TROJAN

TROJANS QUE ROLBA SENHAS DE BANCOS BLOQUEIA LINHA DEFENCIVA


A Linha Defensiva obteve acesso a um trojan que, ao infectar um sistema, torna o site inacessível. O código malicioso adiciona uma linha ao arquivo HOSTS que redireciona o site da Linha Defensiva (linhadefensiva.uol.com.br) para o IP “127.0.0.1″, o que efetivamente torna a página indisponível. Além deste site, o trojan também bloqueia o VirusTotal, sites de companhias antivírus como Grisoft, TrendMicro e BitDefender e sites anti-spyware como SpywareInfo e Bleeping Computer.
O cavalo de tróia é um ladrão de senhas de banco. É brasileiro, mas, além dos servidores de plugins de segurança de banco, o Linha Defensiva é o único site nacional cujo acesso é impedido pelo vírus. Entre os demais sites bloqueados, que não pertencem a companhias antivírus, apenas um, o VirusTotal, está disponível em português.
Também há notícia da existência de um trojan que redireciona a Linha Defensiva para o site da Polícia Federal (www.dpf.gov.br), mas uma cópia deste trojan até agora não foi encontrada pela nossa equipe. É possível que os redirecionamentos tenham o objetivo de inutilizar o BankerFix, que poderia remover a praga.
Para capturar as senhas, a praga usa o mesmo método de redirecionamento pelo Hosts; abaixo segue a lista dos domínios inseridos no Hosts. Os sites bloqueados retornam um erro, enquanto os redirecionados parecem carregar normalmente, mas a vítima estará em uma página falsa controlada pelo criminoso.
Bloqueados
Plugins de banco
wwws.realsecureweb.com.br
clickbanking.unibanco.com.br
www14.bancobrasil.com.br
imagem.caixa.gov.br
bdu.bmb.com.br
Empresa de Antivírus
www.grisoft.cz
www.grisoft.com
guru.grisoft.com
free.grisoft.com
www.trendmicro.com
upgrade.bitdefender.com
Sites de segurança
www.bleepingcomputer.com
www.virustotal.com
linhadefensiva.uol.com.br
www.spywareinfo.com
Redirecionados
Bancos
caixa.com.br
www.caixa.com.br
caixa.gov.br
www.caixa.gov.br
cef.com.br
www.cef.com.br
cef.gov.br
www.cef.gov.br
caixaeconomicafederal.com.br
www.caixaeconomica.com.br
www.caixaeconomicafederal.com.br
unibanco.com.br
www.unibanco.com.br
nossacaixa.com.br
www.nossacaixa.com.br
real.com.br
www.real.com.br
bancoreal.com.br
www.bancoreal.com.br
bb.com.br
www.bb.com.br
bancodobrasil.com.br
www.bancodobrasil.com.br
bancobrasil.com.br
www.bancobrasil.com.br
itau.com.br
www.itau.com.br
bradesco.com.br
www.bradesco.com.br
Sem redirecionamento
Não há alteração na visita a estes sites, mas o trojan está configurado para inserir entradas com estes domínios no HOSTS. É possível que os criminosos tenham planejado o redirecionamento destes sites, ou planejam fazê-lo mais tarde.
Variados
credicarditau.com.br
www.credicarditau.com.br
credicardciti.com.br
www.credicardciti.com.br
mercadolivre.com
www.mercadolivre.com
mercadolivre.com.br
www.mercadolivre.com.br
serasa.com
www.serasa.com
serasa.com.br
www.serasa.com.br
www.equifax.com.br
www.checkcheck.com.br