Publicamos recentemente sobre um trojan que transfere o saldo disponível na conta bancária da vítima para uma conta que já vem programada no código do virus. Hoje a Linha Defensiva encontrou um outro virus que também realiza uma transferência entre contas, mas este se conecta a um servidor para receber os dados da conta destino. A praga instala um complemento no Internet Explorer. No momento, o funcionamento do vírus parece restrito ao Banco do Brasil, mas criminosos poderiam, sem muita dificuldade, adaptar o código para outros bancos.

Complemento no Internet Explorer (Foto: Reprodução)

Complemento com extensão .txt no Internet Explorer. (Foto: Reprodução)

Assim que o vírus é instalado, ele já começa a se comunicar com o seu servidor de controle e avisar que a máquina foi infectada. No momento que a vítima logar no Internet Banking, os dados da agência, número da conta e senha serão enviados para o criminoso. A praga exibe para a vítima a informação de que o site está em manutenção, enquanto consulta o saldo disponível e realiza a transferência. Os dados da transação e da conexão ao servidor malicioso ficam registrados em arquivos temporários, que o vírus apaga ao finalizar a ação.

O complemento malicioso foi instalado apenas no Internet Explorer, mas possui um código mal programado. Assim que o navegador é iniciado, ele entra em loop (repetição) infinito até provocar um erro de memória. O sistema para de responder e é preciso reiniciar o sistema – um comportamento indesejado para o vírus, que certamente acabará sendo notado devido a esse erro.

A Linha Defensiva está providenciando os relatórios para denunciar o servidor do criminoso. A partir da próxima atualização o BankerFix removerá o vírus por completo, mas os arquivos já são removidos por vários antivírus.

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s