|
|
Pequenos
golpes, grandes pilantras. Phishing scams, instalação
de cavalos de tróia e outras maldades.
|
|
Documento-Arquivo
From: Renata Andrade.
renata-andrade@aol.com
via tcn-05-lon-web14.tecnoera.com
date: Tue, Oct 16, 2012 at 1:08 PM
subject: Enc: Documento !
mailed-by: tcn-05-lon-web14.tecnoera.com
1 anexo(s)
Documento-Arquivo.doc (567,5 Kb)
segue em anexo acima o relatório conforme combinado.
Tenha um bom dia.
|
Link contido em
Documento-Arquivo.doc remete para o URL
http://201.22.7.115/ images/ tinyMCE/ image/ thumbs/
documento.php# Documento- Arquivo.doc a partir do qual se faz
o download do arquivo Documento- Planilha.docx_.scr.
Esse programa, fantasiado de proteção de tela, instala
o cavalo de tróia denominado W32/ Trojan-Gypikon-based.
DM2! Maximus (F-Prot), Mal_ Banker15 (TrendMicro)
ou TR/ ATRAPS.Gen (AntiVir).
LinkedIn Email
Confirmation
de: LinkedIn Email
Confirmation emailconfirm@keytec.nl
data: 10 de outubro de 2012 00:14
assunto: Please confirm your email address
LinkedIn
Click here to confirm
your email address.
If the above link does not work, you can paste the following
address into your browser:
https://www.linkedin.com/
e/AEdnP4oVEq WOFGuq3 CkXskitDm O0xxXkZ fRi6oru
You will be asked to log into your account to
confirm this email address. Be sure to log in with your current
primary email address.
We ask you to confirm your email address before
sending invitations or requesting contacts at LinkedIn. You can
have several email addresses, but one will need to be confirmed
at all times to use the system.
If you have more than one email address, you
can choose one to be your primary email address. This is the address
you will log in with, and the address to which we will deliver all
email messages regarding invitations and requests, and other system
mail.
Thank you for using LinkedIn!
--The LinkedIn Team
http://www.linkedin.com/
© 2012, LinkedIn Corporation |
O link contido em
Click here remete
para o URL http://pillhealthcare.eu/ que,
por sua vez, redireciona para http:// hidraulicariopreto.
com.br/ phill/heal/ th/care/. Essa página é considerada
pelo Avast como maligna e pelo Antiy-AVL como Malware
site.
Segue anexo de
sua pendencia
from: Marili Taborda
e Advogados Associados mt@hotmail.com
reply-to: mt@hotmail.com
cc: mt@hotmail.com
date: Thu, Oct 4, 2012 at 6:37 AM
subject: Segue anexo de sua pendencia conosco aguarto contato!
Prezado Cliente
Primeiramente agradecemos o seu contato.
Conforme solicitado, segue anexo de suas pendências conosco.
Caso não esteja visualizando o anexo corretamente, baixe
o anexo Clicando Aqui
Pedimos que olhe com atenção os seguintes dados: NOME|CPF|RG
/ caso esteja algo errado contate-nos
Permanecemos à disposição através da
nossa Central de Atendimento ( 0800-600-0406 )
Atenciosamente,
Marili Taborda e Advogados Associados
|
O link contido em
Clicando Aqui remetia para o URL https://dl.dropbox.
com/ s/ x3b9kvoa0q7 gox8/ Anexo.exe?dl=1 a partir do qual se
fazia o download do programa Anexo.exe
que instalava o cavalo de tróia Win32:dropper-gen [drp].
Seu email foi citado
em nossos Videos
from: Youtube.com
noreply@sonico.com
date: Thu, Oct 4, 2012 at 10:09 AM
subject: Seu email foi citado em nossos Videos
Temos a satisfação de comunica-lo que seu email (%0%)
foi marcado em um
dos videos mais acessados de nossa rede. Clique
e confira
( http://www.youtube.com/
watch?v#%0%&&feature=related )
Atenciosamente
Equipe YouTube
______________
© 2011 YouTube, LLC
|
O
link contido em Clique e confira e em
http://www.youtube.com/..... remetia para o URL http://www.dimacosac.cl/
youtube.php? video=%0% que, por sua vez, remetia para http://www.
deltasrestaurant.com/ youtube.jar onde se hospedava o programa
maligno.
A redação atravessada de uma informação
inaproprida já deve servir de alerta para quem recebeu a mensagem:
lugar de spam é na lixeira.
