Resumo

Tipo Trojan
Aliases
  • Trojan-Banker.Win32.Banbra.amdu [ Kaspersky ]
  • TrojanSpy:Win32/Bancos.AEV [ Microsoft ]
  • Trojan:Win32/Comisproc [ Microsoft ]
  • Mal/Bancos-Q [ Sophos ]
Sistemas Afetados
  • Windows XP
  • Windows Vista
  • Windows 7
Tamanho Irrelevante
Dano Médio
Remoção Fácil
Notas

Descrição

Esta é uma praga específica dentro da classe dos Bankers, encontrada e analisada pela Linha Defensiva em setembro de 2011.

O trojan cria um componente no Internet Explorer para monitorar o acesso a sites de bancos. Quando a vítima entra no site e vai utilizar os serviços do internet banking, o trojan captura a senha digitada e intercepta a conexão, exibindo uma página falsa para distrair o usuário, enquanto ele acessa a conta bancária da vítima. Nesse momento ele passa a fazer transações bancárias, tais como consulta de saldo, contratação de empréstimo e transferência do saldo disponível para uma outra conta.

Esse tipo de ataque é chamado de man-in-the-middle ou, de forma mais específica, “man in the browser“.

Infecção

A vítima é infectada após seguir um link presente em uma mensagem de e-mail fraudulenta.

Detalhes Técnicos

O trojan instala um um componente Browser Helper Object (BHO) no navegador Internet Explorer com o arquivo npdsplay2.dll e um arquivo executável (EXE) configurado na inicialização do Windows com o nome de mplayer2.exe. Ambos ficam em uma pasta chamada MessengerPlus criada na unidade raiz do sistema.

Ele também reduz a segurança do Internet Explorer e realiza uma alteração no registro para facilitar o acesso aos dados na Área de Transferência (Clipboard) – o local da memória em que ficam os dados do “Copiar/Colar”.

Componentes instalados pelo vírus
Arquivos
C:MessengerPlusmplayer2.exe
C:MessengerPlusnpdsplay2.dll
Registro
[HKCR CLSID {14E741E7-3F4D-481F-8793-6A6480379A69}]
[HKCU Software Microsoft Windows CurrentVersion Run wmplayer]
[HKCU Software Microsoft Windows CurrentVersion Policies Associations]
“LowRiskFileTypes” = [passe o mouse para ver o valor]
[HKCU Software Microsoft Windows CurrentVersion Policies Attachments]
“SaveZoneInformation” = 00000001
[HKLM Software Microsoft Internet Explorer Main FeatureControl FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMPT]
“iexplore.exe” =

Carga Maliciosa

O objetivo principal desta praga digital é realizar fraudes bancárias. Para isso, o trojan usa uma técnica chamada de Man in the Middle (“homem no meio”), no qual o código controla diretamente o navegador do internauta infectado para realizar a fraude.

Ela ataca usuários de três bancos:

  1. Banco do Brasil
    O vírus é capaz de consultar o saldo, realizar um empréstimo e fazer uma Transferência Eletrônica Disponível (TED) em nome da vítima.
  2. Itaú
    Tem as mesmas funções que no Banco do Brasil.
  3. Bradesco
    Captura os dados de agência, conta e senha, mas não realiza a fraude automaticamente.

O vírus está em constante contato com um servidor de banco de dados SQL para armazenar os dados roubados.

Recomendações

  • Manter o sistema, o navegador web e os plug-ins, como o Java e o Flash, atualizados para evitar falhas de segurança
  • Não clicar nos links de mensagens fraudulentas que chegam via e-mail
  • Cuidado ao navegar nas redes sociais e acessar links, mesmo que estes forem enviados por amigos

Alertas

Remoção

  • Baixe e instale o BankerFix
  • Reveja as configurações de segurança do Internet Explorer, através do Menu Opções da Internet > Segurança.
Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s