Eu tenho uma máquina com Windows em casa, e de uns dias para cá minha mulher estava reclamando da lentidão em iniciar o Windows.
Notei que após o carregamento, o HD continuava a funcionar por um longo período, portanto realmente havia coisa errada acontecendo.
A primeira coisa a fazer foi verificar qual processo era esse que estava solicitando tantas escritas/leituras.
No gerenciador de tarefas eu constatei que era um tal de find.exe
Fui dar uma verificada no msconfig, e eis que existia um tal de cssrc marcado como executável na inicialização, e o maldito encontrava-se em um diretório temporário.
Encontrado a praga… Mas o que diabos ele faz?
- Ele procura, por meio do find.exe, o prefs.js (um arquivo de configuração do Firefox);
- Ele procura, por meio do find.exe, o java.policy (um arquivo de configuração do Java, para habilitar o java applet);
- Altera a opção network.proxy.type para 2 (para habilitar o uso de proxy no Firefox);
- Altera a opção network.proxy.autoconfig_url (inserindo um endereço de um proxy externo no Firefox);
E o que isso significa?
Significa que toda a sua conexão será redirecionada para um proxy e será capturada… Isso inclui principalmente os seus logins/senhas.
O vírus foi elaborado para armazenar no proxy todos os dados que forem transmitidos via home-banking. Notei que TODOS os home-bankings brasileiros estavam sendo filtrados por esse proxy.
O que fazer?
- Desmarcar, via msconfig, a autoexecução do cssrc na inicialização do Windows;
- Deletar todo o conteúdo do diretório temporário (C:\Documents and Settings\USUÁRIO\Local Settings\Temp);
- Na barra de endereços do Firefox, digitar “about:config“
- Procurar pelo parâmetro network.proxy.type e alterar o valor de 2 para 0
- Procurar pelo parâmetro network.proxy.autoconfig_url e apagar todo o seu conteúdo.
Esse vírus não é exclusivo do Firefox, pois o IExplorer também é atingido por meio das alterações das seguintes chaves no registro do Windows:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings]
AutoConfigURL
EnableHttp1_1
ProxyEnable
ProxyHttp1.1
Os demais browsers, como por exemplo o Konqueror, Safari, Opera, etc NÃO são atingidos por esse vírus/trojan
Link do bugreport: https://bugzilla.mozilla.org/show_bug.cgi?id=503970 (talvez você não conseguirá ter acesso a ele, pois atualmente ele é um item de segurança).
24 Comentários até o momento
Deixe um comentário
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Renato,
Esse malware tem relação com a vunerabilidade no Compilador Javascript JIT?
Comment por José Luís Julho 15, 2009 @ 8:21 amJosé, pode ser que sim, pois esse worm entrou por alguma brecha de segurança que eu ainda não descobri qual é.
Comment por yamane Julho 15, 2009 @ 8:27 amE não foi pelo IE, pois minha esposa não usa o IE.
Qual a versão do seu Firefox? 3.5?
Comment por José Luís Julho 15, 2009 @ 8:30 amNão detalhei no comentário anterior, mas achei curioso esse ataque ocorrer no Windows. Será que, apesar da vulnerabilidade ser “multiplataforma”, o ataque é exclusivamente WIN32?
Comment por José Luís Julho 15, 2009 @ 8:34 amRenato,
Esse malware afetaria também o firefox linux? Existe algum variante que execute algum executável linux? Teoricamente, ele poderia usar o linux via wine.
Comment por Zé Reis Julho 15, 2009 @ 8:36 amMesmo via Wine esse worm não conseguirá infectar máquinas Linux
Comment por yamane Julho 15, 2009 @ 8:40 amEntendi o funcionamento do vírus mas minha dúvida é como o proxy externo vai capturar os dados digitados no site dos bancos sendo que todos trabalham com https no envio das informações. Como o talvez sniffer no proxy externo vai capturar estas informações!? Obrigado e parabéns pela matéria.
Comment por Petrus Julho 15, 2009 @ 8:45 amNesse caso o proxy armazena TODO o tráfego entre o seu computador e o home banking.
Comment por yamane Julho 15, 2009 @ 1:08 pmComo a criptografia é ligeiramente fraca (128bits) eu não descarto a possibilidade de descriptografar.
