Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

05/12/2008 - IDG Now! Escrever Comentário Enviar Notícia por e-mail Feed RSS

Invasão no site da Oi dissemina vírus para cerca de 140 mil usuários

Por: Lygia de Luca


São Paulo - Usuários do serviço de torpedos sem atualização do Java foram afetados, diz Zone-H. Oi já removeu os malwares hospedados.O site da Oi foi usado para a disseminação de um vírus para os clientes que usaram o serviço para envio de torpedos online da operadora na quarta-feira (03/12), apontam testes do Zone-H Brasil.

O cientista da computação Marcelo Almeida, que fez os testes após ser notificado por Kevin Fernandez sobre a suspeita no site da Oi, identificada na quarta-feira (03/12), mostra, no Zone-H, que o endereço http://mundooi2.oi.com.br/servicostorpedo instalou um applet Java sem a permissão do usuário.

“Se o Java do usuário estiver desatualizado, ocorre um ataque de estouro de pilhas [conhecido tecnicamente como buffer overflow]. A primeira parte que é instalada é o applet Java e depois um cavalo-de-tróia, que vai baixar o vírus”, explica Almeida. Os dois primeiros estavam hospedados no site da Oi.

Almeida conta que “este executável altera arquivos de host do Windows e inclui URLs de bancos brasileiros que encaminham o usuário para um site clonado”.

A URL não muda no browser e, enquanto isso, os dados estão sendo roubados. O vírus é iniciado no primeiro boot do Windows - ou, às vezes, em reinicialização forçada pelo vírus, segundo Almeida - após este ser instalado.

A Oi foi avisada por Almeida sobre o problema em torno das 21h da quarta-feira (03/12). “Ela então removeu o vírus e o applet”, conta Almeida, que também avisou os servidores em que os IPs dos sites de bancos inclusos ali eram falsos.

“Todos os servidores do exterior com os quais entramos em contato já desativaram as páginas, e se o usuário baixou o applet e o vírus levar ao acesso, verá a mensagem de ‘página não encontrada’”, explica. Até a quinta-feira (04/12), apenas um servidor brasileiro ainda não tinha tirado os IPs falsos do ar.

Segundo o contador descoberto por Almeida no código do vírus, cerca de 140 mil usuários estavam infectados com o malware. Em testes no VirusTotal.com, apenas 1 de 37 antivírus identificaram o arquivo do applet Java como malicioso, e só 5 entre as 37 soluções reconheceram o executável como vírus.

Para saber se está contaminado, o usuário pode usar a busca de arquivos do Windows para encontrar os "ddaass.exe" e "OI.JAR". Além disso, é preciso localizar o arquivo de "hosts" do sistema e retirar a lista de endereços falsos inclusos no registro. "O único IP que deve haver ali é o 127.0.0.1. É uma norma internacional", explica Almeida. Mais detalhes podem ser vistos no post do Zone-H.

A Oi declara oficialmente que está analisando a questão.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 309 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal