Vírus aproveita tragédia no Realengo para roubar senhas bancárias

Está circulando na internet um e-mail com um link para um “vídeo” sobre um suspeito de ser comparsa de Wellington Menezes de Oliveira, o atirador que matou 12 crianças em escola no Rio de Janeiro. O link tenta se passar por um video no Youtube, mas na verdade é um programa (“.exe”) que, se executado, instala um cavalo de troia que rouba dados bancários do computador da vítima.

Caixa de download do suposto vídeo.

Quando o programa disfarçado de vídeo é executado, aparentemente nada acontece. Algumas janelas piscam por alguns segundos e depois somem. A partir de então, o ladrão de senhas está agindo, embora não se possa visualizá-lo. A informação é de uma análise da Linha Defensiva, que recebeu o e-mail através de denúncias de usuários que encaminham emails suspeitos.

A recomendação é não abrir o e-mail e sempre duvidar de mensagens que tragam notícias muito curiosos, especialmente sobre fatos que estão em grande destaque na imprensa.

Detalhes técnicos

O código malicioso cria um arquivo executável dentro na pasta sistema e esse arquivo é carregado com o Windows. Ele ainda modifica o arquivo Hosts, direcionando vários sites de bancos para uma página falsa desses bancos. O trojan também bloqueia acesso ao Hotmail e MSN. Ao acessar o internet banking ou tentar logar no MSN, os dados digitados são coletados e enviados para um banco de dados. A tela do MSN apresenta erro de login ou senha, pelo fato do software não conseguir se conectar ao Hotmail, visto que está bloqueado pelo arquivo Hosts, mas enquanto isso o login do usuário já foi roubado.

A Linha Defensiva está providenciando a denúncia destes servidores e solicitando, junto aos orgãos competentes, que os arquivos maliciosos sejam removidos do ar. Em breve o Bankerfix fará a remoção da praga.