Resumo
| Tipo | Trojan |
|---|---|
| Aliases |
|
| Sistemas Afetados |
|
| Tamanho | Irrelevante |
| Dano | Médio |
| Remoção | Fácil |
| Notas | – |
Descrição
Esta é uma praga específica dentro da classe dos Bankers, encontrada e analisada pela Linha Defensiva em setembro de 2011.
O trojan cria um componente no Internet Explorer para monitorar o acesso a sites de bancos. Quando a vítima entra no site e vai utilizar os serviços do internet banking, o trojan captura a senha digitada e intercepta a conexão, exibindo uma página falsa para distrair o usuário, enquanto ele acessa a conta bancária da vítima. Nesse momento ele passa a fazer transações bancárias, tais como consulta de saldo, contratação de empréstimo e transferência do saldo disponível para uma outra conta.
Esse tipo de ataque é chamado de man-in-the-middle ou, de forma mais específica, “man in the browser“.
Infecção
A vítima é infectada após seguir um link presente em uma mensagem de e-mail fraudulenta.
Detalhes Técnicos
O trojan instala um um componente Browser Helper Object (BHO) no navegador Internet Explorer com o arquivo npdsplay2.dll e um arquivo executável (EXE) configurado na inicialização do Windows com o nome de mplayer2.exe. Ambos ficam em uma pasta chamada MessengerPlus criada na unidade raiz do sistema.
Ele também reduz a segurança do Internet Explorer e realiza uma alteração no registro para facilitar o acesso aos dados na Área de Transferência (Clipboard) – o local da memória em que ficam os dados do “Copiar/Colar”.
Componentes instalados pelo vírus
| Arquivos |
|---|
| C:MessengerPlusmplayer2.exe |
| C:MessengerPlusnpdsplay2.dll |
| Registro |
| [HKCR CLSID {14E741E7-3F4D-481F-8793-6A6480379A69}] |
| [HKCU Software Microsoft Windows CurrentVersion Run wmplayer] |
| [HKCU Software Microsoft Windows CurrentVersion Policies Associations] “LowRiskFileTypes” = [passe o mouse para ver o valor] |
| [HKCU Software Microsoft Windows CurrentVersion Policies Attachments] “SaveZoneInformation” = 00000001 |
| [HKLM Software Microsoft Internet Explorer Main FeatureControl FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMPT] “iexplore.exe” = |
Carga Maliciosa
O objetivo principal desta praga digital é realizar fraudes bancárias. Para isso, o trojan usa uma técnica chamada de Man in the Middle (“homem no meio”), no qual o código controla diretamente o navegador do internauta infectado para realizar a fraude.
Ela ataca usuários de três bancos:
- Banco do Brasil
O vírus é capaz de consultar o saldo, realizar um empréstimo e fazer uma Transferência Eletrônica Disponível (TED) em nome da vítima. - Itaú
Tem as mesmas funções que no Banco do Brasil. - Bradesco
Captura os dados de agência, conta e senha, mas não realiza a fraude automaticamente.
O vírus está em constante contato com um servidor de banco de dados SQL para armazenar os dados roubados.
Recomendações
- Manter o sistema, o navegador web e os plug-ins, como o Java e o Flash, atualizados para evitar falhas de segurança
- Não clicar nos links de mensagens fraudulentas que chegam via e-mail
- Cuidado ao navegar nas redes sociais e acessar links, mesmo que estes forem enviados por amigos
Alertas
–
Remoção
- Baixe e instale o BankerFix
- Reveja as configurações de segurança do Internet Explorer, através do Menu Opções da Internet > Segurança.
Links
- Metodologia detalhada da análise
- Threat Expert
- VirusTotal
Linha Defensiva 