A equipe da Linha Defensiva analisou um vírus que muda a página inicial dos navegadores para uma página de busca chamada “Brasil-Pesquisa” e constatou que a praga é brasileira e tem como alvo o roubo de senhas de bancos brasileiros. A página redirecionada também é beneficiada financeiramente através de anúncios do Google Adsense e de uma busca personalizada, mas não se sabe qual a relação da página com a praga digital.
A praga usa o Active Desktop, o que faz com que a página inicial do navegador fique como um papel de parede da Área de Trabalho. Desabilita a Restauração de Sistema e várias configurações de segurança da máquina, e também bloqueia o acesso ao Painel de Controle, Prompt de Comando, Gerenciador de Tarefas, ferramentas de remoção de vírus e também de análise de malwares.
A praga também lê um arquivo de configuração do FileZilla, possivelmente roubando senhas desse software. O FileZilla é um software de FTP e as senhas armazenadas nele normalmente dão acesso a websites.
O vírus é tecnicamente um worm, pois ele se espalha através de pastas compartilhadas na rede e através de mídias de armazenamento removível, ocultando as pastas pessoais das vítimas e criando atalhos com o mesmo nome dos arquivos/pastas pessoais. O atalho aponta para o executável do malware, que é um script e também está oculto na mídia.
O código malicioso também gera um alto tráfego de dados para o endereço etpsoprc.ru, localizado na Rússia, do qual ele baixa novos scripts e arquivos de configuração.
O worm é capaz de infectar desde o Windows XP ao Windows 7, incluindo os 64 bits.
Outras versões do Windows não foram observadas, portanto a Linha Defensiva não pode afirmar se a praga é compatível também com o Windows 8 ou não.
A praga tem como alvo os clientes pessoa física e jurídica dos principais bancos brasileiros e tem uma alta capacidade de propagação. Tudo isso demonstra o empenho dos criminosos brasileiros em busca de novas técnicas para infectar uma quantidade maior de computadores, além de dificultar a remoção da praga.
Otima analise ! Ja enfretei muito dessa praga em diversos ambientes. Creio que o grande diferencial dessa praga é por ser inicializada por um arquivo .js . Muitas soluções descartam a analise em cima dessa extensao, e novas variantes estao sendo criadas.
CurtirCurtir
Olá, será que tem uma forma automática de retirar essa pagina que fica abrindo, já removi as pragas, e o pc voltou ao normal, só resta essa pagina que fica abrindo quando o pc inicia.
CurtirCurtir
cara ontem dia 19/08 tive esse problema fui baixar um programa e ai veio um monte de porcaria junto inclusive um trojan e as minhas paginas mudaram todas e nao tem como mudar isso de geito nenhum tive que restaurar o sistema mesmo assim demostrou um erro na hora restaurar mais consiguir quem sabe nao consiga amigo ..essa porcaria mexe no registro do windows …esse e do bravo hem abrç
CurtirCurtir
Richard,
Eu não conheço uma forma de limpeza automática neste caso, porque os arquivos que ele cria são aleatórios. Talvez as empresas antivírus possam futuramente desenvolver uma vacina com base em assinaturas ou heurística. Para remover a página, resete as configurações do Internet Explorer, em Opções de Internet > guia “Avançadas”, e marque a caixinha para remover todas as configurações pessoais. Limpe o histórico de navegação e arquivos temporários do sistema.
CurtirCurtir
Já
que o vírus foi identificado os antivírus devem se atualizar para
bloquear este vírus. Caso alguém seja infectado vão ter que formatar o
computador.Sempre é bom ter um backup de tudo em uma mídia externa. Eu não clico em mais nada,nem mesmo links de amigos que podem está propagando vírus. Só verifico sites confiáveis.
CurtirCurtir
Pois é, faz uns quatro meses que estou infectado com este infame.. Já fiz tentativa guiada pelos assistentes do linha defensiva, ficou melhor por um tempo (embora a página inicial pesquisa brasil NUNCA tenha sido desgrudada do Opera), mas recentemente voltou.
Que bom que finalmente os especialistas se deram conta da existência da praga. E que notícia interessante saber que rouba senhas de acesso ao banco!
Legal seria saber qual anti é capaz de evitar a infecção, pq a coisa é do mal mesmo. O Kaspersky removal que era capaz de remover das outras vezes, agora está provocando tela azul..
Sei que é feia a coisa!
CurtirCurtir
MariaCristina parabéns pela análise. Espero que possa postar logo logo uma maneira de bloquear o script.
CurtirCurtir
O domínio foi criado no dia 28 de abril desse ano, o cara usou dados falsos(obvio) para registrar esse domínio, o “safado” que tá querendo disseminar essa praga comprou mais 2 domínios, um com a terminação “.COM” e outro com a terminação “.IN”
será que esse ¨$¨$&¨&%&#$ não tem o que fazer além de tentar querer ficar roubando os outros
CurtirCurtir
” Para continuar sua navegação, execute o módulo de segurança do Google ” , to com esse problema , alguém me ajuda por favor :(
CurtirCurtir
Sugiro que procure a equipe de remoção de vírus, assim poderá ser melhor atendido..
CurtirCurtir
“… mas não se sabe qual a relação da página com a praga digital.”
Tá Brincando né, Ricardo Lewandowski. Só pode.
CurtirCurtir
Eu tbm tô com esse problema há alguns meses, mas eu consegui instalar um antvirus pelo mode de segurança, depois disso consegui abrir o CCleaner e outros programas anti-virus,depois de mais um tempo meu microsift security essensials me dava mensagens de arquivos q deviam ser excluidos e eu sempre os excluia,após isso a página brasil pesquisa quando iniciada mostrava Http proibido e dava um codigo de erro, meu painel de controle voltou a abrir, mas de dois dias pra ca a página voltou a mostrar sua bandeira verde-amarela,contudo o pc esta normal,painel de controle, antivirus e ate as atualizaçoes do windows (7 no meu caso), so fico com o pé atras se esse virus rouba senha de redes sociais e email tbm
CurtirCurtir
Já existem vacinas na base de dados de algum anti-malware?
CurtirCurtir
HAHAHHA só vim lembrar dessa belezura que me deu um prejuízo enorme quando tive que formatar um computador lotado de informações (2014) … De certa forma eu acho incrível como age esses malwares, muito inteligente quem cria uma praga dessas ..
CurtirCurtir