Total Security - www.totalsecurity.com.br
Site da Oi é modificado para infectar visitantes
A Linha Defensiva tomou conhecimento ontem (21/09), às 22:46, de que o site da operadora de telefonia Oi — www.oi.com.br — estaria infectado e servindo um cavalo de tróia que rouba senhas de banco (Banker). A presença do código malicioso foi confirmada por testes da equipe de análise da Linha Defensiva e, de acordo informações de um atendente da Oi, a empresa de telefonia já estaria ciente do problema existente em seu site.
O código malicioso servido pelo site é capaz de roubar senhas de banco. O ladrão de senhas possui um tamanho de 13,7MB — um tamanho pouco otimizado para pragas digitais, considerando-se que tamanhos menores favorecem a instalação rápida do vírus. Este componente do vírus, chamado de Windows32.exe, é detectado por diversos antivírus. Outro componente da praga, de 5MB, foi detectado por apenas 3 dos 33 antivírus do site VirusTotal.
O vírus é instalado por meio de uma falha de segurança no Internet Explorer: qualquer usuário de Internet Explorer que não estiver com o patch instalado e visitar o site malicioso terá seu computador infectado automaticamente, sem a necessidade de autorizar a execução ou o download de qualquer arquivo.
Logo depois de ser instalado, o trojan desativa o firewall embutido do Windows XP e tentará remover o programa de segurança G-Buster Browser Defense, comumente instalado pelos bancos.
O site www.oi.com.br continua infectado até o momento da publicação desta matéria. É provável que o código malicioso tenha sido colocado no site em uma invasão executada pelos próprios criadores do ladrão de senhas. Acessos pelos endereços www.telemar.com.br e www.novaoi.com.br não resultam em uma infecção.
A ferramenta de remoção gratuita BankerFix, da Linha Defensiva, foi atualizada para remover cavalo de tróia. O Yahoo!, responsável pela hospedagem do vírus, e o MelbourneIT, serviço de registro usado pelo site malicioso, foram avisados para retirar a praga digital do ar.
[ Atualizado 22/09 - 18h59 ] O site da Oi continua servindo um “iframe” que redireciona ao site malicioso, mas o Yahoo!, que estava hospedando a página, retirou ela do ar. Com a página que estava servindo o vírus offline, o site não está mais infectando usuários. O domínio, no entanto, continua no ar, então o site pode ser novamente ativado pelos criminosos.
Fonte: Linha Defensiva
O código malicioso servido pelo site é capaz de roubar senhas de banco. O ladrão de senhas possui um tamanho de 13,7MB — um tamanho pouco otimizado para pragas digitais, considerando-se que tamanhos menores favorecem a instalação rápida do vírus. Este componente do vírus, chamado de Windows32.exe, é detectado por diversos antivírus. Outro componente da praga, de 5MB, foi detectado por apenas 3 dos 33 antivírus do site VirusTotal.
O vírus é instalado por meio de uma falha de segurança no Internet Explorer: qualquer usuário de Internet Explorer que não estiver com o patch instalado e visitar o site malicioso terá seu computador infectado automaticamente, sem a necessidade de autorizar a execução ou o download de qualquer arquivo.
Logo depois de ser instalado, o trojan desativa o firewall embutido do Windows XP e tentará remover o programa de segurança G-Buster Browser Defense, comumente instalado pelos bancos.
O site www.oi.com.br continua infectado até o momento da publicação desta matéria. É provável que o código malicioso tenha sido colocado no site em uma invasão executada pelos próprios criadores do ladrão de senhas. Acessos pelos endereços www.telemar.com.br e www.novaoi.com.br não resultam em uma infecção.
A ferramenta de remoção gratuita BankerFix, da Linha Defensiva, foi atualizada para remover cavalo de tróia. O Yahoo!, responsável pela hospedagem do vírus, e o MelbourneIT, serviço de registro usado pelo site malicioso, foram avisados para retirar a praga digital do ar.
[ Atualizado 22/09 - 18h59 ] O site da Oi continua servindo um “iframe” que redireciona ao site malicioso, mas o Yahoo!, que estava hospedando a página, retirou ela do ar. Com a página que estava servindo o vírus offline, o site não está mais infectando usuários. O domínio, no entanto, continua no ar, então o site pode ser novamente ativado pelos criminosos.
Fonte: Linha Defensiva
URL Fonte: http://www.totalsecurity.com.br/noticia/2033/visualizar/
Comentários