Como ele irá fazer eu não sei, mas a partir do momento que todos os seus dados estão sendo capturados, muitas “coisas ruins” podem acontecer
Comment por yamane Julho 15, 2009 @ 5:59 pm“…mais detalhes de como saber se você está infectado e como se proteger na página do Renato S. Yamane.”
Comment por Bolívar Julho 15, 2009 @ 9:39 amE os AV, não há nenhum que pegue esse vírus safado?
Comment por Ibraim Julho 15, 2009 @ 11:07 amTestei com o Avast, kaspersky, e mais alguns on-line… Nenhum detectou.
Comment por yamane Julho 15, 2009 @ 6:01 pmUma sugestão é que sempre que vc for remover na mão um malware no Windows, após, ter removido, reinicie a máquina via botão reset do computador. Quando o malware já está na memória, alguns não permitem serem finalizados e detectam que seu arquivo e configurações na HD foram modificados e eles se reestabelecem automaticamente ou quando a máquina é desligada via desligar do Windows.
Comment por Rafael Alves Julho 15, 2009 @ 11:16 amOutra dica é quando for desinfectar sua computador com Windows, inicie-o em modo de segurança. Alguns malwares não são iniciados quando em modo de segurança, assim aumenta as chances sucesso na desinfecção manual ou mesmo com anti-vírus (quando esse tem a vacina claro).
atinge o google chrome igualmente !
Comment por max P. Julho 15, 2009 @ 11:34 amNão, o Google Chrome não é atingido…
Comment por yamane Julho 15, 2009 @ 6:03 pmCerteza absoluta.
O código mostra que somente o IE e o Firefox são atingidos.
Então como explicar o que aconteceu comigo ? só uso o chrome … talvez seja uma variante do worm que vc viu .. e tive minha página do BB alterada como expliquei em :
http://infoexata.blogspot.com/2009/07/dns-poisioning-ou-problema-no-hosts-do.html
Comment por Max P Julho 15, 2009 @ 7:51 pmabraços !
Alguma coisa me diz que a falha não é do browser propriamente, mas de alguma coisa mais profunda do sistema, entre o kernel-w32 e a cadeira [:p]
(Não querendo ofender ninguém, mas sabemos o quanto a segurança demanda do usuário Windows muito cuidado com políticas de navegação, e outra, por se tratar de um trojan, os meios de contaminação são diversos e provavelmente não necessariamente por meio de um site ou um e-mail)
Comment por Maestro Bogs Julho 15, 2009 @ 1:03 pmSim, a infecção ocorreu por algum bug mais crítico que eu ainda não consegui saber qual é.
Comment por yamane Julho 15, 2009 @ 6:05 pmPorém o worm é bem específico para o Firefox e IE… Coisa que não ocorria a 1 ano atrás
Sim, a versão é 3.5 e o JIT foi desabiliado somente ontem.
Comment por yamane Julho 15, 2009 @ 8:32 amNo código do worm, nota-se que ele é exclusivo para a plataforma Windows, e atinge somente o Firefox e o IE.
Comment por yamane Julho 15, 2009 @ 8:36 amNo Linux o código do worm não funcionará, e também não funcionará nos demais browsers.
Não vou colocar o trecho do código aqui porque o pessoal poderá se inspirar nele.
Suponho que já o enviou para o bugreport…
Comment por José Luís Julho 15, 2009 @ 8:47 amSim, conforme descrito no último parágrafo do meu post.
Comment por yamane Julho 15, 2009 @ 6:00 pmMax, com certeza não é o mesmo worm encontrado por mim.
Comment por yamane Julho 16, 2009 @ 8:59 amVerifique se o arquivo HOSTS encontrado em %SystemRoot%\system32\drivers\etc não está alterado.
eu postei isso lah no meu blog… não , o hosts nao foi alterado, nem foi problema de DNS poisoning pq o linux (que usa o mesmo DNS) não foi afetado …
Comment por Max P Julho 16, 2009 @ 11:52 pmdeve ser realmente outro worm como você está dizendo(uma variante talvez) pois realmente afetou meu chrome (XP SP3) e criou o redirecionamento (inclusive o ip redirecionado estava lá) . Só consegui resolver o problema excluindo a chave do firefox como descrito e removendo todos meus arquivos temporários ! vlw e abraços !