Publicamos recentemente sobre um trojan que transfere o saldo disponível na conta bancária da vítima para uma conta que já vem programada no código do virus. Hoje a Linha Defensiva encontrou um outro virus que também realiza uma transferência entre contas, mas este se conecta a um servidor para receber os dados da conta destino. A praga instala um complemento no Internet Explorer. No momento, o funcionamento do vírus parece restrito ao Banco do Brasil, mas criminosos poderiam, sem muita dificuldade, adaptar o código para outros bancos.
Complemento com extensão .txt no Internet Explorer. (Foto: Reprodução)
Assim que o vírus é instalado, ele já começa a se comunicar com o seu servidor de controle e avisar que a máquina foi infectada. No momento que a vítima logar no Internet Banking, os dados da agência, número da conta e senha serão enviados para o criminoso. A praga exibe para a vítima a informação de que o site está em manutenção, enquanto consulta o saldo disponível e realiza a transferência. Os dados da transação e da conexão ao servidor malicioso ficam registrados em arquivos temporários, que o vírus apaga ao finalizar a ação.
O complemento malicioso foi instalado apenas no Internet Explorer, mas possui um código mal programado. Assim que o navegador é iniciado, ele entra em loop (repetição) infinito até provocar um erro de memória. O sistema para de responder e é preciso reiniciar o sistema – um comportamento indesejado para o vírus, que certamente acabará sendo notado devido a esse erro.
A Linha Defensiva está providenciando os relatórios para denunciar o servidor do criminoso. A partir da próxima atualização o BankerFix removerá o vírus por completo, mas os arquivos já são removidos por vários antivírus.
Linha Defensiva 