas, sem dúvida, é a preferida dos spammers-vigaristas. Raro é o dia em que não surge mensagem comunicando um falso débito, a existência de um falso Foto Torpedo ou de uma falsa FotoMensagem.

Todas essas mensagens possuem link para página da web a partir da qual se instala programa malicioso.

A falsa página da TIM encontrava-se hospedada em http://redirs.effers.com/ %20/http://www.tim.com.br /images/downloads/ MMS/ VideoMensagens/ VideoMensagem.html e o programa malicioso encontrava-se hospedado no mesmo servidor sob o nome TimVideoMensagem.mpg=id90698.scr.

 

 

From: TIM Brasil
Sent: Friday, December 28, 2007 4:03 AM
Subject: Receive from 81319366

VideoMensagem recebida com sucesso!

VideoMensagem From: Number ID 813XX366 TIM Brasil
VideoMensagem Date: 30/12/2007 - Domingo
VideoMensagem Hora recebimento: 21:15 GMT
Usuário ID 813XX366 lhe envio um TIM - VideoMensagem para visualizar basta clicar no local indicado abaixo e seguir as instruções:

http://www.tim.com.br/images/ downloads/ VideoMensagens/VideoMensagem.html
Se por algum motivo o servidor falhar acesse aqui.


Authentication codec: 041798FEEFADC5 A923F06048 246AB516C84812E66F6 A50746B0B38587482EF62

 

 

 

Versão de 12 agosto de 2007 menciona uma falsa FotoMensagem. O curioso e quase vítima do golpe deve clicar em um dos links informados. A partir daí é aberta uma página e em seguida mais outra página e pronto: o arquivo é baixado e quem executá-lo vai ter um trojan horse ou cavalo de tróia no seu computador, o Trojan-Downloader. Win32. Banload.cpr.

O e-mail de origem da mensagem é nao-responda-fotomensagem@tim.com.br e isso, por si só, indica a fraude. Mas quem vai se dar ao trabalho de confirmar essa origem?

Mensagem original.

 

From: Tim Brasil

Sent: Sunday, August 12, 2007 9:06 AM
Subject: Ola, FotoMensagem recebida com sucesso

Os links aí contidos remetem para o URL http://200.149.238.163/ images/. card/MMS/ fotomensagem.html, suposta página da TIM. O domínio com esse IP - 200.149.238.163 - pertence à empresa Jorginho Tira Grilo e suas páginas encontram-se em construção. Certamente o golpista se aproveitou de vulnerabilidade nos servidores e lá hospedou a sua página.

Página fraudada:

 

 

 

O formato da página e o URL são, mais uma vez, indícios da fraude e o internauta mais desatento e curioso pode clicar nos links que remetem para http://200.149.238.163/ images/ .card/MMS/ login.html:

Após digitar o suposto código de segurança e clicar em OK o programa malicioso é gravado no computador da vítima. A falsa Palavra de verificação é a mesma sempre que se abre a página e isso é mais um indício da fraude.

Quem completar todas as etapas indicadas e instalar o programa malicioso vai ter um trojan horse no computador, mas não foi por falta de aviso do próprio trampolineiro e as pistas que ele deixou são bem evidentes:

- o e-mail de origem da mensagem, nao-responda-fotomensagem@tim.com.br é bem indicativo de fraude. Spammers costumam usar as palavras nao-responda como suposto endereço de origem da mensagem;

- o URL para o qual a mensagem remete nada tem a ver com a TIM;

- a falsa palavra de verificação é a mesma sempre que se abre a página e isso é mais um indicador da fraude.

 

A primeira e mais importante confirmação da trapaça é muito simples: a TIM não envia mensagens aos seus clientes a menos que se trate de resposta a uma consulta enviada por e-mail.

Se você não é cliente da TIM e se não fez nenhuma consulta via e-mail, esqueça e apague a mensagem.

Muita gente fica com uma pergunta aparentemente sem reposta: como o vigarista obteve o e-mail?

Existem spammers que vendem listas de e-mails com milhares ou milhões de e-mails obtidos de forma fraudulenta. (V. Recomendações que ajudam a manter o spam e o spammer à distância.)

 

Veja os alertas da TIM em E-mails Falsos.

 

Versão de 21 de agosto de 2007 tinha o program malicioso hospedado em http://www.redsnout.com/ TIM-VideoMensagem.scr e instalava o Trojan.Downloader. Banload-1678, Trojan-Spy. Win32. Banker.bbb ou TrojanDownloader: Win32/ Small.gen!Z conforme denominação atribuída pelo fabricante do antivírus.

 

 

From: EQUIPE TIM

Sent: Tuesday, August 21, 2007 4:06 AM
Subject: Você acaba de receber um video torpedo TIM

Todos os Direitos Reservados. Copyright © 1999 - 2008. Quatrocantos.com, Quatrocantos.com.br.
Não são permitidas a reprodução nem a manutenção desta série de artigos em sites (sítios ou saites), páginas da web e assemelhados.

As lendas, os boatos, os falsos vírus, golpes e histórias semelhantes são aqui divulgados da forma como chegam às nossas caixas de correio e não somos responsáveis pelo seu conteúdo nem tampouco por eventuais conseqüências da divulgação ou do seu uso indevidos.

Se a lenda que você procura é a do Saci-Pererê, Curupira, Boitatá (e muitas outras) veja o IFolclore.

Ajude a manter a Internet livre de spam e de boatos: envie o link desta página para quem enviou mensagem contendo a lenda aqui mencionada.

Por que enviar o link e não a página? Estes artigos são periodicamente revistos e atualizados. Se você enviar a página, ela pode sofrer alterações e o conteúdo da que você enviou vai ficar diferente da versão nova. Além disso, o envio apenas do link torna a mensagem menor reduzindo, por conseqüência, o volume de tráfego na Internet e também reduzindo o tempo de envio e de download das mensagens.

Serviço

All-Browser-Safe 216 Color Chart

Central Nacional de Denúncias de Crimes Cibernéticos

Crianças e Adolescentes Desaparecidos

Encoder son adresse email

Manual de redação da Rádio Senado

Mozilla. Teclas de atalho

Netiqueta

Radiobrás. Resumo dos jornais