Criminosos virtuais voltaram a atacar e alterar um site conhecido com o intuito de infectar internautas. Esta semana foi a vez do site da Dupla Victor e Leo, onde um código malicioso injetado na página fez com que os usuários fossem convidados a executar um software ladrão de senhas bancárias.
Técnica da Invasão
Essa técnica tira proveito de um componente conhecido como Java Web Start. Ele permite que softwares sejam executados no sistema a partir de uma página web. Códigos em Java são normalmente restritos e não podem realizar nenhuma atividade maliciosa, sendo considerados seguros.
Com o Java Web Start, no entanto, é possível “burlar” as permissões normais do Java, mas uma mensagem de confirmação aparece nesses casos. Se o usuário aceitar, o programa será executado com as mesmas permissões que qualquer outro software no PC da vítima. Em outras palavras, clicar em “Run” na janela do Java é o mesmo que baixar e dar dois cliques em um arquivo executável.
>>> Site da dupla Victor e Leo é alterado para distribuir praga digital
O Cracker injeta o código malicioso no site para disseminar um vírus. Os invasores fizeram com que os visitantes recebessem um aviso para executar um suposto plugin. Se a execução do “plugin” fosse confirmada, o computador do internauta era infectado por um cavalo de troia capaz de roubar senhas bancárias.
Em nota: “Informamos que os usuários que clicaram numa falsa janela de ‘clique em Run – Adobe Flash Player 10.0.015.7’ para execução de arquivo, é que podem ter tido o seu computador infectado. Portanto, a recomendação é que usuários que tenham acessado o portal www.victoreleo.com no período de 07h00 de 01.10.2009 até às 08h00 de 10.11.2009, e que tenham executado o falso arquivo, evitem acessar sites de bancos até que façam uma verificação de segurança em seu computador".
O fato ocorrido no site foi descoberto por um Analista e administrador de redes, Elton Domingues Ferreira. Ele visitou o portal do Victor e Leo às 12:30h de Sexta-Feira (06/11/2009) e executou o falso plugin – no Linux – e estranhou o comportamento do site. Cerca de 40 minutos depois, notou alterações na pasta de usuário e verificou que a origem foi do site da dupla Victor e Leo. Como o ataque usou o Java, que é multiplataforma, o código tentou criar no Linux os mesmos arquivos do que no Windows, mas falhou.
O código responsável por disseminar a praga digital foi retirado na manhã de Terça-Feira (9/11/2009), segundo comunicado da equipe desenvolvedora do site a B2W, não é possível saber quando exatamente ele foi colocado na página.
Quem foi infectado deverá tentar atualizar o antivírus e fazer um exame completo no disco. Verificar manualmente o arquivo HOSTS para zerá-lo também é uma alternativa.
Arquivo Hosts
O arquivo hosts está presente em todos os sistemas operacionais. Ele vem praticamente em branco, mas é possível adicionar “traduções” personalizadas ali. O sistema preferirá usar o arquivo hosts a consultar o DNS e, com isso, é possível usá-lo para redirecionar ou bloquear sites. Vírus também podem usá-lo maliciosamente e, para saber se você está infectado com uma praga desse tipo, basta abrir o arquivo hosts e verificar.
A maneira mais fácil de abrir o arquivo, no Windows, é usando o comando Executar, disponível no menu Iniciar. (Em qualquer versão, mas especialmente no Windows Vista, no qual ele não consta por padrão, o Executar pode ser aberto usando a combinação tecla Windows+R.) O seguinte comando deve ser digitado (ou você pode simplesmente copiar e colar):
notepad %WINDIR%\system32\drivers\etc\hosts
O arquivo hosts é um arquivo de texto simples, então o melhor programa para se usar é um editor como o Bloco de Notas. “%WINDIR%” é uma variável que indica o caminho da pasta Windows. Ela será “traduzida” para C:\WINDOWS ou seja qual for o local onde você instalou o sistema operacional. Estamos usando essa variável para que mesmo aqueles que instalaram o Windows em local diferente possam usar o mesmo comando.
Por padrão, o hosts tem apenas uma informação para traduzir o nome “localhost” para o endereço IP 127.0.0.1. Esse endereço IP, chamado de “loopback”, é o endereço que a máquina pode usar para se conectar nela mesma. Não é um IP válido fora do próprio computador.
Elton Domingues
Curitiba-PR
Fonte: Correio Metropolitano - Elton Domingues Ferreira
Nenhum comentário:
Postar um comentário