Resumo

Tipo Trojan
Aliases
  • HEUR:Trojan.Win32.Generic [ Kaspersky ]
  • Win32/TrojanDownloader.Banload.QJC [ NOD32 ]
Sistemas Afetados
  • Windows XP
  • Windows Vista
  • Windows 7
Tamanho Irrelevante
Dano Médio
Remoção Fácil
Notas

Descrição

Esta é outra praga específica dentro da classe dos Bankers, encontrada e analisada pela Linha Defensiva em outubro de 2011.

O trojan cria um componente no Internet Explorer para monitorar o acesso a sites de bancos. Quando a vítima entra no site e vai utilizar os serviços do internet banking, o trojan captura a senha digitada e intercepta a conexão, exibindo uma página falsa para distrair o usuário, enquanto ele acessa a conta bancária da vítima. Nesse momento ele passa a fazer transações bancárias, tais como consulta de saldo e extrato e transferência do saldo disponível para uma outra conta. O malware também captura senhas do Hotmail e MSN.

Esse tipo de ataque é chamado de man-in-the-middle ou, de forma mais específica, “man in the browser“.

O que diferencia esta praga do Banker que realiza empréstimos é a capacidade ler o “Captcha” – a imagem com letras distorcidas que o internauta deve reconhecer e digitar. Devido a esta proteção no serviço de Internet Banking do Banco do Brasil, a versão anterior da praga deixou de funcionar. O trojan foi então atualizado para “ler” as imagens e preencher o código como se fosse o correntista.

Infecção

A vítima é infectada após seguir um link presente em uma mensagem de e-mail fraudulenta.

Detalhes Técnicos

O trojan instala um um componente Browser Helper Object (BHO) no navegador Internet Explorer com o arquivo wbwi3189.dll. Esse arquivo fica localizado na pasta de instalação do Windows, normalmente C:Windows.

Componentes instalados pelo vírus
Arquivos
C:Windowswbwi3189.dll
Registro
[HKLMSOFTWAREClassesCLSID{B40BBAFC-C0D1-43AE-B24B-8771FA51D15F}]
[HKLMSOFTWAREClassesInterface{6D6FB0F2-D608-4C3E-B9CA-92BCD9254536}]
[HKLMSOFTWAREClassesTypeLib{37D5CA7B-2AE2-418C-AE71-F50E800A29CB}]
[HKLMSOFTWAREClassesXtray.clsXtray]

Carga Maliciosa

O objetivo principal desta praga digital é realizar fraudes bancárias. Para isso, o trojan usa uma técnica chamada de Man in the Middle (“homem no meio”), no qual o código controla diretamente o navegador do internauta infectado para realizar a fraude.

Ela ataca usuários de dois bancos e da rede Windows Live:

  1. Banco do Brasil
    O vírus é capaz de burlar o “captcha” (imagem com caracteres distorcidos que tem a função de verificar se um humano está logando no site – e não um código), consultar o saldo, extrato e fazer uma Transferência Eletrônica Disponível (TED) em nome da vítima.
  2. Santander
    Tem as mesmas funções que no Banco do Brasil, mas não tenta burlar o “captcha”.
  3. Windows Live
    Captura as senhas do Hotmail e Windows Live, e as envia para um banco de dados SQL.

O vírus está em constante contato com um servidor de banco de dados SQL para armazenar os dados roubados.

Recomendações

  • Manter o sistema, o navegador web e os plug-ins, como o Java e o Flash, atualizados para evitar falhas de segurança
  • Não clicar nos links de mensagens fraudulentas que chegam via e-mail
  • Cuidado ao navegar nas redes sociais e acessar links, mesmo que estes forem enviados por amigos

Alertas

Remoção

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.