Analisando o comportamento de um worm que se espalha via MSN, encontrei uma técnica interessante: o worm, junto com uma ferramenta responsável por enviar a mensagem “Olha soh quem foi flagrado desta vez” para as janelas do MSN, instalou também um arquivo chamado ‘regcleaner.exe’ na pasta Windows que monitora a execução do Internet Explorer. Quando você executar o Internet Explorer, ele automaticamente fecha o navegador e abre um ‘falso’ Internet Explorer que fica na pasta C:WINDOWS.

O navegador falso tem alguns erros estéticos, como o visual que não combina com o tema e os menus que não respondem corretamente, mas em geral funciona de forma muito parecida com o Internet Explorer. O objetivo do uso do navegador falso é facilitar a captura de dados: já que você estará utilizando o próprio vírus para navegar na web, é muito fácil capturar os dados que você digitar e os locais onde você clicar.

Compare as informações de arquivo do navegador falso (que fica na pasta Windows) com o verdadeiro Internet Explorer (que se localiza em uma pasta chamada ‘Internet Explorer’ em Arquivos de Programas):


‘Internaut Explorer’


Internet Explorer real (Windows XP SP2)

O ‘Interneat Explorer’ é capaz de roubar senhas de bancos como Bradesco, Itaú, Caixa e Banco do Brasil. Outros alvos são o Ebay/Mercado Livre, Submarino, Americanas, Google/Orkut, UOL, Terra e Globo.com. O cavalo de tróia também monitora sites de companhias aéreas como TAM, Varig e Gol para capturar dados de cartões de crédito nas compras de passagens via internet.

O mais interessante é que seria muito fácil para o programador do vírus ter copiado os dados do Internet Explorer verdadeiro, mas mesmo assim ele decidiu falsificar também os dados para o seu ‘Internat Explorer’, o que é no mínimo engraçado, além de mostrar a despreocupação do hacker em tentar se esconder.

É bem provável que a técnica já esteja em uso pelos criminosos há algum tempo, mas não é possível determinar desde quando exatamente. Alguns antivírus já detectam o navegador falso como trojan e os arquivos maliciosos já foram adicionados na lista de definição do Banker Fix, então se você encontrar o arquivo ‘iexplore.exe’ na pasta Windows e ele for o ‘Interneat Explorer’, tente utilizar a ferramenta para corrigir o problema.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

33 Comments

  1. como faço para abrir as janelas do exemplo ? – qual ferramenta usada ?

    Curtir

  2. O um cara desse é muito intelige..
    um bom programador..
    isso se torna pra microsoft ter mais segurança nos sistema
    Operacional Windows.

    Curtir

  3. alguns dias meu amigo estava me dizendo que estava achando o internt explorer dele muito diferente, ele me chamou e eu vi que nao era normal o internet explorer nao funcionar os demais botões e eu consegui remover esse virus… worm
    e depois de remover ele..
    o internet explorer voltou como era antes.

    Curtir

  4. Hertz Almeida 21/08/2006 às 14:53

    Tive recentemente problema com minha conta corrente do BB, foi clonada, acredito que após efetuar compra de um aparelho de MP3.
    Fazem duas semanas, o MP3 ainda não chegou.
    Sempre desconfie de sites que oferecem produtos a preços abaixo do mercado, pode ser uma fria.

    Curtir

  5. Jerson Pagan 21/08/2006 às 15:07

    ja vi um caso desse, me perguntaram se existe algum antivirus ,tbem fiquei na duvida, existe ou nao

    Curtir

  6. Como posso detectá-lo, fora esta meneira existe outro jeito??? Algum software de remoção?

    Curtir

  7. marcelo Gonçalves 21/08/2006 às 15:23

    A prova concreta de que o hacker tem a intenção de que seja descoberto, ou pelo menos descubram seu feito, está no conteúdo da matéria “seria muito facil para o programador do Virus…” isto poe em check a credibilidade de outros programas que possam existir e ques estejam tão “bem” disfarçados que não sejam tão facil assim serem descobertos.. e ai eu pergunto:
    -Não se tem mesmo segurança em navegar pela net, pelo menos nós utilitários domésticos????

    Curtir

  8. Marcos L. Goes 21/08/2006 às 15:31

    Boa tarde

    Artigos como, ajuda os usuários finais e os profissionais da área a se prevenir contra pragas virtuais que infelizemente surgem com muita freqüência. Parabéns ao autor.

    Curtir

  9. roberto naves montini 21/08/2006 às 15:38

    aconteceu comigo, estranho e que sempre que vou clicar em outro link aparece a msg ( una ventana pop up a sido bloqueada )

    Curtir

  10. pedro moreira 21/08/2006 às 15:55

    Dá para explicar ao leigo, em linguagem adequada, como desinstalar o falso navegador, ou então, como proceder para livrar-se de tal praga infiltrada?

