Pragas brasileiras registraram crescimento histórico em 2006

Vídeo: Banker em Ação

/st/script/banker-em-acao.js

Descrição do Vídeo

• 0:15 — Sistema é um Windows XP com Service Pack 2 instalado. Note que nenhum outro patch foi aplicado, portanto este sistema ainda está desatualizado.
• 0:30 — Log do HijackThis com apenas duas entradas do Java, uma do Windows e uma do Windows Live Messenger.
• 0:40 — Pasta System32 inicial.
• 1:00 — Demonstração de que o usuário do Gaim está na lista de contatos do Windows Live Messenger e vice-versa. (Gaim é um software de código aberto que permite o acesso ao MSN e outros serviços de mensagem instantânea.)
• 1:27 — Há apenas dois contatos no Windows Live Messenger.
• 1:50 — Recebimento da mensagem infectada de um dos contatos e clique no link malicioso. O MSN usado para o envio do vírus é o MSN do AntiVirus Safe, da Linha Defensiva, mas não há risco em adicionar esta conta no seu MSN. É importante ressaltar também que todos os computadores infectados enviam mensagens iguais, como você poderá ver mais adiante.
• 2:10 — Janela do Internet Explorer abre. Um código malicioso é executado sem a autorização do usuário e novos processos e arquivos começam a ser instalados no sistema. Se quiser saber mais sobre isso ocorre e se proteger, veja nossa matéria sobre o assunto.
• 3:00 — Mesmo após o fechamento do Internet Explorer, os arquivos maliciosos continuam no sistema. A máquina está infectada.
• 3:05 — A janela do Windows Live Messenger se fecha para esconder o fato de que a praga digital acabou de enviar a mensagem de infecção para seu contato.
• 3:30 — O recebimento da mensagem maliciosa é confirmado com um pop-up do Gaim apresentando nova mensagem. O usuário do Gaim poderia ser qualquer contato da vítima, que receberia a mensagem e a passaria adiante caso clicasse na mesma. Nesse caso, a mensagem foi enviada para o mesmo computador apenas para demonstrar o funcionamento da praga, mas, na prática, apenas computadores remotos pertencentes aos amigos da vítima receberiam a mensagem maliciosa.
• 4:15 — Novo relatório do HijackThis mostra alterações resultantes da infecção.
• 4:30 — Novos arquivos foram criados pelo vírus na pasta System32.
• 5:07 — É possível ver que o arquivo Estra.exe, instalado pela praga, possui na memória referências a bancos como Itaú, HSBC, Unibanco, Banespa e outros.

  Nota Importante: Diversos outros bancos, lojas e sites também são alvos deste tipo de praga. Os alvos mudam dependendo de qual delas está no sistema, pois existem muitas delas. O Banco do Brasil e o Citibank, por exemplo, foram alvos de outra praga do mesmo gênero que circulou esta semana.

• 5:40 — Durante ao acesso ao site do Itaú [poderia ser qualquer outro], o Internet Explorer é fechado e uma janela com um falso navegador é aberta. Essa janela falsa é capaz de roubar os dados que o usuário digitar e, nesse caso, é facilmente identificada pela troca do ícone presente no canto superior esquerdo. Usar navegadores falsos é uma técnica antiga que foi divulgada em agosto de 2006. Como a janela é falsa, clicar em “Ajuda”, ao invés de mostrar o menu de ajuda, resulta no travamento do vírus, mostrando a instabilidade das pragas.
• 6:30 — O BankerFix é executado. Ao término da análise a ferramenta afirma que arquivos infectados foram removidos, ressaltando o cuidado que se deve ter na abertura de links em mensagens de e-mail, Orkut e MSN.
• 7:20 — O log do HijackThis está novamente igual ao primeiro.
• 7:40 — O relatório do BankerFix mostra que vários arquivos foram removidos.

A Linha Defensiva reforça que o vídeo não tem a intenção de mostrar que um banco é mais ou menos seguro do que outro. O objetivo do vídeo é apenas exemplificar como funciona a praga digital que rouba suas senhas.