A Linha Defensiva obteve acesso a um trojan que, ao infectar um sistema, torna o site inacessível. O código malicioso adiciona uma linha ao arquivo HOSTS que redireciona o site da Linha Defensiva (linhadefensiva.uol.com.br) para o IP “127.0.0.1”, o que efetivamente torna a página indisponível. Além deste site, o trojan também bloqueia o VirusTotal, sites de companhias antivírus como Grisoft, TrendMicro e BitDefender e sites anti-spyware como SpywareInfo e Bleeping Computer.

O cavalo de tróia é um ladrão de senhas de banco. É brasileiro, mas, além dos servidores de plugins de segurança de banco, o Linha Defensiva é o único site nacional cujo acesso é impedido pelo vírus. Entre os demais sites bloqueados, que não pertencem a companhias antivírus, apenas um, o VirusTotal, está disponível em português.

Também há notícia da existência de um trojan que redireciona a Linha Defensiva para o site da Polícia Federal (www.dpf.gov.br), mas uma cópia deste trojan até agora não foi encontrada pela nossa equipe. É possível que os redirecionamentos tenham o objetivo de inutilizar o BankerFix, que poderia remover a praga.

Para capturar as senhas, a praga usa o mesmo método de redirecionamento pelo Hosts; abaixo segue a lista dos domínios inseridos no Hosts. Os sites bloqueados retornam um erro, enquanto os redirecionados parecem carregar normalmente, mas a vítima estará em uma página falsa controlada pelo criminoso.

Bloqueados

Plugins de banco

  • wwws.realsecureweb.com.br
  • clickbanking.unibanco.com.br
  • www14.bancobrasil.com.br
  • imagem.caixa.gov.br
  • bdu.bmb.com.br

Empresa de Antivírus

Sites de segurança

Redirecionados

Bancos

Sem redirecionamento

Não há alteração na visita a estes sites, mas o trojan está configurado para inserir entradas com estes domínios no HOSTS. É possível que os criminosos tenham planejado o redirecionamento destes sites, ou planejam fazê-lo mais tarde.

Variados

[ Fonte: Fabio Assolini, Analista de Vírus — ARIS/Linha Defensiva ]

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

6 Comments

  1. Acredito que instalei este trojan em meun pc.

    Curtir

    Responder

  2. Parabens.

    Isso significa que voces estão no caminho certo e começam a incomodar esses eXpertos.
    Abraços,
    CGJunior

    Curtir

    Responder

  3. Mais uma modalidade dos bankers. :-(

    Curtir

    Responder

  4. Somos melhores do que eles. Eles só se acham…

    Curtir

    Responder

  5. Eles já sabem com a LD detona eles, agora é guerra! Vamos contribuir a cada dia mais com a Linha Defensiva para que estes crackers se dêem mal.

    Parabéns LD!

    Curtir

    Responder

  6. Parabéns Altieres! Vocês estão na rota dos lammers, que criam bankers! Mas se bloqueiam o LD, CDH e o meu fórum estão no ar ou seja não adianta nada!

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s