Site da Oi é modificado para infectar visitantes

A Linha Defensiva tomou conhecimento ontem (21/09), às 22:46, de que o site da operadora de telefonia Oi — http://www.oi.com.br — estaria infectado e servindo um cavalo de tróia que rouba senhas de banco (Banker). A presença do código malicioso foi confirmada por testes da equipe de análise da Linha Defensiva e, de acordo informações de um atendente da Oi, a empresa de telefonia já estaria ciente do problema existente em seu site.

O código malicioso servido pelo site é capaz de roubar senhas de banco. O ladrão de senhas possui um tamanho de 13,7MB — um tamanho pouco otimizado para pragas digitais, considerando-se que tamanhos menores favorecem a instalação rápida do vírus. Este componente do vírus, chamado de Windows32.exe, é detectado por diversos antivírus. Outro componente da praga, de 5MB, foi detectado por apenas 3 dos 33 antivírus do site VirusTotal.

O vírus é instalado por meio de uma falha de segurança no Internet Explorer: qualquer usuário de Internet Explorer que não estiver com o patch instalado e visitar o site malicioso terá seu computador infectado automaticamente, sem a necessidade de autorizar a execução ou o download de qualquer arquivo.

Logo depois de ser instalado, o trojan desativa o firewall embutido do Windows XP e tentará remover o programa de segurança G-Buster Browser Defense, comumente instalado pelos bancos.

O site http://www.oi.com.br continua infectado até o momento da publicação desta matéria. É provável que o código malicioso tenha sido colocado no site em uma invasão executada pelos próprios criadores do ladrão de senhas. Acessos pelos endereços http://www.telemar.com.br e http://www.novaoi.com.br não resultam em uma infecção.

A ferramenta de remoção gratuita BankerFix, da Linha Defensiva, foi atualizada para remover cavalo de tróia. O Yahoo!, responsável pela hospedagem do vírus, e o MelbourneIT, serviço de registro usado pelo site malicioso, foram avisados para retirar a praga digital do ar.

[ Atualizado 22/09 – 18h59 ] O site da Oi continua servindo um “iframe” que redireciona ao site malicioso, mas o Yahoo!, que estava hospedando a página, retirou ela do ar. Com a página que estava servindo o vírus offline, o site não está mais infectando usuários. O domínio, no entanto, continua no ar, então o site pode ser novamente ativado pelos criminosos.

[ Atualizado 23/09 – 00h02] Nova verificação do site aponta que o “iframe” malicioso que estava presente na página da Oi foi removido.

Como saber se você está infectado

Estas instruções servem para Windows 2000 e mais recentes:

1. Aperte CTRL+SHIFT+ESC (segure CTRL e SHIFT ao mesmo tempo e então aperte ESC)
2. Clique na aba Processos
3. Se você encontrar o Windows32.exe na lista, você está infectado

No caso de Windows ME, 98/SE e 95:

1. Vá até o C:
2. Verifique a presença de um arquivo chamado start
3. Vá até a pasta Arquivos de Programas
4. Confirme a presença de um arquivo chamado Windows32 que possui um ícone de programa de instalação
5. Se você encontrar estes dois arquivos, seu sistema está infectado

Se a infecção for confirmada, o BankerFix pode ser usado para removê-la.

Recomendações

Vários outros sites foram vítimas de criminosos que modificaram as páginas de forma maliciosa para infectar visitantes. Recentemente, anúncios maliciosos circularam no Photobucket e no MySpace e o site do Banco da Índia foi alterado para instalar um ladrão de senha em seus visitantes.

Em janeiro de 2006, o fórum da fabricante de processadores AMD foi modificado para incluir um arquivo de imagem WMF malicioso que infectava usuários. Em abril deste ano, o mesmo ocorreu com o site da também fabricante de hardware ASUS.

Para evitar ser infectado neste tipo de situação em que um site legítimo é comprometido por criminosos, mantenha seu navegador atualizado usando o recurso de atualização automática. No caso do Internet Explorer, que é o alvo deste ataque, o Windows Update é uma alternativa, mas prefira as atualizações automáticas (que podem ser configuradas no Painel de Controle).

Se você utiliza um navegador como Firefox ou Opera, ainda é importante usar a versão mais recente. Estes navegadores possuem sistemas de atualização que irão lhe avisar quando uma correção de segurança está disponível.