Por Fabio Assolini
O ARIS-LD (Grupo de Análise e Resposta a Incidentes de Segurança da Linha Defensiva) obteve acesso à cavalos de tróia de origem brasileira que roubam senhas de banco (“bankers”) que trazem uma novidade: o uso de um programa anti-rootkit para eliminar os plugins de segurança requeridos por alguns bancos no acesso ao internet banking.
Pragas que apresentam este comportamento já são comuns e podem ser encontradas em falsas mensagens de e-mail (fraudes), recados em sites de redes sociais e falsas páginas de cartões virtuais. Após ser baixada e executada, a praga irá instalar no sistema uma uma versão reduzida do anti-rootkit UnHackMe, fabricado pela companhia de segurança Greatis Software.
Anti-rootkits
Um programa anti-rootkit tem a tarefa de encontrar e eliminar rootkits. Um programa deste tipo pode ser capaz de eliminar qualquer arquivo, já que rootkits estão entre as pragas de remoção mais complicada.
Não sabe o que é um rootkit? Verifique nossa definição.
Os plugins usados pelos bancos brasileiros tem o intuito de proteger seus usuários nas transações bancárias via rede. Uma vez instalados, são difíceis de serem removidos, mesmo quando causam problemas no sistema do usuário. Usando o UnHackMe (com os arquivos partizan.exe e partizan.rri), os trojans que tentam capturar as senhas das transações conseguem remover estes dispositivos de segurança e tornar o usuário vulnerável. O malware programa o UnHackMe para que este efetue a ação de remoção dos plugins quando o Windows for reiniciado.
Confusão entre antivirus
O fato de o UnHackMe, um software legítimo de segurança, estar sendo usado por uma praga digital para remover outros softwares de segurança tem causado certa confusão entre as empresas antivírus. Os softwares de segurança Norton Antivirus, da Symantec, e o Spyware Doctor, da PCTools, consideram os arquivos relacionados ao UnHackMe como parte da infecção, detectando-os como infectados.
Em um tópico no fórum técnico da Symantec, os desenvolvedores da Greatis Software reclamam que a detecção do arquivo partizan.exe é um falso positivo (detecção incorreta do antivírus). Na página da ferramenta no site da Greatis há um esclarecimento sobre o assunto para que usuários não pensem que o Partizan está infectado.
É importante ressaltar que o UnHackMe não é um vírus e que, sendo uma ferramenta, pode ser usado tanto de forma legítima como maliciosa.
Linha Defensiva 
É…a solução encontrada por estes hackers foi, digamos….genial.
e resume uma tendnência ainda pouco explorada, modificação de código fonte legítimo.
CurtirCurtir
Suspeito estar com esse vírus, pois sempre que acesso o site do banco, ele diz que não tenho um componente de segurança e pede pra instalar, se eu o faço, tudo bem, acesso normal, mas ao desligar o Pc e ligá-lo novamente o site do banco acusa a falta do arquivo novamente. O que devo fazer? Já utilizei o bankerfix, uso o Antivir PE, e o Ad-Aware SE.
CurtirCurtir