Página Brasil-pesquisa.pw, normalmente encontrada junto da infecção. (Foto: Reprodução)

Página Brasil-pesquisa.pw, normalmente encontrada junto da infecção. (Foto: Reprodução)

A equipe da Linha Defensiva analisou um vírus que muda a página inicial dos navegadores para uma página de busca chamada “Brasil-Pesquisa” e constatou que a praga é brasileira e tem como alvo o roubo de senhas de bancos brasileiros. A página redirecionada também é beneficiada financeiramente através de anúncios do Google Adsense e de uma busca personalizada, mas não se sabe qual a relação da página com a praga digital.

A praga usa o Active Desktop, o que faz com que a página inicial do navegador fique como um papel de parede da Área de Trabalho. Desabilita a Restauração de Sistema e várias configurações de segurança da máquina, e também bloqueia o acesso ao Painel de Controle, Prompt de Comando, Gerenciador de Tarefas, ferramentas de remoção de vírus e também de análise de malwares.

A praga também lê um arquivo de configuração do FileZilla, possivelmente roubando senhas desse software. O FileZilla é um software de FTP e as senhas armazenadas nele normalmente dão acesso a websites.

O vírus é tecnicamente um worm, pois ele se espalha através de pastas compartilhadas na rede e através de mídias de armazenamento removível, ocultando as pastas pessoais das vítimas e criando atalhos com o mesmo nome dos arquivos/pastas pessoais. O atalho aponta para o executável do malware, que é um script e também está oculto na mídia.

O código malicioso também gera um alto tráfego de dados para o endereço etpsoprc.ru, localizado na Rússia, do qual ele baixa novos scripts e arquivos de configuração.

O worm é capaz de infectar desde o Windows XP ao Windows 7, incluindo os 64 bits.

Outras versões do Windows não foram observadas, portanto a Linha Defensiva não pode afirmar se a praga é compatível também com o Windows 8 ou não.

A praga tem como alvo os clientes pessoa física e jurídica dos principais bancos brasileiros e tem uma alta capacidade de propagação. Tudo isso demonstra o empenho dos criminosos brasileiros em busca de novas técnicas para infectar uma quantidade maior de computadores, além de dificultar a remoção da praga.

Detalhes técnicos

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

13 comentários

  1. Otima analise ! Ja enfretei muito dessa praga em diversos ambientes. Creio que o grande diferencial dessa praga é por ser inicializada por um arquivo .js . Muitas soluções descartam a analise em cima dessa extensao, e novas variantes estao sendo criadas.

    Curtir

    Responder

  2. Olá, será que tem uma forma automática de retirar essa pagina que fica abrindo, já removi as pragas, e o pc voltou ao normal, só resta essa pagina que fica abrindo quando o pc inicia.

    Curtir

    Responder

    1. cara ontem dia 19/08 tive esse problema fui baixar um programa e ai veio um monte de porcaria junto inclusive um trojan e as minhas paginas mudaram todas e nao tem como mudar isso de geito nenhum tive que restaurar o sistema mesmo assim demostrou um erro na hora restaurar mais consiguir quem sabe nao consiga amigo ..essa porcaria mexe no registro do windows …esse e do bravo hem abrç

      Curtir

      Responder

    2. MariaCristina 20/08/2013 às 21:10

      Richard,

      Eu não conheço uma forma de limpeza automática neste caso, porque os arquivos que ele cria são aleatórios. Talvez as empresas antivírus possam futuramente desenvolver uma vacina com base em assinaturas ou heurística. Para remover a página, resete as configurações do Internet Explorer, em Opções de Internet > guia “Avançadas”, e marque a caixinha para remover todas as configurações pessoais. Limpe o histórico de navegação e arquivos temporários do sistema.

      Curtir

      Responder

  3. Paulo Sollo 20/08/2013 às 17:17


    que o vírus foi identificado os antivírus devem se atualizar para
    bloquear este vírus. Caso alguém seja infectado vão ter que formatar o
    computador.Sempre é bom ter um backup de tudo em uma mídia externa. Eu não clico em mais nada,nem mesmo links de amigos que podem está propagando vírus. Só verifico sites confiáveis.

    Curtir

    Responder

  4. Pois é, faz uns quatro meses que estou infectado com este infame.. Já fiz tentativa guiada pelos assistentes do linha defensiva, ficou melhor por um tempo (embora a página inicial pesquisa brasil NUNCA tenha sido desgrudada do Opera), mas recentemente voltou.
    Que bom que finalmente os especialistas se deram conta da existência da praga. E que notícia interessante saber que rouba senhas de acesso ao banco!

    Legal seria saber qual anti é capaz de evitar a infecção, pq a coisa é do mal mesmo. O Kaspersky removal que era capaz de remover das outras vezes, agora está provocando tela azul..
    Sei que é feia a coisa!

    Curtir

    Responder

  5. Cassio Silva 11/09/2013 às 21:34

    MariaCristina parabéns pela análise. Espero que possa postar logo logo uma maneira de bloquear o script.

    Curtir

    Responder

  6. O domínio foi criado no dia 28 de abril desse ano, o cara usou dados falsos(obvio) para registrar esse domínio, o “safado” que tá querendo disseminar essa praga comprou mais 2 domínios, um com a terminação “.COM” e outro com a terminação “.IN”
    será que esse ¨$¨$&¨&%&#$ não tem o que fazer além de tentar querer ficar roubando os outros

    Curtir

    Responder

  7. ” Para continuar sua navegação, execute o módulo de segurança do Google ” , to com esse problema , alguém me ajuda por favor :(

    Curtir

    Responder

    1. Cassio Silva 21/10/2013 às 16:00

      Sugiro que procure a equipe de remoção de vírus, assim poderá ser melhor atendido..

      Curtir

      Responder

  8. “… mas não se sabe qual a relação da página com a praga digital.”
    Tá Brincando né, Ricardo Lewandowski. Só pode.

    Curtir

    Responder

  9. Neto Vieira 08/11/2013 às 11:36

    Eu tbm tô com esse problema há alguns meses, mas eu consegui instalar um antvirus pelo mode de segurança, depois disso consegui abrir o CCleaner e outros programas anti-virus,depois de mais um tempo meu microsift security essensials me dava mensagens de arquivos q deviam ser excluidos e eu sempre os excluia,após isso a página brasil pesquisa quando iniciada mostrava Http proibido e dava um codigo de erro, meu painel de controle voltou a abrir, mas de dois dias pra ca a página voltou a mostrar sua bandeira verde-amarela,contudo o pc esta normal,painel de controle, antivirus e ate as atualizaçoes do windows (7 no meu caso), so fico com o pé atras se esse virus rouba senha de redes sociais e email tbm

    Curtir

    Responder

  10. Já existem vacinas na base de dados de algum anti-malware?

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.