FOTOS DO DISPOSITIVO
MOVEL
Link
contido em Visualizar Baixar remete para
o URL http://vanessa. galeriavirtual. info/
que, por sua vez, redireciona o navegador para http://dl.dropbox.
com/u/1061 01864/ DSC00 117092013.com a partir do qual se faz
o download do programa DSC00117092013. com
que, uma vez executado, instala o cavalo de tróia
BAT/Disabler.F.dropper (AVG),
TrojanProxy:Win32/Banker.O (Microsoft),
Trojan.BAT.Agent.ahr (Kaspersky).
Documento
from: Tatiane
Goulart. autoatendimento@media.com.br
via www.tuyap.com.tr
date: Mon, Sep 10, 2012 at 8:04 AM
subject: Documento !
Return-Path: <anonymous@www.tuyap.com.tr>
mailed-by: www.tuyap.com.tr
Baixar : Documento-Planilha.doc
(146,4 KB)
Segue acima em anexo o documento conforme
combinado.
Tenha um bom dia ! |
O programa maligno
Documento-Visualizar_ Anexo.doc_.scr
encontrava-se hospedado em http://208.87.0.146/
sp/logs/log.php? pagina=403920394/ Documento- Planilha.docx
e instalava o cavalo de tróia
Trojan/ Win32.Banker (AhnLab-V3)
Trojan. Crypt.Delf.B (F-Secure)
W32/ Obfuscated.D!genr (Norman).
Notificação
de Nota Fiscal Eletrônica
From: NOTIFICAÇÃO
<joalvares@pinheiro.com.br>
Subject: Notificação de Nota Fiscal Eletrônica
Reply-To: joalvares@pinheiro.com.br
Date: Fri, 7 Sep 2012 03:44:38 -0300
Content-Type: text/html;
Sr. Contribuinte,
esta mensagem refere-se à Nota Fiscal Eletrônica de
Serviços No. 9 emitida pelo prestador de serviços:
Razão Social: PEREIRA & NOGUEIRA
LTDA
E-mail: Controleescritorio@bol.com.br
CCM : 13889
CNPJ: 04.273.067/0001-50
Para visualizá-la acesse o link a seguir:
 Visualizar |
O
link contido em Visualizar leva
o navegador até o URL http://asserfesa.
com.br/indexx. php. A partir desse URL, faz-se o download do
programa NF-E_Pdf.cpl que, uma vez executado,
instala o cavalo de tróia denominado Trojan. Fakealert.31898
(Dr.Web), Trojan-Downloader. Win32. Banload!IK (Emsisoft)
ou Artemis! 53144830A5A5 (McAfee).
Yahoo Cartões
From: Yahoo Cartões
<financeiro@phdcftv.com>
Subject: Te Adoro!
Reply-To: financeiro@phdcftv.com
Date: Thu, 6 Sep 2012 09:21:58 -0300
Yahoo Cartões
Olá,
Receba este Yahoo Cartões, que ALGUEM QUE TE ADMIRA mandou:
http://br.greetings.yahoocards.com/
Um enorme abraço da equipe Yahoo Cartões
OBS: Este cartão tem validade de apenas 15 dias, então
não esqueça de ler essa pequena e valiosa mensagem.
©2012 Yahoo
|
O
link contido em http://br.greetings. yahoocards.
com/ na verdade conduz para o URL http://www.
bertoldisrl.it/ media/ grafica/cards/ Yahoo.php a partir do qual
se faz o download de programa que instala o cavalo de tróia denominado
Trojan/ Win32. Inject (AhnLab-V3), BDS/ Backdoor.
Gen5 (AntiVir) ou Dropper. Generic6. BKDF
(AVG).
Boleto bancario
O
link contido em Boleto_cobranca.pdf
remete para
http://www.fabrics-store.com /as/utils.php?p =boleto_
cobranca_ 05_pdf_documento que, por sua vez, remete para o URL
http://chrispowellchrispowell.com// wp-includes/
images/smilies/ logo.php a partir do qual se faz o downloado
do programa Documento.doc_pdf.scr.
Esse programa instala o cavalo de tróia Backdoor: Win32/
Hostposer.A (Microsoft), Mal/ VB-AEW (Sophos)
ou W32/VB. ATID!tr.dldr (Fortinet).
Assessória
Jurídica
Subject: PROCEDIMENTO
INVESTIGATORIO
From: <ministeriopublico@dpf.gov.br>
Message-Id: <6CB153@debian.50.lenny.64.minimal>
Date: Mon, 3 Sep 2012 07:59:15 +0400 (MSK)
Á Assessória Jurídica
Prezado Cliente,
Viemos informar que tentamos entrar em contato com senhor (a)
por telefone, mais não foi possível, para que seu
nome não seja incluso no sistema de proteçã
ao crédito, considere nossa proposta.
Estamos lhe dando uma grande oportunidade para regularizar seus
débitos junto ao banco, segue em anexado a proposta.
