Windows

Site da Oi é modificado para infectar visitantes

Hoje em uma das empresas onde trabalho, “surgiu” uma maquina infectada por um trojan, o antivirus (NOD32) detectou o arquivo, mas não conseguia exclui lo.
Utilizei o programa Process Explorer da microsoft para encontrar o processo e o mesmo utilizando uma de suas funções me direcionou para o site da Intercraft para obter informações a respeito do trojan.

Segue abaixo a materia, uma screen do Process Explorer indicando o serviço correspondente ao trojan e o processo para solucionar o problema.

A Linha Defensiva tomou conhecimento (21/09), às 22:46, de que o site da operadora de telefonia Oi — http://www.oi.com.br — estaria infectado e servindo um cavalo de tróia que rouba senhas de banco (Banker). A presença do código malicioso foi confirmada por testes da equipe de análise da Linha Defensiva e, de acordo informações de um atendente da Oi, a empresa de telefonia já estaria ciente do problema existente em seu site.

O código malicioso servido pelo site é capaz de roubar senhas de banco. O ladrão de senhas possui um tamanho de 13,7MB — um tamanho pouco otimizado para pragas digitais, considerando-se que tamanhos menores favorecem a instalação rápida do vírus. Este componente do vírus, chamado de Windows32.exe, é detectado por diversos antivírus. Outro componente da praga, de 5MB, foi detectado por apenas 3 dos 33 antivírus do site VirusTotal.

SysInternal

O vírus é instalado por meio de uma falha de segurança no Internet Explorer: qualquer usuário de Internet Explorer que não estiver com o patch instalado e visitar o site malicioso terá seu computador infectado automaticamente, sem a necessidade de autorizar a execução ou o download de qualquer arquivo.

Logo depois de ser instalado, o trojan desativa o firewall embutido do Windows XP e tentará remover o programa de segurança G-Buster Browser Defense, comumente instalado pelos bancos.

O site http://www.oi.com.br continua infectado até o momento da publicação desta matéria. É provável que o código malicioso tenha sido colocado no site em uma invasão executada pelos próprios criadores do ladrão de senhas. Acessos pelos endereços http://www.telemar.com.br e http://www.novaoi.com.br não resultam em uma infecção.

A ferramenta de remoção gratuita BankerFix, da Linha Defensiva, foi atualizada para remover cavalo de tróia. O Yahoo!, responsável pela hospedagem do vírus, e o MelbourneIT, serviço de registro usado pelo site malicioso, foram avisados para retirar a praga digital do ar.

Como saber se você está infectado
Estas instruções servem para Windows 2000 e mais recentes:

Aperte CTRL+SHIFT+ESC (segure CTRL e SHIFT ao mesmo tempo e então aperte ESC)
Clique na aba Processos
Se você encontrar o Windows32.exe na lista, você está infectado
No caso de Windows ME, 98/SE e 95:

Vá até o C:\
Verifique a presença de um arquivo chamado start
Vá até a pasta Arquivos de Programas
Confirme a presença de um arquivo chamado Windows32 que possui um ícone de programa de instalação
Se você encontrar estes dois arquivos, seu sistema está infectado
Se a infecção for confirmada, o BankerFix pode ser usado para removê-la.

Recomendações
Vários outros sites foram vítimas de criminosos que modificaram as páginas de forma maliciosa para infectar visitantes. Recentemente, anúncios maliciosos circularam no Photobucket e no MySpace e o site do Banco da Índia foi alterado para instalar um ladrão de senha em seus visitantes.

Em janeiro de 2006, o fórum da fabricante de processadores AMD foi modificado para incluir um arquivo de imagem WMF malicioso que infectava usuários. Em abril deste ano, o mesmo ocorreu com o site da também fabricante de hardware ASUS.

Para evitar ser infectado neste tipo de situação em que um site legítimo é comprometido por criminosos, mantenha seu navegador atualizado usando o recurso de atualização automática. No caso do Internet Explorer, que é o alvo deste ataque, o Windows Update é uma alternativa, mas prefira as atualizações automáticas (que podem ser configuradas no Painel de Controle).

Se você utiliza um navegador como Firefox ou Opera, ainda é importante usar a versão mais recente. Estes navegadores possuem sistemas de atualização automática que podem lhe avisar quando uma correção de segurança está disponível

Fonte

Download do BankerFix

Anúncios

Um comentário sobre “Site da Oi é modificado para infectar visitantes

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s