Por Fabio Assolini

Criminosos brasileiros encontraram uma forma de remover totalmente os plugins de segurança que os bancos usam para proteger os internautas durante as transações financeiras realizadas via Internet: drivers de sistema. Até o momento, esta nova arma tem obtido total sucesso em sua tarefa. inutilizando totalmente os plugins.

O ARIS-LD, Grupo de Análise e Resposta a Incidentes de Segurança da Linha Defensiva, teve acesso a uma dezena de arquivos criados com o objetivo de eliminar completamente os plugins dos bancos. Os trojans tentam realizar este procedimento de várias formas — desde simples comando de remoção até anti-rootkits. Muitas vezes, a tentativa acaba em fracasso — o que não é o caso dos drivers.

Com a remoção dos plugins de segurança, os programadores de vírus podem criar arquivos com intenções maliciosas e colocá-los exatamente na mesma localização dos arquivos legítimos, dificultando assim a identificação de um arquivo malicioso e as chances do usuário suspeitar de algum problema, além de roubar livremente os dados enviados ao sistema de internet banking.

Drivers

Drivers são programas responsáveis por várias tarefas, sendo a mais importante delas a comunicação do sistema operacional com componentes de hardware (vídeo, mouse, teclado). São em geral carregados automaticamente na inicialização do sistema operacional. A extensão de arquivo dos drivers é a .sys, porém podem existir drivers com outras extensões, como .drv. Muitas vezes é necessário configurar o sistema para não esconder os arquivos “protegidos pelo sistema operacional” antes que se possa ver este tipo de arquivo.

Por realizarem tarefas tão importantes, drivers possuem privilégios maiores no sistema operacional e são executados antes de outros programas. Se forem programados de forma descuidada, eles também podem facilmente afetar toda a estabilidade do computador.

Para proteger os usuários de drivers de origem duvidosa, a Microsoft assina digitalmente os drivers que a empresa sabe serem seguros[1. Esta assinatura é chamada de WHQL no Windows XP.]. O usuário é alertado no momento da instalação de algum driver de origem desconhecida (que não possui assinatura), já que estes não passaram pelo controle de qualidade e podem ser maliciosos ou instáveis.

Nos golpes analisados pelo ARIS-LD, os trojans brasileiros, como muitos outros que se valem de drivers, desativam os avisos de assinatura. Depois, instalam um arquivo de driver programado especialmente para remover os plugins. Quando o computador reiniciar e o driver recém-instalado for executado, os plugins serão removidos.

Alguns dos arquivos encontrados em análises do ARIS, cujos nomes deixam clara a sua intenção:

C:WINDOWSsystem32removegb.sys
C:WINDOWSsystem32gbfriend.sys
C:WINDOWSkernel32.sys
C:WINDOWSremovegb.sys
C:windowssystem32winered.sys
C:WINDOWSsystem32PLUG.SYS
C:windowssystem32wiiinnnzzzz.sys
C:Win.sys
C:Documents and SettingsAdministradorDados de aplicativosWin.sys

Os drivers maliciosos ainda não são detectados por alguns dos antivírus mais comuns; isto deve mudar em breve, conforme as atualizações sejam criadas. O ideal ainda é manter-se atento aos golpes que circulam na rede para não ser infectado. Quem já foi infectado pode utilizar o serviço gratuito de remoção de malware da Linha Defensiva.

Plugins também causam problemas

Várias instituições financeiras do Brasil exigem que os usuários façam instalem algum plugin antes que seja possível usar os serviços on-line. Grandes bancos como Banco do Brasil, Caixa Econômica Federal, Real, Banrisul, Bradesco, Unibanco, entre outros, exigem a instalação de algum programa do gênero. A instalação do plugin é efetuada logo no primeiro acesso ao serviço e geralmente acontece por meio de ActiveX.