    Curtir

  11. depois dessa noticia,me faz pensar no dia que chamei um tecnico para reparar me micro pois estava notando uma diferença na pagima da caixa federal na hora que pedia para digitar o nº da conta e da agencia,reparava que existia uma tela sobre a outra e na hora que seria digitado a senha não aparecia os asterisco e sim um ponto azul no lugar,desconfiado chamei esse tecnico e foi contatado que o mesmo estava com o virus tróia, minha sorte foi eu desconfiar e não abrir senão já era.

    Curtir

  12. aconteceu aqui no escritorio.
    uma amiga tentou acessar sua conta bancaria para tirar extrato, quando percebeu um tom diferente na tela do bradesco. Ao digitar os seus dados, os mesmos que antes saiam expressos na tela como um “asterisco (*) ” começaram a sair no lugar do asterisco umas bolinhas.
    E eles foram mais longe ainda, criaram um tela com todos os dados do cartao “chave de segurança” e solicitaram que o usuario digitasse um a um de todos os números de seu cartao de seguranca, ou seja, teriam uma copia do cartao do usuario. Tudo isso sob a alegação de que o bradesco estaria atualizando seus dados.
    Ela entrou em contato com o banco e noticiou os fatos, orientaram-na de alguns procedimentos, e solicitaram que ela ficasse sem utilizar o computador por um determinado período. Ela assim procedeu, porem, desconhece quais as atitudes do banco para controle da ocorrencia

    Curtir

  13. Eduardo Ferraz 21/08/2006 às 15:59

    Caro colunista uma hora vc escreve o nome no falso programa como sendo ‘Internaut Explorer’ depois como ‘Interneat Explorer’ , depois como ‘Internat Explorer’…. é assim mesmo?????? :P

    Curtir

  14. É incrível como as técnicas utilizadas por piratas virtuais se desenvolvem… Estão ficando cada vez mais criativos e engenhosos. Criam programas maliciosos com a maior naturalidade e fazendo deboche… Enquanto não aplicarem punições severas para essas pessoas e deixarem a grande rede mais segura, cabe a nós, internautas, agirmos pelo bom senso e não fazermo compras pela internet e nem fornecer nossas senhas em PCs de estranhos.

    Curtir

  15. helenio

    A ferramenta utilizada nas telas foi o “Filealyzer”. Mas você não precisa dele. Basta clicar com o botão direito em qualquer arquivo executável, selecionar Propriedades e verificar a aba ‘Versão’ que você encontrará os mesmos dados. Note que, como foi explicado, esses dados são facilmente forjados por vírus e trojans. Existem assinaturas digitais para que você possa verificar que os arquivos são realmente de quem eles dizem ser, mas nem todos os programas são assinados digitalmente, portanto às vezes não é possível verificar.

    Jerson Pagan

    O antivírus deve resolver o problema, mas temos uma ferramenta chamada Banker Fix que resolve a maioria desses casos.

    Davi Lara

    O navegador falso não exibe os ‘favoritos’. Além disso, se você trocar o tema do Windows, a cor dele não será compatível com o tema padrão do Windows XP. Uma boa idéia é sempre executar o Banker Fix, caso haja dúvida sobre uma possível infecção de roubo de senhas. O arquivo ‘iexplore.exe’ na pasta Windows ou System32 é geralmente um mau sinal.

    marcelo Gonçalves

    Realmente, navegar seguro hoje na internet, para quem não tem informação, é muito difícil. Mas com um pequeno conhecimento, atenção e cuidado é possível utilizar o computador de forma segura. São as próprias práticas dos usuários (como enviar e-mails de correntes ou boatos falsos com 40 destinatários no Para/Cc) que os colocam em risco de sofrer problemas com spam e worms.

    pedro moreira

    O final do artigo menciona a ferramenta Banker Fix, que é uma ferramenta criada pela Linha Defensiva para remover pragas desse tipo. A ferramenta é atualizada freqüentemente para remover as pragas mais atuais. Ela remove dezenas de vírus de MSN que enviam mensagens maliciosas, cavalos de tróia que mostram telas falsas, capturam informações em sites de banco nacionais, enviam scraps ruins no Orkut, entre outros.

    Eduardo Ferraz

    Sim. É para destacar, novamente, a despreocupação do programador do vírus em sequer padronizar em um nome só.

    Curtir

  16. Uma boa idéia é migrar para um outro browser menos “visado”, como o ópera ou o Firefox. Não digo que você vai estar 100% seguro, mas já é uma grande ajuda

    Curtir

  17. Como faço para tirar esse cavalo de tróia?

    Segui umas indicações do Linha Defensiva e a msg via MSN parou de ser mandada, mas qdo entrei no site do meu banco tive a infeliz constatação de que o vírus continuava ali.
    O que fazer?