Esse email tem validade de 3 dias úteis.
Favor entrar em contato caso exista alguma dúvida.
Atenciosamente,
Marcelo Fontinelle
Gerente Financeiro
--------------------
Anexado: Proposta_9203.pdf (24,0
KB);
--------------------
|
O
link contido em Proposta_9203.pdf remete
para o URL http://www. baloncho.com// images/
lorde/i30.php. A partir desse URL, faz-se o download do programa
executável intimacao.exe que instala
o cavalo de tróia Downloader. Banload.CCGN.
Curiosidade: a mensagem teria sido enviada pelo Ministério Público
que trata o destinatário como um "cliente".
Comprovante deposito
em anexo
O
link contido em Comprovante
remete para o URL http://www.fabrics-store.com/images/
news.php? 0309 depositoconfirmado 030009002012 que redireciona
para http://bengi.yenisahne. com/wp-includes/
images/ smilies/ logo.php a partir do qual se faz o download
do arquivo Comprovante_ deposito_pdf.scr.
Uma vez executado, o programa instala o cavalo de tróia Backdoor:
Win32/ Hostposer.A (Microsoft), Mal/VB- AEW
(Sophos) ou TR/Dropper. Gen (AntiVir).
Formularios em
Anexo.
Ao
clicar em Baixar como.zip o programa navegador
é conduzido para o URL http://www.antigosdeitaipu.
com.br/fotos/ index.php considerado pelo ParetoLogic como Malware
site.
Boletim de Ocorrência
From: policia@policia.gov.com.br
Sent: Thursday, August 09, 2012 12:01 PM
Subject: Boletim de Ocorrência. Departamento
da Polícia Federal.
Atendendo a uma reclamante foi gerado uma queixa
de crime em seu cpf/email, estamos entrando em contato para a
apresentação da mesma. Para maiores esclarecimentos
do Boletim de Ocorrência de NºF3C976A1A370 47007651A5568B
D58074E EA2/2012, na qual a sua pessoa terá que efetuar
o comparecimento.
Na data e local especificado. Com os documentos
de identificação.
Confira na Ocorrência os Documentos.
Registro de Ocorrência: Ocorrência.pdf
|
Redação
atravessada; o link remete para http://200.189.192.41/mp.asp
a partir do qual se faz download de arquivo compactado (.zip). Coisa
muito suspeita. Não se preocupe com a intimação,
pois é coisa forjada.
Versão de 30 de Julho de 2012 conduzia a provável vítima
para o URL http://processo. redirectme.net/ redil.html.
Planilha para
Orçamento
from: Camila
Tavares revistaveja@vejaonline.net
date: Tue, Jul 31, 2012 at 4:34 AM
subject: Fw: Documento em anexo !
2012/7/31 Camila Tavares <revistaveja@vejaonline.net>
1 anexo(s) : Planilha-Documento.doc
(145,4 KB) Segue em anexo a Planilha para Orçamento feito
conforme combinado.
Tenha um bom dia. |
O
o link contido na mensagem remete para o URL http://208.87.0.146/
sp/logs/log.php# Documento- anexo.aspx a partir do qual se faz
o download do arquivo Documento-Anexo_ Planilha.DOCX_.scr.
Ao ser executado, esse programa instala o cavalo de tróia
- Trojan-Downloader. Win32. Banload (Ikarus);
- Mal/Banker-U (Sophos).
EU FALEI QUE
FILMARIA
| From: Livia
Maia <livia.maia@correo.usp.br>
Subject: FWD:EU FALEI QUE FILMARIA..RSRS
Message-ID: <1343936423..maia@correo.usp.br>
Content-Type: text/html
Date: Thu, 2 Aug 2012 21:40:23 +0200 (CEST)
MOV0101091
Visualizar Compartilhar Baixar
Enviado via iPhone |
Os liks contidos
na mensagem remetem para o URL http://liviamaia.
webfotografias. org/?MOV0001010 que, por sua vez, remete para
http://dl. dropbox.com/ u/95249185/ fotos.com.
No dia 04 de agosto de 2012, o provedor informava:
Error (509)
This account's public links are generating too much traffic and have
been temporarily disabled!
Ou seja, o link estava gerando muito tráfego e foi desativado.
EI COMO TU COLOCO
TEU EMAIL NESSE SITE?
from: RenAtiNhAhhh
renata_bmg@yahoo.com
via neptune-mail.sustainablehosting.com
date: Sun, Jul 29, 2012 at 12:00 AM
subject: R: EI COMO TU COLOCO TEU EMAIL NESSE SITE?
mailed-by: neptune-mail.sustainablehosting.com
Ei como foi que teu e-mail paro nesse site ai?
http://www.cornoecorna2012. com.br/?ChifreDiario
Olha se não foi você que coloco lá,
eu tentaria tirar, por que tem mutios
comentarios já viu....