A desinstalação dos plugins tende a ser difícil. Não é possível removê-los com os recursos de desinstalação oferecidos pelo Windows, como no “Adicionar/Remover Programas”. Se tais meios fossem habilitados, cavalos de tróia poderiam usá-los também. No passado, um plugin muito intrusivo chegou a utilizar técnicas de rootkit para esconder processos e camuflar sua presença.

Graças à este comportamento indesejável por parte dos plugins, não é raro encontrar usuários reclamando e afirmando que os mesmos causam diversos problemas, como lentidão e incômodas durante a navegação.

Outro problema comum são “alarmes falsos” gerados por alguns programas antivírus. No Fórum Linha Defensiva, aparece com certa freqüência um internauta dizendo que seu antivírus detectou algum arquivo que pertence a um plugin como vírus.

É bem possível que os desenvolvedores dos plugins tentem virar o jogo, adicionando proteções que impedem sua remoção por meio de drivers. Esta guerra, no entanto, irá resultar em programas de segurança cada vez mais intrusivos e complexos, que serão tão ruins e indesejados quanto o problema que se propõem a resolver.

Anúncios

Escrito por Redação Linha Defensiva

8 Comments

  1. As últimas considerações deste artigo, à respeito dos plugins, é de fato preocupante. Tive falsos positivos em cima do gbplugin da G-Buster, acusando um Banker. Mais: Toda vez que que o antivírus (Avira) tentava eliminar o gbplugin, ele inchava o winlogon.exe e a minha CPU atingia picos de 100% de processamento, prejudicando o desempenho do sistema.
    Em outro banco que utilizo, cujo plugin roda como um complemento do navegador, quando acessava o site da instituição, ele acabava por fechar meu player de música (AIMP2) e meu cliente de torrents (uTorrent).
    Só não concordo com a afirmação do artigo, de que no FUTURO esses plugins possam causar tantos inconvenientes quanto os malwares que eles combatem. Acredito porém, por experiência própria, que eles já estão assim HOJE.

    Curtir

    Responder

  2. Fausto

    Concordo contigo 100%. Fomos bonzinhos por não se tratar de um artigo explicitamente de opinião, mas minha opinião (não sei a do Fabio) é a de que estes plugins já são uma praga tão ruim quanto os trojans — tenho esta opinião desde que vi o “DAS” (Dispositivo Adicional de Segurança) do Banrisul (que é o Sniper, da Open Communications Security) usar um rootkit pra esconder os processos.

    Isto faz anos. Eles nem usam mais rootkit (sinal de que, provavelmente, muita gente teve problema).

    Não tenho coragem de instalar estes plugins nos meus PCs. Tenho pena de quem não tem escolha. Mas é certo que estes programas vão ficar cada vez piores, enquanto soluções mais inteligentes (como autenticação por celular) ficam na gaveta.

    Curtir

    Responder

  3. Lucas Soares 28/07/2008 às 09:35

    Meu conhecimento sobre plugins de segurança não é tão profundo quanto o dos senhores, no entanto eu gostaria de comentar um detalhe. É muito fácil falar que os plugins bancários utilizam rootkits. Por que não falam da segurança que eles trazem (ou tentam trazer) para o usuário? Acho que, ao invés do autor da matéria escrever sobre um possivel caos futuro, poderia escrever sobre o lado positivo da historia: ao inves de dizer que o usuário tem “algo estranho” instalado em seu computador (e trazer desconforto aos mais leigos que se deparam com a matéria), poderia ser dito sobre a segurança que as instituições financeiras oferecem aos seus clientes. Os plugins funcionam? Justifica instalar? A segurança existe?

    Curtir

    Responder

  4. Lucas Soares

    Os plugins são uma caixa preta. Não sabemos como funcionam. Nem os bancos explicam o que exatamente eles fazem. As páginas das empresas que os desenvolvem são puro marketing e contêm promessas exageradas e falsas (como a garantia de “não interferir com outros aplicativos”).

    O que sabemos é que trojans não param de aparecer e, embora alguns façam esforço pra remover os plugins, no mais eles parecem não existir.