    Curtir

  18. Bianca

    Se utilizar o Banker Fix não resolveu, sugiro que veja nosso fórum e o serviço gratuito de remoção de vírus:

    http://linhadefensiva.uol.com.br/remocao-de-virus/

    Curtir

  19. Este cara que fez isto é um bobão, existem coisas na vida melhor pra fazer… ajudar alguém seria um bom começo.

    Curtir

  20. Márcia Masako Kawata 21/08/2006 às 17:47

    Comigo aconteceu que eu entrei no site do Bradesco para tirar saldo da minha conta e quando eu ia digitar a senha eletrônica, apareceu uma tela esquisita e que pedia para digitar a senha do cartão.
    Aparecia o timbre do banco do brasil no site do bradesco.
    Eu tentava sair e não conseguia então eu tive que reiniciar o computador para sair.
    Depois eu mandei um E-Mail para o Bradesco informando o que aconteceu para que eles tomassem uma atitude para garantir a segurança dos clientes que utilizam a internet
    E não é só na internet que acontece essas coisas nas agências aparecem pessoas que utilizam um equipamento que é parecido aonde os clientes põem o cartão para acessar os caixas automáticos e eles conseguem copiar os dados do cartão do banco.

    Curtir

  21. Isso é nada …
    esse ainda conteve alguns erros, os coders tão com nivéis comparavel a de coders dentro da microsoft… agora os bancos tem que ser agil, o bradesco ta de parabens.. o itau tb … o banco do Brasil precisa ser mais limitado … não fez o cartão de segurança ainda pq ?

    Curtir

  22. Temos duas opções que eu acho que valem a pena.
    uma delas, baixar do site oficial da Microsoft o internet explorer 7, apesar de estar na versão beta é bem mais seguro que o 6.
    Outras opção, utilizarmos o navegador mozilla firefox que é muito melhor e mais seguro que o internet explorer

    Curtir

  23. Uma forma mais segura de se navegar hoje em dia é toda vez que entrar em um site de Banco (ou outros) você digitar uma senha errada, se o site retornar dizendo que está certo pode ter certeza que era um site “clonado”. Recomendo o uma bom antivirus sempre atualizado (AVG eu considero muito bom), com um bom firewall configurado corretamente e é bom lembrar de rodarmos sempre um bom antispyware no micro (o Adware da lavasoft é um bom).
    abraços
    Willian Bayer
    se quiserem debater mais sobre o assunto contatem no e-mail wilbayer@uol.com.br

    Curtir

  24. Pessoal tomem cuidado!

    Eu recebi nos 3 ultimos dias 04 e-mail dizendo ser da Receita Federal que meu Titulo de Eleitor, CPF e dados na receita estão desatualizado, bloqueados e outras baboseiras.

    Nesta época de eleições muita gente fica vuneravél a esses ataques.

    Espero que ajude,

    Mário

    Curtir

  25. O Internet Explorer se tornou obsoleto atualmente. Sem segurança alguma e várias outras ferramentas que outros navegadores oferecem.
    Há muito tempo uso o Firefox, que além de muito mais seguro tem muitas funcionalidades que facilitam a navegação que o Internet Explorer não oferece.

    Então, a minha dica é que se querem um pouco mais de segurança para navegar na internet, troquem de navegador.

    Curtir

  26. Eu gostaria de saber se existe um problema semelhante no Firefox. O IE 6.0 é considerado o software mais inseguro da história da informática.

    Curtir

  27. Eu já cheguei a um ponto em que não sinto mais pena de quem é infectado por esse tipo de vírus primitivo. Minha analogia preferida para explicar o porquê é entre carros e computadores. Você sai dirigindo um carro por aí sem carta de motorista? Não. Então por que as pessoas usam computador sem entender *nada* sobre eles? Não acho que todos deveriam ser experts em computador, mas há pessoas que não entendem sequer o básico! E, por mais críticas que eu tenha à abstração que o Windows oferece ao usuário, não acho que requeira tanta inteligência assim saber como funcionam os principais programas, ainda mais quando são usados todos os dias (embora eu ainda ache a abstração dos sistemas operacionais *nix tenha uma curva de aprendizado muito mais íngreme para quem não tem experiência com computador).

    Além disso, voltando à metáfora do carro, a Internet é o equivalente do off-road para computadores. Você quer dirigir tranqüilo, pelas ruas da cidade, com sinalização, guardas de trânsito etc. (mas ainda correndo alguns riscos)? Não se conecte. Se você pretende fazer um rally, ou você tem um carro especialmente feito para isso (no caso, sistemas como o MacOS X, Linux, BSD etc.) ou arruma o seu para tal, trocando pneus, acrescentando bússolas, GPS, comprando mapas e afins (um Windows com anti-vírus, anti-spyware, um browser seguro). Você *sempre* vai correr riscos de acidente em um rally, independente do carro (ou plataforma) que você possua, mas ter um carro adeqüado, seja feito para isso ou ‘pós-configurado’ para tal, e, principalmente, conhecimento do percurso (ou do funcionamento dos computadores) sempre ajuda.

