Por Fabio Assolini

O grupo de análises da Linha Defensiva ARIS-LD obteve acesso a uma praga brasileira desenvolvida especialmente para remover os softwares de segurança instalados no computador da vítima. A ferramenta de remoção de trojans brasileiros BankerFix, da Linha Defensiva, está entre as removidas pela praga.

O BankerFix foi criado pela Linha Defensiva em julho de 2006 e tem a função de remover ladrões de senhas bancárias de origem brasileira. Sua versão 2.0 foi baixada mais de 2,1 milhões de vezes. A versão atual, 3.0, está próxima de meio milhão de downloads. A base de dados da ferramenta é mantida com a contribuição dos internautas que enviam e-mails suspeitos e links de pragas brasileiras.

Além do BankerFix, a praga é programada para remover os softwares de segurança mais usados no Brasil, entre eles os antivirus AVG, Avast, NOD32, Norton Anti-Virus, os antispywares Spybot S&D e Ad-Aware e os firewalls Sygate e Norton Internet Security. Como outros ladrões de senha já fazem, há também a tentativa de eliminar os plugins de segurança usados pelos bancos brasileiros para proteger seus clientes durante as transações via internet.

O arquivo autoconvv.RRI é o que realiza a remoção dos arquivos durante a inicialização do sistema. Depois da infecção, isso deve ocorrer na próxima vez que o computador for ligado ou reiniciado.

Reprodução/ARIS-LD

Trecho da lista de arquivos removidos; BankerFix, Norton, Sygate e NOD32 estão entre os alvos

A praga ainda tem baixa taxa de detecção dos programas antivírus. Uma análise no serviço VirusTotal mostrou que, de 39 programas antivírus, apenas 16 identificaram o cavalo de troia.

Os arquivos criados por essa praga já são removidos pelo BankerFix. Refazer o download do programa é suficiente para torná-lo novamente operante.

Anúncios

Escrito por Redação Linha Defensiva

6 comentários

  1. Vixi, esse faz se pah vai fazer um regaço hein?! To usando o kaspersky, espero que não atinja ele também. E acredito que uma praga com essa não irá desencorar a equipe do Linha Defensiva de continuar com esse belo trabalho que é o Banker Fix.

    Um abraço!

    Curtir

    Responder

  2. CSC:Windowssystem32Contatos.dll
    25/2/2009 00:24:28 Suyneg 3000 CSC:Windowssystem32Contatos.dll
    25/2/2009 00:24:37 Suyneg 3000

    Essa p…. de banker ainda está no meu sistema, mesmo depois de eu ter baixado sua ferramenta BANKERFIX, executado ele várias vezes, o que eu faço agora ?

    Curtir

    Responder

  3. bem,que os criadores desses virus,poderiam usar seus conhecimentos para o “bem”!
    mais enfim….
    espero que isso não atinja o avast!
    bom se antigir…
    felizmente,temos o banker fix!
    excelente programa…

    abraço a toda equipe!

    Curtir

    Responder

  4. wilson

    Queira por gentileza enviar o arquivo para avs@linhadefensiva.org. Apos analise ele sera adicionado ao Bankerfix.

    Grato

    Curtir

    Responder

  5. Fernando Luiz 17/03/2009 às 00:18

    pela imagem parece que o arquivo vai direto no “C:”, o problema não seria simplesmente resolvido se passassemos a usar outra letra como raiz do sistema operacional?

    Curtir

    Responder

  6. Meu bankerfix não estava rodando, tive que baixar novamente. E minha base de dados do Ad-Aware SE Personal tb não atualizava. Desinstalei o Ad-Aware e agora não consigo baixar a nova versão. Cai a conexão.
    Já postei no fórum

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s