A Linha Defensiva obteve acesso a um trojan que, ao infectar um sistema, torna o site inacessível. O código malicioso adiciona uma linha ao arquivo HOSTS que redireciona o site da Linha Defensiva (linhadefensiva.uol.com.br) para o IP “127.0.0.1″, o que efetivamente torna a página indisponível. Além deste site, o trojan também bloqueia o VirusTotal, sites de companhias antivírus como Grisoft, TrendMicro e BitDefender e sites anti-spyware como SpywareInfo e Bleeping Computer.
O cavalo de tróia é um ladrão de senhas de banco. É brasileiro, mas, além dos servidores de plugins de segurança de banco, o Linha Defensiva é o único site nacional cujo acesso é impedido pelo vírus. Entre os demais sites bloqueados, que não pertencem a companhias antivírus, apenas um, o VirusTotal, está disponível em português.
Também há notícia da existência de um trojan que redireciona a Linha Defensivawww.dpf.gov.br), mas uma cópia deste trojan até agora não foi encontrada pela nossa equipe. É possível que os redirecionamentos tenham o objetivo de inutilizar o BankerFix, que poderia remover a praga. para o site da Polícia Federal (
Para capturar as senhas, a praga usa o mesmo método de redirecionamento pelo Hosts; abaixo segue a lista dos domínios inseridos no Hosts. Os sites bloqueados retornam um erro, enquanto os redirecionados parecem carregar normalmente, mas a vítima estará em uma página falsa controlada pelo criminoso.
Bloqueados
Plugins de banco
- wwws.realsecureweb.com.br
- clickbanking.unibanco.com.br
- www14.bancobrasil.com.br
- imagem.caixa.gov.br
- bdu.bmb.com.br
Empresa de Antivírus
- www.grisoft.cz
- www.grisoft.com
- guru.grisoft.com
- free.grisoft.com
- www.trendmicro.com
- upgrade.bitdefender.com
Sites de segurança
- www.bleepingcomputer.com
- www.virustotal.com
- linhadefensiva.uol.com.br
- www.spywareinfo.com
Redirecionados
Bancos
- caixa.com.br
- www.caixa.com.br
- caixa.gov.br
- www.caixa.gov.br
- cef.com.br
- www.cef.com.br
- cef.gov.br
- www.cef.gov.br
- caixaeconomicafederal.com.br
- www.caixaeconomica.com.br
- www.caixaeconomicafederal.com.br
- unibanco.com.br
- www.unibanco.com.br
- nossacaixa.com.br
- www.nossacaixa.com.br
- real.com.br
- www.real.com.br
- bancoreal.com.br
- www.bancoreal.com.br
- bb.com.br
- www.bb.com.br
- bancodobrasil.com.br
- www.bancodobrasil.com.br
- bancobrasil.com.br
- www.bancobrasil.com.br
- itau.com.br
- www.itau.com.br
- bradesco.com.br
- www.bradesco.com.br
Sem redirecionamento
Não há alteração na visita a estes sites, mas o trojan está configurado para inserir entradas com estes domínios no HOSTS. É possível que os criminosos tenham planejado o redirecionamento destes sites, ou planejam fazê-lo mais tarde.
Variados
- credicarditau.com.br
- www.credicarditau.com.br
- credicardciti.com.br
- www.credicardciti.com.br
- mercadolivre.com
- www.mercadolivre.com
- mercadolivre.com.br
- www.mercadolivre.com.br
- serasa.com
- www.serasa.com
- serasa.com.br
- www.serasa.com.br
- www.equifax.com.br
- www.checkcheck.com.br
(By Chaib)
No comments:
Post a Comment