Por Fabio Assolini

Ao investigar a denúncia deixada por um leitor em um comentário no site, a Linha Defensiva verificou que uma página no site da companhia de celular Oi foi comprometida e usada por criminosos para instalar vírus Banker — ladrão de senhas bancárias — no computador dos visitantes.

Reproduçãooi

Applet Java carregou a praga

A praga foi instalada em uma página bastante popular, usada pelos internautas para o envio de torpedos SMS. Ao acessá-la, o usuário recebe um alerta de que um plugin Java não assinado precisa ser executado para poder enviar a mensagem SMS. Se o usuário o fizer, o malware é instalado no computador.

Depois de instalada, a praga se encarregará de mudar o arquivo hosts no computador, técnica chamada de banhost e muito comum em vírus brasileiros. Essa mudança irá fazer com que o usuário seja redirecionado para páginas clonadas dos bancos Santander, Itaú, Bradesco e Nossa Caixa.

A Linha Defensiva enviou um alerta para a Oi sobre o incidente. Até a publicação desta reportagem, menos de sete horas depois, o problema havia sido solucionado. No entanto, o Applet malicioso, hospedado no site “Oi FM”, ainda estava no ar.

A ferramenta de remoção de Bankers da Linha Defensiva BankerFix já remove os arquivos criados pela infecção.

Não é a primeira vez que a Linha Defensiva noticia um incidente de segurança envolvendo a Oi. Em setembro de 2007 o site da companhia foi comprometido através de um iframe malicioso que tinha a mesma função de infectar os usuários visitantes do site.

Detalhes técnicos
Reproduçãohosts1

Redirecionamentos levam à páginas clonadas

Nesse incidente um applet em Java foi inserido na página de torpedos da Oi. O arquivo .class, pertencente ao applet está hospedado no site da OI FM, que também foi comprometido e usado no golpe. O applet baixa para o computador do usuário um executável localizado em outro site legítimo: humorbabaca.com/news4/[REMOVIDO].

A praga também cria os arquivos C:INSO.exe, que irá alterar o arquivo hosts da máquina; e o C:Arquivos de ProgramasNOSO03.log, que tem a função de guardar as informações colhidas nos sites de banco visitados. Posteriormente, esse arquivo é enviado para o criminoso.

Até a publicação da reportagem, o malware causador da infecção tinha uma baixa taxa de detecção. No serviço de análise VirusTotal, apenas cinco antivirus detectavam a praga.

Os IPs adicionados ao arquivo hosts da máquina infectada hospedam para páginas falsas, que após denuncia foram retirados do ar, invalidando o golpe. Um computador infectado pela praga nesse momento receberá uma mensagem de erro do navegador ao tentar acessar os sites dos bancos citados.

As demais partes envolvidas também foram avisadas pela Linha Defensiva para que tomem as providências necessárias.

Anúncios

Escrito por Redação Linha Defensiva

11 comentários

  1. Thiago Alves 19/05/2009 às 14:52

    Olá,

    Após ler o alerta sobre o vírus Banker, disseminado, após infiltrarem o arquivo, pela pagina da Oi fiz alguns testes em relação aos efeitos e se eu mesmo o possuía. Garantindo minha segurança, fui verificar se os sites, esses que o vírus te redireciona e vi que TODOS estão ativos! Só achei que deveria te informar, afinal, você afirmou que o vírus tinha se tornado inutil uma vez que os sites estavam desabilitados.

    Att!

    Curtir

    Responder

  2. Obrigado Thiago pelo aviso, reportamos novamente as paginas falsas para que sejam removidas.

    Curtir

    Responder

  3. Fernando Sullivan 19/05/2009 às 23:51

    Olá,
    Além dos sites estarem ativos, já reportado acima, como vocês afirmam que realmente a página estava infectada ? Qual a URL do site oifm que estava ou está o Applet ? Como o Applet era chamado ? Através de que ? Em que parte da página de torpedo havia uma chamada para o site do Oi FM, como vocês afirmam ?

