Ir direto para o menu
Ir direto para o conteúdo
Altieres Rohr | 22/09/2007 - 02h53
A Linha Defensiva tomou conhecimento ontem (21/09), às 22:46, de que o site da operadora de telefonia Oi — www.oi.com.br — estaria infectado e servindo um cavalo de tróia que rouba senhas de banco (Banker). A presença do código malicioso foi confirmada por testes da equipe de análise da Linha Defensiva e, de acordo informações de um atendente da Oi, a empresa de telefonia já estaria ciente do problema existente em seu site.
O código malicioso servido pelo site é capaz de roubar senhas de banco. O ladrão de senhas possui um tamanho de 13,7MB — um tamanho pouco otimizado para pragas digitais, considerando-se que tamanhos menores favorecem a instalação rápida do vírus. Este componente do vírus, chamado de Windows32.exe, é detectado por diversos antivírus. Outro componente da praga, de 5MB, foi detectado por apenas 3 dos 33 antivírus do site VirusTotal.
O vírus é instalado por meio de uma falha de segurança no Internet Explorer: qualquer usuário de Internet Explorer que não estiver com o patch instalado e visitar o site malicioso terá seu computador infectado automaticamente, sem a necessidade de autorizar a execução ou o download de qualquer arquivo.
Logo depois de ser instalado, o trojan desativa o firewall embutido do Windows XP e tentará remover o programa de segurança G-Buster Browser Defense, comumente instalado pelos bancos.
O site www.oi.com.br continua infectado até o momento da publicação desta matéria. É provável que o código malicioso tenha sido colocado no site em uma invasão executada pelos próprios criadores do ladrão de senhas. Acessos pelos endereços www.telemar.com.br e www.novaoi.com.br não resultam em uma infecção.
A ferramenta de remoção gratuita BankerFix, da Linha Defensiva, foi atualizada para remover cavalo de tróia. O Yahoo!, responsável pela hospedagem do vírus, e o MelbourneIT, serviço de registro usado pelo site malicioso, foram avisados para retirar a praga digital do ar.
[ Atualizado 22/09 - 18h59 ] O site da Oi continua servindo um “iframe” que redireciona ao site malicioso, mas o Yahoo!, que estava hospedando a página, retirou ela do ar. Com a página que estava servindo o vírus offline, o site não está mais infectando usuários. O domínio, no entanto, continua no ar, então o site pode ser novamente ativado pelos criminosos.
[ Atualizado 23/09 - 00h02] Nova verificação do site aponta que o “iframe” malicioso que estava presente na página da Oi foi removido.
Estas instruções servem para Windows 2000 e mais recentes:
No caso de Windows ME, 98/SE e 95:
Se a infecção for confirmada, o BankerFix pode ser usado para removê-la.
Vários outros sites foram vítimas de criminosos que modificaram as páginas de forma maliciosa para infectar visitantes. Recentemente, anúncios maliciosos circularam no Photobucket e no MySpace e o site do Banco da Índia foi alterado para instalar um ladrão de senha em seus visitantes.
Em janeiro de 2006, o fórum da fabricante de processadores AMD foi modificado para incluir um arquivo de imagem WMF malicioso que infectava usuários. Em abril deste ano, o mesmo ocorreu com o site da também fabricante de hardware ASUS.
Para evitar ser infectado neste tipo de situação em que um site legítimo é comprometido por criminosos, mantenha seu navegador atualizado usando o recurso de atualização automática. No caso do Internet Explorer, que é o alvo deste ataque, o Windows Update é uma alternativa, mas prefira as atualizações automáticas (que podem ser configuradas no Painel de Controle).
Se você utiliza um navegador como Firefox ou Opera, ainda é importante usar a versão mais recente. Estes navegadores possuem sistemas de atualização que irão lhe avisar quando uma correção de segurança está disponível.
