A Linha Defensiva obteve acesso a um trojan que, ao infectar um sistema, torna o site inacessível. O código malicioso adiciona uma linha ao arquivo HOSTS que redireciona o site da Linha Defensiva (linhadefensiva.uol.com.br) para o IP “127.0.0.1”, o que efetivamente torna a página indisponível. Além deste site, o trojan também bloqueia o VirusTotal, sites de companhias antivírus como Grisoft, TrendMicro e BitDefender e sites anti-spyware como SpywareInfo e Bleeping Computer.

O cavalo de tróia é um ladrão de senhas de banco. É brasileiro, mas, além dos servidores de plugins de segurança de banco, o Linha Defensiva é o único site nacional cujo acesso é impedido pelo vírus. Entre os demais sites bloqueados, que não pertencem a companhias antivírus, apenas um, o VirusTotal, está disponível em português.

Também há notícia da existência de um trojan que redireciona a Linha Defensiva para o site da Polícia Federal (www.dpf.gov.br), mas uma cópia deste trojan até agora não foi encontrada pela nossa equipe. É possível que os redirecionamentos tenham o objetivo de inutilizar o BankerFix, que poderia remover a praga.

Para capturar as senhas, a praga usa o mesmo método de redirecionamento pelo Hosts; abaixo segue a lista dos domínios inseridos no Hosts. Os sites bloqueados retornam um erro, enquanto os redirecionados parecem carregar normalmente, mas a vítima estará em uma página falsa controlada pelo criminoso.

Bloqueados

Plugins de banco

  • wwws.realsecureweb.com.br
  • clickbanking.unibanco.com.br
  • www14.bancobrasil.com.br
  • imagem.caixa.gov.br
  • bdu.bmb.com.br

Empresa de Antivírus

Sites de segurança

Redirecionados

Bancos

Sem redirecionamento

Não há alteração na visita a estes sites, mas o trojan está configurado para inserir entradas com estes domínios no HOSTS. É possível que os criminosos tenham planejado o redirecionamento destes sites, ou planejam fazê-lo mais tarde.

Variados

[ Fonte: Fabio Assolini, Analista de Vírus — ARIS/Linha Defensiva ]

Escrito por Altieres Rohr

Editor da Linha Defensiva.

6 comentários

  1. Acredito que instalei este trojan em meun pc.

    Curtir

    Responder

  2. Parabens.

    Isso significa que voces estão no caminho certo e começam a incomodar esses eXpertos.
    Abraços,
    CGJunior

    Curtir

    Responder

  3. Mais uma modalidade dos bankers. :-(

    Curtir

    Responder

  4. Somos melhores do que eles. Eles só se acham…

    Curtir

    Responder

  5. Eles já sabem com a LD detona eles, agora é guerra! Vamos contribuir a cada dia mais com a Linha Defensiva para que estes crackers se dêem mal.

    Parabéns LD!

    Curtir

    Responder

  6. Parabéns Altieres! Vocês estão na rota dos lammers, que criam bankers! Mas se bloqueiam o LD, CDH e o meu fórum estão no ar ou seja não adianta nada!

    Curtir

    Responder

Deixe uma resposta para IGORESO Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.