    Att,

    Curtir

    Responder

  4. Fernando Sullivan

    Considerando que o problema no site já foi solucionado, de nada adianta termos “provas” como screenshots e trechos de código. Qualquer coisa desse tipo poderia ser facilmente falsificada e impossível de verificar. (Porque, se você quer uma screenshot, há uma aqui mesmo na matéria, inclusive referenciando a origem do applet (oifm))

    “Como o Applet era chamado” e “Através de que” são respondidas de forma simples: uma tag , oras. A referência ao Oi FM era do próprio applet (atributo archive), como mostra a screenshot.

    Sobre o endereço do applet, a Linha Defensiva tem como política editorial não revelar o endereço completo a pragas digitais, como fazem as principais empresas de segurança. Mas já que você tanto parece duvidar da nossa reportagem, o endereço para o applet é
    oifm.oi.com.br/adm_img/oi.jpg

    (Dica: o arquivo não é uma figura. Até a publicação do comentário, ele estava online).

    Curtir

    Responder

  5. Cai nesse golpe, só que meu antivirus detectou o executavel INSO, queria saber se ainda corro algum risco de ser lesado??? Não acessei nenhum dos sites citados, e o arquivo NOSO03.log ainda ficou na unidade C: mesmo depois que o arquivo foi detectado, há algum problema??

    Curtir

    Responder

  6. Carlos henrique almeida 20/05/2009 às 15:04

    Fui infectado, mas ainda nao consegui fazer devidamente a limpeza. inclusive baixei o bankerfix disponibilizado na seção de downloads do site da linhadefensiva.

    Aproveito para parabenizar aos que fazer a “Linhadefensiva” por mais essa descoberta.

    Cordialmente,

    Curtir

    Responder

  7. Plinio Esmerio 20/05/2009 às 18:51

    Depois de infectado removi os arquivos criados e também apaguei o conteúdo do arquivo hosts. Aparentemente tudo voltou ao normal, nenhum antivirus ou ferramenta detectou nada anormal no meu computador.
    Hoje o site já está limpo mas quando descobri a praga tentei entrar em contato com algum representante do site mas os emails sempre retornavam com msg de caixa de mensagem cheia.

    Existe algum email pra informar casos assim? Pois deixei o comentário na outra matéria e não acreditava que ele seria ao menos lido por algum responsável.

    Abraços

    Curtir

    Responder

  8. Plinio

    Os comentários no Linha Defensiva. Leio e aprovo pessoalmente cada comentário que vai ao ar. :)

    Você pode denunciar casos assim ao ARIS. Os meios de contato estão na página “encaminhe e-mail suspeito“.

    Curtir

    Responder

  9. Liberdade total para Hackers só na Oi!

    Oi, sempre inovando no conceito de liberdade! Temos liberdade até para pegar um banker na página deles, inteiramente de graça e sem contrato!

    Curtir

    Responder

  10. Thiago Alves
    As páginas já estão fora do ar.

    Frank
    Se o seu antivirus barrou a execução do arquivo, então você não está infectado. Porém, verifique como está o seu arquivo hosts.

    Curtir

    Responder

  11. Meu computador foi infectado com este vírus. O antivírus detectou, mas sempre que entrava no site do banco era direcionada para a página clone. Só consegui resolver após ler o artigo de vocês. Entrei no arquivo hosts e estava idêntico ao que vocês publicaram. Mandei tudo para a lixeira. Agora a página do banco abre normalmente. A única dúvida que tenho é se ainda corro algum perigo, pois não consegui excluir o tal de NOS003.log.
    Estou evitando usar o e-mail da oi, pois tenho percebido anexos estranhos nas mensagens que recebo e tenho certeza que não foram enviados por quem enviou as mensagens. Parabéns e muito obrigada por divulgar informações. Me ajudaram muito!
    Um abraço!
    Sandra.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s