Avast Secury If One Gold |
O
link remete para http://bbb12. alwaysdata.net/
Plugin.cpl, página considerada pelo Scumware como maligna,
pois através dela distribui ou já distrinuiu o cavalo
de tróia TR/Dldr. Banload.M.
Boleto Bancario
| from: BVS-Recebimento@bvfinanceira.com.br
BVS-Recebimento@bvfinanceira.com.br
via home.pl
date: Mon, Jul 23, 2012 at 1:51 PM
subject: Boleto Bancario.
Prezado Cliente:
Conforme solicitacao em nossa Central de Atendimento,
segue boleto para pagamento na data solicitada.
E possivel paga-lo em qualquer agencia bancaria
ate o vencimento.
Caso voce nao esteja visualizando corretamente
o Boleto, clique no link abaixo.
https://www.bvfinanceira.com.br/
recebimento/ s_exibe_boleto.jsp?id= 1XXXX0000000000 0000609635XXXX
006XXXX 263018153
Esta e uma mensagem automatica. Favor nao responde-la.
Atenciosamente;
BV FINANCEIRA
Esta mensagem e seus anexos podem conter informacoes
confidenciais ou privilegiadas. Se voce nao e o destinatario,
nao esta autorizado a utilizar o material para qualquer fim.
Solicitamos que voce apague a mensagem e avise imediatamente
o remetente. O conteudo desta mensagem e seus anexos nao representam
necessariamente a opiniao e a intencao da empresa, nao implicando
em qualquer obrigacao ou responsabilidade por parte desta. |
O
link contido em https://www.bvfinanceira. com.br/
rece... na verdade conduz para o URL http://www.
freefrances.org/ wp-includes/ class.wp-menu.php?x= boletocobranca/ vencido
a partir do qual se faz o download do arquivo boleto_pdf.scr.
Esse arquivo instala cavalo de tróia identificado como:
- Backdoor.Win32.Hostposer!IK (Emsisoft);
- TrojWare.Win32.Trojan Downloader.VB.PQZ (Comodo);
- Mal/VB-AEW (Sophos).
Lembrete Boleto
- 06322 Venc. 17/07/2012 - Em Anexo!
from: Cobranca@mailpiccelli.com.br
date: Wed, Jul 18, 2012 at 4:24 AM
subject: Lembrete Boleto - 06322 Venc. 17/07/2012 - Em Anexo!
São Paulo 18 de Julho de 2012
Prezado(a) Sr(a):
Não consta em nossos controles, o pagamento da fatura
vencida em 15/06/2012.
Entre em contato conosco pelo telefône +55 11 3123-2499
Caso prefira parcelar seu débito.
Abaixo encontra-se o link para impressão. Em caso de
problemas com anexo desta mensagem, entre em contato imediatamente
para emissão do mesmo.
Clique aqui para imprimir o boleto
Caso já tenha efetuado o pagamento do boleto citado acima,
por favor, desconsidere esta carta.
Instruções obrigatórias para impressão
do boleto:
Configure sua impressora para papel A4 e impressão em
1 unica página.
Azevedo e Piccelli Advogados Associados
Praça Dom José Gaspar, 30 - 12° andar, São
Paulo - SP
@ Para visualizar o seu boleto é necessário Adobe
Acrobat Reader.
1 anexo | Baixar tudo como zip
(31,7 KB)
Baixar arquivo(1).pdf (173 KB)
|
Os links contidos
na mensagem remetem para o URL http://fbcofmandarin.com/
images/ banner-bookstore/ dwnl_pdf.php? Linkmail/ a partir
do qual se faz o download de programa que instala o cavalo de tróia:
Troj/Banloa-KV
(Sophos),
Trojan-Downloader.Win32. Banload.bwwu (Kaspersky)
ou
Downloader.Banload.CAKJ (AVG)
Isca para pegar
internautas descuidados/as.
Trata-se de variante
do golpe dos nigerianos facilmente reconhecível. Qual o nome
da empresa ou da pessoa que envia a mensagem? Ela está interessada
em que produtos? Qualquer um?
|
Siga pulhas virtuais no Twitter
Serviço
Central Nacional de Denúncias
de Crimes Cibernéticos
Netiqueta
Dicas
Arquitetando
Coelhos
e coelhinhos
Deixando Rastros
Guia do rock!
Refletindo
|
DSC00017092012.jpg 23K Visualizar Baixar
1
anexo (23,9 KB)
