A Linha Defensiva obteve acesso a um trojan que, ao infectar um sistema, torna o site inacessível. O código malicioso adiciona uma linha ao arquivo HOSTS que redireciona o site da Linha Defensiva (linhadefensiva.uol.com.br) para o IP “127.0.0.1”, o que efetivamente torna a página indisponível. Além deste site, o trojan também bloqueia o VirusTotal, sites de companhias antivírus como Grisoft, TrendMicro e BitDefender e sites anti-spyware como SpywareInfo e Bleeping Computer.
O cavalo de tróia é um ladrão de senhas de banco. É brasileiro, mas, além dos servidores de plugins de segurança de banco, o Linha Defensiva é o único site nacional cujo acesso é impedido pelo vírus. Entre os demais sites bloqueados, que não pertencem a companhias antivírus, apenas um, o VirusTotal, está disponível em português.
Também há notícia da existência de um trojan que redireciona a Linha Defensiva para o site da Polícia Federal (www.dpf.gov.br), mas uma cópia deste trojan até agora não foi encontrada pela nossa equipe. É possível que os redirecionamentos tenham o objetivo de inutilizar o BankerFix, que poderia remover a praga.
Para capturar as senhas, a praga usa o mesmo método de redirecionamento pelo Hosts; abaixo segue a lista dos domínios inseridos no Hosts. Os sites bloqueados retornam um erro, enquanto os redirecionados parecem carregar normalmente, mas a vítima estará em uma página falsa controlada pelo criminoso.
Bloqueados
Plugins de banco
- wwws.realsecureweb.com.br
- clickbanking.unibanco.com.br
- www14.bancobrasil.com.br
- imagem.caixa.gov.br
- bdu.bmb.com.br
Empresa de Antivírus
- http://www.grisoft.cz
- http://www.grisoft.com
- guru.grisoft.com
- free.grisoft.com
- http://www.trendmicro.com
- upgrade.bitdefender.com
Sites de segurança
- http://www.bleepingcomputer.com
- http://www.virustotal.com
- linhadefensiva.uol.com.br
- http://www.spywareinfo.com
Redirecionados
Bancos
- caixa.com.br
- http://www.caixa.com.br
- caixa.gov.br
- http://www.caixa.gov.br
- cef.com.br
- http://www.cef.com.br
- cef.gov.br
- http://www.cef.gov.br
- caixaeconomicafederal.com.br
- http://www.caixaeconomica.com.br
- http://www.caixaeconomicafederal.com.br
- unibanco.com.br
- http://www.unibanco.com.br
- nossacaixa.com.br
- http://www.nossacaixa.com.br
- real.com.br
- http://www.real.com.br
- bancoreal.com.br
- http://www.bancoreal.com.br
- bb.com.br
- http://www.bb.com.br
- bancodobrasil.com.br
- http://www.bancodobrasil.com.br
- bancobrasil.com.br
- http://www.bancobrasil.com.br
- itau.com.br
- http://www.itau.com.br
- bradesco.com.br
- http://www.bradesco.com.br
Sem redirecionamento
Não há alteração na visita a estes sites, mas o trojan está configurado para inserir entradas com estes domínios no HOSTS. É possível que os criminosos tenham planejado o redirecionamento destes sites, ou planejam fazê-lo mais tarde.
Variados
- credicarditau.com.br
- http://www.credicarditau.com.br
- credicardciti.com.br
- http://www.credicardciti.com.br
- mercadolivre.com
- http://www.mercadolivre.com
- mercadolivre.com.br
- http://www.mercadolivre.com.br
- serasa.com
- http://www.serasa.com
- serasa.com.br
- http://www.serasa.com.br
- http://www.equifax.com.br
- http://www.checkcheck.com.br
[ Fonte: Fabio Assolini, Analista de Vírus — ARIS/Linha Defensiva ]
Linha Defensiva 
Acredito que instalei este trojan em meun pc.
CurtirCurtir
Parabens.
Isso significa que voces estão no caminho certo e começam a incomodar esses eXpertos.
Abraços,
CGJunior
CurtirCurtir
Mais uma modalidade dos bankers. :-(
CurtirCurtir
Somos melhores do que eles. Eles só se acham…
CurtirCurtir
Eles já sabem com a LD detona eles, agora é guerra! Vamos contribuir a cada dia mais com a Linha Defensiva para que estes crackers se dêem mal.
Parabéns LD!
CurtirCurtir
Parabéns Altieres! Vocês estão na rota dos lammers, que criam bankers! Mas se bloqueiam o LD, CDH e o meu fórum estão no ar ou seja não adianta nada!
CurtirCurtir