quinta-feira, maio 07, 2009

Malware Atacando o Arquivo hosts

Um dos meus colegas teve o micro infectado por um malware esta semana. Embora os detalhes técnicos que tenha obtido são poucos, acho que a vale à pena relatar para a meia dúzia de seguidores do blog.

Que existem muitos malwares à solta todos nós sabemos. Ver uma máquina infectada (pelo menos para mim) não é tão comum. No caso do meu colega o susto fui imenso, pois ele estava iniciando o acesso ao banco quando percebeu que tinha algo estranho.

Ele não conseguiu descobrir como foi infectado nem achou uma descrição exata da peste, o mais aproximado foi http://www.threatexpert.com/report.aspx?md5=a2def6cc9d0cac3cc98f3970d86daed2.

O desgraçado substitui o arquivo hosts, que no Windows XP fica normalmente em C:\WINDOWS\system32\drivers\etc. O arquivo hosts alterado associa IPs falsos para as URLs de vários bancos, como Banco do Brasil, Nossa Caixa e Itaú; estes IPs falsos prevalecem sobre os informados pelo DNS (mais precisamente, quando uma URL é encontrada no hosts não é feita uma consulta DNS). Além disso instala um keylogger, para enviar ao bandido as senhas digitadas.

Felizmente o malware não toma cuidados muito grandes em se esconder e (aparentemente) foi removido à mão sem maiores dificuldades.

Detalhe: tudo isto aconteceu sob as barbas do AVG. Um scan do AVG também não reclamou de nenhum dos arquivos executáveis da praga.

Como dizia Mad-Eye Moody: CONSTANT VIGILANCE!

Um comentário:

Ricardo Oneda disse...

Daniel,

esse tipo de ataque, infelizmente, é comum, principalmente cadastrando IPs falsos para sites de instituições financeiras. Os tipos de cavalos-de-tróia que fazem isso, normalmente, não são tão fáceis de serem removidos. Posso parecer paranóico, mas minha sugestão é que seu colega reinstale a máquina.

Antivírus, em muitos casos, acabam sendo inúteis, porque é um malware muito específico. Como sempre quando se trata de segurança, outros fatores devem ser considerados: firewall (diria que é até mais importante que antivírus), atualizações do sistema operacional (e de outros softwares, principalmente browser) instaladas, além de não executar qualquer arquivo que chega por e-mail...