A Linha Defensiva tomou conhecimento ontem (21/09), às 22:46, de que o site da operadora de telefonia Oi — http://www.oi.com.br — estaria infectado e servindo um cavalo de tróia que rouba senhas de banco (Banker). A presença do código malicioso foi confirmada por testes da equipe de análise da Linha Defensiva e, de acordo informações de um atendente da Oi, a empresa de telefonia já estaria ciente do problema existente em seu site.

O código malicioso servido pelo site é capaz de roubar senhas de banco. O ladrão de senhas possui um tamanho de 13,7MB — um tamanho pouco otimizado para pragas digitais, considerando-se que tamanhos menores favorecem a instalação rápida do vírus. Este componente do vírus, chamado de Windows32.exe, é detectado por diversos antivírus. Outro componente da praga, de 5MB, foi detectado por apenas 3 dos 33 antivírus do site VirusTotal.

O vírus é instalado por meio de uma falha de segurança no Internet Explorer: qualquer usuário de Internet Explorer que não estiver com o patch instalado e visitar o site malicioso terá seu computador infectado automaticamente, sem a necessidade de autorizar a execução ou o download de qualquer arquivo.

Logo depois de ser instalado, o trojan desativa o firewall embutido do Windows XP e tentará remover o programa de segurança G-Buster Browser Defense, comumente instalado pelos bancos.

O site http://www.oi.com.br continua infectado até o momento da publicação desta matéria. É provável que o código malicioso tenha sido colocado no site em uma invasão executada pelos próprios criadores do ladrão de senhas. Acessos pelos endereços http://www.telemar.com.br e http://www.novaoi.com.br não resultam em uma infecção.

A ferramenta de remoção gratuita BankerFix, da Linha Defensiva, foi atualizada para remover cavalo de tróia. O Yahoo!, responsável pela hospedagem do vírus, e o MelbourneIT, serviço de registro usado pelo site malicioso, foram avisados para retirar a praga digital do ar.

[ Atualizado 22/09 – 18h59 ] O site da Oi continua servindo um “iframe” que redireciona ao site malicioso, mas o Yahoo!, que estava hospedando a página, retirou ela do ar. Com a página que estava servindo o vírus offline, o site não está mais infectando usuários. O domínio, no entanto, continua no ar, então o site pode ser novamente ativado pelos criminosos.

[ Atualizado 23/09 – 00h02] Nova verificação do site aponta que o “iframe” malicioso que estava presente na página da Oi foi removido.

Como saber se você está infectado

Estas instruções servem para Windows 2000 e mais recentes:

  1. Aperte CTRL+SHIFT+ESC (segure CTRL e SHIFT ao mesmo tempo e então aperte ESC)
  2. Clique na aba Processos
  3. Se você encontrar o Windows32.exe na lista, você está infectado

No caso de Windows ME, 98/SE e 95:

  1. Vá até o C:
  2. Verifique a presença de um arquivo chamado start
  3. Vá até a pasta Arquivos de Programas
  4. Confirme a presença de um arquivo chamado Windows32 que possui um ícone de programa de instalação
  5. Se você encontrar estes dois arquivos, seu sistema está infectado

Se a infecção for confirmada, o BankerFix pode ser usado para removê-la.

Recomendações

Vários outros sites foram vítimas de criminosos que modificaram as páginas de forma maliciosa para infectar visitantes. Recentemente, anúncios maliciosos circularam no Photobucket e no MySpace e o site do Banco da Índia foi alterado para instalar um ladrão de senha em seus visitantes.

Em janeiro de 2006, o fórum da fabricante de processadores AMD foi modificado para incluir um arquivo de imagem WMF malicioso que infectava usuários. Em abril deste ano, o mesmo ocorreu com o site da também fabricante de hardware ASUS.

Para evitar ser infectado neste tipo de situação em que um site legítimo é comprometido por criminosos, mantenha seu navegador atualizado usando o recurso de atualização automática. No caso do Internet Explorer, que é o alvo deste ataque, o Windows Update é uma alternativa, mas prefira as atualizações automáticas (que podem ser configuradas no Painel de Controle).

Se você utiliza um navegador como Firefox ou Opera, ainda é importante usar a versão mais recente. Estes navegadores possuem sistemas de atualização que irão lhe avisar quando uma correção de segurança está disponível.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

6 Comments

  1. Altieres,
    Muito atipico e diria até impossivel. Realmente tem 13,7+5MB ? Será que teria como destrinchar esse malware?. O comum é arquivos pequenos para se ter controle da maquina e numa segunda fase (payload2), acertar os objetivos da invasão.

    Quase as 3:00 da matina trabalhando… que herói :)

    *Ah, vale uma reportagem esse site do virustotal.com. Colocaram uma ferramenta muito boa para enviar arquivos através do menu de contexto “enviar para”.

    Eject…

    Curtir

    Responder

  2. CGJunior

    O site em si baixa um pequeno downloader. Ele é que instala os demais componentes. Mas me parece que o downloader não tem proteção, então se o usuário reiniciar o computador durante esta fase, ou até mesmo desconectar, o download seria parado.

    Pode ser que ele ative esta proteção quando um problema ocorrer, até porque os programas podem executar certas operações quando são ordenados a fechar para o desligamento do sistema. O downloader também pode detectar um problema durante o download e instalar-se de forma mais agressiva no sistema caso isto ocorra.

    Acho que estas situações são interessantes para serem analisadas em casos futuros, mas agora que esta infecção está offline, não há mais necessidade disso.

    Curtir

    Responder

  3. Ótimo aviso!
    Tomara que todos votem no rec6 e seria legal também divulgar em comunidades da OI no Orkut e coisas do gênero.

    Curtir

    Responder

  4. Andei acessando muito o site da Oi recentemente. Ainda bem que só uso o Firefox e não baixei a praga.

    Curtir

    Responder

  5. Muito importante a informação. Recebi um alerta esses dias ao acessar pelo discador OI que o KAV informava uma tentativa de invasão por um scrip malicioso do site da Oi. Ontem, ao conectar não acusou mais.

    Parabéns pela ajuda, informação e pelo trabalho!

    Curtir

    Responder

  6. Edmundo Roberto 04/01/2008 às 09:51

    Só tenho a agradecer o trabalho de vcs…
    Parabéns e que vcs possam continuar sempre nos alertando dessas pragas virtuais!
    Nâo tem um jeito de eliminar os hackers….rsrsrs

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s