    É por essas e outras que vírus cada vez mais mal-feitos e caça-níqueis conseguem tanto sucesso: por que os usuários não estão preparados para utilizar um computador. Uma ferramenta não é nada sem conhecimento sobre como utilizá-la.

    Por isso também gostaria de parabenizar o Linha Defensiva, por tomar uma atitude para tentar ‘educar’ um pouco os usuários. Alguém tinha que fazer isso.

    Saudade dos tempos em que vírus eram ferramentas ideológicas e obras de arte em forma de código, e que o manifesto de The Mentor ainda tinha algum significado…

    Curtir

  28. Como já foi até dito anteriormente, são nossos próprios hábitos de uso da internet que infectam nossos micros, alguns conselhos básicos podem ser úteis:
    1. Não clicar em links nem baixar fotos ou qualquer tipo de arquivo de emails ou mensagens do msn com remetente desconhecido.
    2. Não repassar estes emails para outros.
    3. Proteja seus contatos, usando o campo CCO para mandar cópias do email.
    4. Quem procura acha, quando vc procura pornografia, cracks e outros ítens ilegais na internet, vai achar também diversos vírus e controles que podem se instalar no micro com um clique seu, muitas vezes sem você perceber.
    5. Esteja sempre atento a mudanças no comportamento do navegador ou das páginas do seu banco.
    6. Acesse seu banco apenas de micros que você tem certeza que é só você que usa (incluir na lista de suspeitos seus filhos e esposa, bem como companheiros de trabalho), no qual você toma os cuidados que eu expliquei acima.

    Curtir

  29. Dirnei Guedes 21/08/2006 às 21:07

    Agradeço as dicas,consegui expulsar o iexpolore.execom sua preciosa ajuda.

    Curtir

  30. NÃO TEM SOLUÇÃO – Enquanto os usuários que navegam na internet não se convencerem de que não tem como conciliar a utilização da rede de maneira “inocente”, como
    na recepção de mensagens do tipo “Olha soh quem foi flagrado desta vez” e a utilização para fins mais sérios e
    úteis como home banking, estudos, trabalhos, etc, este tipo
    de delinquente realmente vai se destacar. A segurança na utilização de serviços eletrônicos na internet, a exemplo do que ocorre na utilização dos mesmos serviços pela via presencial, depende do compartamento do usuário.

    Curtir

  31. Facil….. So Manter um bom anti-virus atualizado sempre um bom firewall… Eu Digo Um Bom.. não o do WindowsXP que com 2 linhas de codigo abrimos as portas… e usar o Firefox atualizado…. e ter cuidado nos anexos e downloads e links duvidosos…

    Na maioria das Vezes Os Virus Infectan Usuarios descuidados e mal informados!!! Abração a todos

    Curtir

  32. wellyngton & Mário

    O vírus não explora nenhum tipo de falha no Internet Explorer. O IE está completamente fechado quando o vírus falsifica a janela. O mesmo poderia ser feito com o Firefox e qualquer outro navegador, apesar de que seria mais difícil fazer uma cópia convincente.

    Não há dúvidas, claro, que o IE tem os seus problemas de segurança. Estou apenas dizendo que não é uma falha no IE que possibilita um navegador falso.

    Willian Bayer

    Já existem sites de phishing “inteligentes” que verificam as credenciais usadas no site do banco automaticamente. Essa técnica não funciona neste tipo de site.

    Curtir

  33. Bem, eu acho que é aquela velha história, se não existisse droga para vender não haveria viciado ou se não houvesse viciados não haveriam drogas para vender, o que no fim dá no mesmo. Digo, se no sistema da Microsoft não houvesse tantos furos, não haveriam vírus, etc… , nem haveria anti-vírus.
    Penso que, quando compramos algo em uma loja, temos o direito de consumidor, e este direito cobre defeitos ou falhas que se apresentem no “objeto” em questão, por um período.
    Resumindo, se “compramos” o computador e temos a garantia contra defeitos, por que não temos a mesma garantia contra defeitos do software ? Por que não podemos acionar a Microsoft na justiça por perdas e danos, quando nosso micro é invadido ou dá um pau no sistema na hora em que estamos digitando um documento importante e o mesmo é perdido e em outras situações do dia a diaem que configura “prejuízo” ?
    Por que ninguém toca neste ponto ?
    Por permitem que se coloque no mercado um produto “defeituoso” que causa tanto transtorno ?
    Tudo bem que o Windows revolucionou e muito.
    Mas, também deu muita dor de cabeça.

    Curtir

Comentários encerrados.