A confiança dos usuários em seus amigos está sendo explorada por Bankers — cavalos-de-tróia que roubam senhas de banco — para infectar um maior número de usuários. Scraps (“Recados”) maliciosos estão sendo enviados para diversos perfis, prometendo desde fotos sensuais até pacotes de segurança. Todos eles, no entanto, possuem um cavalo-de-tróia ao invés do conteúdo prometido.

Os criminosos estão usando softwares que permitem o envio de recados em massa para enviar o mesmo recado malicioso para diversos usuários utilizando contas roubadas. Como a conta é roubada, o usuário não desconfia que o link possa ser malicioso, pois a mensagem parece vir de um amigo ou conhecido.

Tudo indica que as contas são roubadas pelos mesmos cavalos-de-tróia que também roubam as senhas de banco. O único motivo por trás da captura da senha de uma conta Orkut é explorar a relação de confiança que o usuário tem com os demais usuários da rede social. Com o crescimento da popularidade dos serviços de redes sociais, especialmente o Orkut, não é supreendente que eles sejam utilizados de forma maliciosa.

A Linha Defensiva está examinando o funcionamento dos cavalos-de-tróia espalhados via Orkut para confirmar se as mensagens maliciosas são enviadas através de ferramentas de mensagem em massa ou de forma automatizada pelo próprio vírus. Poucos “Bankers” incluem componentes de worm para enviar e-mails infectados de forma automática, então é possível que os trojans via Orkut também sejam enviados de forma manual.

Alguns dos links encontrados no Orkut instalam o Banker “system32”, que é uma das infecções mais comuns no fórum. Bankers também são geralmente distribuídos via e-mails falsos tentando se passar por cartões virtuais, fotos, geradores de crédito para celular e diversos outros assuntos.

A Linha Defensiva recomenda extremo cuidado ao clicar em qualquer link na web, e isso também vale para o Orkut e qualquer outro site. Mesmo que um link pareça ter sido enviado por um amigo seu, desconfie, pois seu amigo pode ter tido a conta do Orkut/email/MSN roubada.

Se você encontrar algum usuário enviando recados malicisos no Orkut, avise-o. Peça para que ele troque a senha e verifique a integridade no sistema, fazendo uma checagem por códigos maliciosos e instalando um firewall, que avisará caso qualquer programa tente uma conexão com a Internet (para, por exemplo, enviar sua senha).

Caso tenha clicado em um link malicioso no Orkut, veja o nosso passo-a-passo para obter assistência na remoção de vírus. A maioria dos vírus encontrados no Orkut podem ser removido facilmente. Se você encontrar links maliciosos no Orkut, entre em contato e envie qualquer link suspeito para o AntiVirus Safe, aqui da Linha Defensiva.

A Linha Defensiva agradece antecipadamente qualquer colaboração.

Anúncios

Escrito por Redação Linha Defensiva

8 comentários

  1. Ja divulguei para toda minha lista do orkut com os devidos creditos, muito importante o artigo.

    Parabens

    Curtir

  2. Gostaria de saber se apenas clicando no link (no Orkut ou em qualquer outro lugar), meu PC pode se infectar? Pois, uso antivírus e firewall e não baixo arquivos suspeitos. Sendo assim, apenas abrindo uma página meu PC pode se infectar?

    Curtir

  3. Douglas Miranda

    Geralmente é necessário abrir o arquivo, o que pode ser feito na hora do download. Em geral, você vai precisar pelo menos 2 cliques.

    Note que os antivírus não são muito bons para remover Bankers, visto que eles não causam epidemias mundias, portanto geralmente recebem uma classificação de baixo risco pelas companhias.

    O melhor é ficar de olho e nem clicar no link para evitar qualquer problema.

    Curtir

  4. Sobre o questionamento do Douglas Miranda, não sei como funciona via orkut, mas dá forma tradicional nos emails que os bankers enviam eles dispõe de metodos utilizando java scripts que copiam o keylogger para a maquina da vitima.

    Curtir

  5. Joaquim Espinhara

    Você poderia enviar algum e-mail que faz isso para o AntiVirus Safe? Já vi alguns e-mails que utilizam meta-refresh, mas nenhum que explora falhas pra copiar o arquivo de outra maneira.

    Outra coisa: Javascript não é executado em e-mails, então eles devem fazer de outra forma.

    Curtir

  6. Gustavo Dias 17/04/2006 às 01:38

    Isso é simples, estão roubando as senhas por esses sites onde os usuários entram e digitam usuário e senha pra poder mandar scrap pra todo mundo
    reparem que na maioria dos casos quando chega um arquivo malicioso desse o usuário já tem “passagens” por esses sites, creio eu que estes estão “vendendo” essas senhas para terceiros, ou eles mesmo usando as mesmas…

    Curtir

  7. Eu não tenho total certeza , mas de qualquer forma , tentem evitar clikar em links que vcs não conhecem ( geralmente o link é extenso e é esquisito )
    isso já seria um bom começo
    e se acabou clikando , não fazer download de algo que possa aparecer pronto para o download .
    hum , acho que isso seria o básico
    tentei ajudar =)

    Curtir

  8. Gustavo korontai 19/04/2006 às 01:00

    Uma falha descoberta recentemente no Internet Explorer denominada createTextRang, permitiu que “bankers” utilizassem um exploit escrito em “C” para gerar arquivos maliciosos com extensão .html e .htm.

    Ao abrir esses arquivos, um programa denominado “loader” (onde tamanho em média varia entre 8kb a 23kb) é baixado para o computador da vítima e nomeado aleatoriamente. ex: mhh.exe
    Após o download ( invisivel ) através da falha explorada, o Browser é fechado devido a um crash que o exploit causa, então o “loader” é executado e começa a copiar o codigo do cavalo de troia para o computador da vítima sem que a mesma note.

    Geralmente, o cavalo de troia utiliza nomes como system32.exe, system.exe, msconfig.exe,com o objetivo de passarem despercebidos até mesmo por usuários com mais experiência..Quando o download do código é finalizado o “loader” se auto finaliza e o cavalo de tróia cria uma cópia dele mesmo em algum diretorio de sistema, além de adicionar uma chave no registro para se auto-iniciar junto com o Windows.

    Algumas pessoas infectadas ao reiniciarem seu computador, podem se deparar com uma mensagem de erro “socket error”, pois o virus ao ser executado tenta enviar um email para o “hacker” avisando que o computador está online.Este erro ocorre devido a erros em seu código;o virus não verifica corretamente se o computador está ou não conectado a internet. Geralmente pessoas que usam Internet que seja necessário discagem irão notar a presença dessas mensagens.

    Os cavalos de troia são modificados diariamente para se adaptar às mudanças feitas nos sistemas de internet banking. Uma informação importante aos usuários mais desavisados é a solicitação de dados que normalmente não são necessários para acessar a conta corrente como por exemplo,a senha do cartão.
    Utilize sua senha do cartão somente para movimentar sua conta. Caso seja solicitado algo diferente ao tentar entrar em sua conta, é prudente que o usuário ligue imediatamente para seu banco e notifique o fato para que as providências sejam tomadas.

    Infelizmente os antivirus não são capazes de detectar com eficiência esse tipo de praga. Os cavalos de troia passam por atualizações quase diárias e como foi citado anteriormente, os virus são classificados como de baixo risco.

    Algumas mudanças em sistemas de internet banking tem ajudado no combate a golpes virtuais, mas a principal ferramenta no combate a esse tipo de fraude está na mão dos usuários, cautela.

    Curtir

Os comentários estão encerrados.