    O que também sabemos é que não é possível desinstalá-los facilmente. Os únicos programas que você normalmente enfrenta dificuldades para remover são trojans, não softwares de segurança.

    Além de serem intrusivos para os usuários de Windows, usuários de outros sistemas operacionais (que nem são atacados por vírus — que ironia) não podem usar o internet banking, porque o plugin não está disponível.

    Imagine se, por exemplo, pudéssemos acessar o banco por meio de um LiveCD Linux. Problema resolvido, já que o LiveCD nunca tem vírus. Mas a maioria dos bancos, com sua burocracia tecnológica (em nome da “segurança”), não permite isso.

    Curtir

    Responder

  5. João Antônio 28/07/2008 às 17:17

    Na minha humilde opinião, acredito que ser roubado por um trojan é muito pior do que ter um plugin de segurança instalado na máquina.
    Achei a matéria bastante “interessante” pelo fato de alarmar usuários leigos quanto a presença de plugins de segurança e recomendar que seja usado o “software” de segurança da linha defensiva para remover pragas, que não remove em tempo real. Ou seja, se o usuário precisar remover o trojan usando apenas a solução da linha defensiva provavelmente o terá feito por já ter sido roubado.
    “Gostei” muito da ética profissional de vocês.
    Parabéns!

    Curtir

    Responder

  6. João Antônio

    Não é um software que é recomendado na matéria, é um serviço (gratuito, vale dizer). Pelo jeito você nem leu direito.

    Veja que citamos os arquivos maliciosos na matéria, de modo que você consegue identificar se está infectado ou não para pedir ajuda antes de ser roubado.

    Isto já derruba totalmente seu argumento, de que só vamos ajudar o usuário após ele ser roubado. A grande maioria dos usuários que ajudamos não foi roubado ainda. Vai no fórum e veja você mesmo. 50% das infecções são trojans deste tipo. Alguns possuem os plugins, outros não, mas servem de vetores para atacar aqueles que de fato vão usar o internet banking.

    Depois, se você está infectado com a praga descrita na matéria, os plugins de segurança já foram removidos. Só vale a pena alguma coisa se ela funciona. Vezes e mais vezes vemos casos em que os plugins falham, e as conseqüências de tê-los instalados ficam piores, porque precisam deter os trojans mais complexos.

    E perceba que estes plugins cobram dos bancos estas soluções. Os clientes e os bancos pagam por isso. Mas veja se são eles que enviam denúncias às empresas de hospedagem para evitar infecções. Pelo contrário, somos nós, que nem somos pagos por isso.

    Eles ganham dinheiro devido à existência de fraudes. Já o serviço prestado por nós é voluntário. De qualquer forma, o plugin não é uma escolha: todo mundo que for usar internet banking tem que instalar. Já o nosso serviço, não. E garanto que mesmo usuários com plugins precisam de ajuda, porque eles não resolvem o problema sempre (como vemos neste caso).

    Nossa ética é com os usuários e com os leitores. Penso que o dinheiro empregado pelos bancos nestes plugins é mal gasto. Este dinheiro poderia ser usado em coisas mais interessantes (como, por exemplo, uma autenticação de dois fatores de verdade, não esta enganação que é os tais de tokens).

    O fato é que os plugins complicam o Internet Banking, não permitindo que soluções mais simples funcionem. Mas é o tipo de coisa que acontece quando se tem dinheiro demais pra investir.

    Curtir

    Responder

  7. Resumindo o post acima:

    Se os plugins funcionassem, ninguém precisaria do nosso serviço.

    Curtir

    Responder

  8. Se os plugins fossem uma solução eficiente, os seus usuários seriam protegidos contra banhosts, páginas falsas, falhas de XSS entre outras tantas técnicas exploradas com sucesso pelos golpistas. Se os plugins fossem eficientes, ninguém seria roubado.
    Na minha opinião temos aí uma situação típica do velho ditado popular: “ruim com ele, pior sem ele”. Acho que passou da hora dos bancos questionarem esse método de proteção.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s