Firefox alvo de vírus

Publicado: 13 de julho de 2009 em Sem-categoria
Tags:, ,

Eu tenho uma máquina com Windows em casa, e de uns dias para cá minha mulher estava reclamando da lentidão em iniciar o Windows.

Notei que após o carregamento, o HD continuava a funcionar por um longo período, portanto realmente havia coisa errada acontecendo.

A primeira coisa a fazer foi verificar qual processo era esse que estava solicitando tantas escritas/leituras.

No gerenciador de tarefas eu constatei que era um tal de find.exe

Fui dar uma verificada no msconfig, e eis que existia um tal de cssrc marcado como executável na inicialização, e o maldito encontrava-se em um diretório temporário.

Encontrado a praga… Mas o que diabos ele faz?

– Ele procura, por meio do find.exe, o prefs.js (um arquivo de configuração do Firefox);
– Ele procura, por meio do find.exe, o java.policy (um arquivo de configuração do Java, para habilitar o java applet);
– Altera a opção network.proxy.type para 2 (para habilitar o uso de proxy no Firefox);
– Altera a opção network.proxy.autoconfig_url (inserindo um endereço de um proxy externo no Firefox);

E o que isso significa?

Significa que toda a sua conexão será redirecionada para um proxy e será capturada… Isso inclui principalmente os seus logins/senhas.

O vírus foi elaborado para armazenar no proxy todos os dados que forem transmitidos via home-banking. Notei que TODOS os home-bankings brasileiros estavam sendo filtrados por esse proxy.

O que fazer?

– Desmarcar, via msconfig, a autoexecução do cssrc na inicialização do Windows;
– Deletar todo o conteúdo do diretório temporário (C:\Documents and Settings\USUÁRIO\Local Settings\Temp);
– Na barra de endereços do Firefox, digitar “about:config
– Procurar pelo parâmetro network.proxy.type e alterar o valor de 2 para 0
– Procurar pelo parâmetro network.proxy.autoconfig_url e apagar todo o seu conteúdo.

Esse vírus não é exclusivo do Firefox, pois o IExplorer também é atingido por meio das alterações das seguintes chaves no registro do Windows:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings]
AutoConfigURL
EnableHttp1_1
ProxyEnable
ProxyHttp1.1

Os demais browsers, como por exemplo o Konqueror, Safari, Opera, etc NÃO são atingidos por esse vírus/trojan

Link do bugreport: https://bugzilla.mozilla.org/show_bug.cgi?id=503970 (talvez você não conseguirá ter acesso a ele, pois atualmente ele é um item de segurança).

Anúncios
comentários
  1. Zé Reis disse:

    Renato,

    Esse malware afetaria também o firefox linux? Existe algum variante que execute algum executável linux? Teoricamente, ele poderia usar o linux via wine.

  2. Petrus disse:

    Entendi o funcionamento do vírus mas minha dúvida é como o proxy externo vai capturar os dados digitados no site dos bancos sendo que todos trabalham com https no envio das informações. Como o talvez sniffer no proxy externo vai capturar estas informações!? Obrigado e parabéns pela matéria.

    • yamane disse:

      Nesse caso o proxy armazena TODO o tráfego entre o seu computador e o home banking.
      Como a criptografia é ligeiramente fraca (128bits) eu não descarto a possibilidade de descriptografar.

    • yamane disse:

      Como ele irá fazer eu não sei, mas a partir do momento que todos os seus dados estão sendo capturados, muitas “coisas ruins” podem acontecer 🙂

  3. Bolívar disse:

    “…mais detalhes de como saber se você está infectado e como se proteger na página do Renato S. Yamane.”

  4. Ibraim disse:

    E os AV, não há nenhum que pegue esse vírus safado?

  5. Rafael Alves disse:

    Uma sugestão é que sempre que vc for remover na mão um malware no Windows, após, ter removido, reinicie a máquina via botão reset do computador. Quando o malware já está na memória, alguns não permitem serem finalizados e detectam que seu arquivo e configurações na HD foram modificados e eles se reestabelecem automaticamente ou quando a máquina é desligada via desligar do Windows.
    Outra dica é quando for desinfectar sua computador com Windows, inicie-o em modo de segurança. Alguns malwares não são iniciados quando em modo de segurança, assim aumenta as chances sucesso na desinfecção manual ou mesmo com anti-vírus (quando esse tem a vacina claro).

  6. max P. disse:

    atinge o google chrome igualmente !

    • yamane disse:

      Não, o Google Chrome não é atingido…
      Certeza absoluta.
      O código mostra que somente o IE e o Firefox são atingidos.

      • Max P disse:

        Então como explicar o que aconteceu comigo ? só uso o chrome … talvez seja uma variante do worm que vc viu .. e tive minha página do BB alterada como expliquei em :

        http://infoexata.blogspot.com/2009/07/dns-poisioning-ou-problema-no-hosts-do.html
        abraços !

      • yamane disse:

        Max, com certeza não é o mesmo worm encontrado por mim.
        Verifique se o arquivo HOSTS encontrado em %SystemRoot%\system32\drivers\etc não está alterado.

      • Max P disse:

        eu postei isso lah no meu blog… não , o hosts nao foi alterado, nem foi problema de DNS poisoning pq o linux (que usa o mesmo DNS) não foi afetado …
        deve ser realmente outro worm como você está dizendo(uma variante talvez) pois realmente afetou meu chrome (XP SP3) e criou o redirecionamento (inclusive o ip redirecionado estava lá) . Só consegui resolver o problema excluindo a chave do firefox como descrito e removendo todos meus arquivos temporários ! vlw e abraços !

  7. Maestro Bogs disse:

    Alguma coisa me diz que a falha não é do browser propriamente, mas de alguma coisa mais profunda do sistema, entre o kernel-w32 e a cadeira [:p]

    (Não querendo ofender ninguém, mas sabemos o quanto a segurança demanda do usuário Windows muito cuidado com políticas de navegação, e outra, por se tratar de um trojan, os meios de contaminação são diversos e provavelmente não necessariamente por meio de um site ou um e-mail)

    • yamane disse:

      Sim, a infecção ocorreu por algum bug mais crítico que eu ainda não consegui saber qual é.
      Porém o worm é bem específico para o Firefox e IE… Coisa que não ocorria a 1 ano atrás 🙂

  8. erick disse:

    Você salvou meu pc de ser formatado no meu caso um JS:Banker-AH erá criado toda vez que eu abria o firefox e ficava no cache 003 em uma das subpastas dos dados de aplicativos cheguei a abrir o cache e realmente tinha o nome de todos os bancos lá, o curioso é que quando eu estava com a internet desligada e iniciava o navegador ele não pegava nada.
    Meu problema era semelhante ao seu o vírus carregava no svchost e ficava acumulando carga na cpu até chegar a 100%, quando eu finalizava o processador voltava a 0%, na inicialização tinha uma chave só que não erá possível chegar no caminho e se eu deletasse ela voltava então entrei via linux e achei o diretório que eu não conseguia achar no winxp nem mostrando pastas e arquivos ocultos. Foi ai que o firefox começou a pegar esse trojan bastou eu trocar network.proxy.type para 0 já que antes estavá em 5 e parou não pegou mais trj.
    Desculpa falei demais mais você salvou meu firefox obrigado.
    Gostaria de saber como você descubriu essa config do firefox só por curiosidade já que eu quebrei a cabeça antes de ler o seu post. valeu! assinando rss aqui.

    • yamane disse:

      Que bom que esse post lhe ajudou!
      Esse worm simplesmente carrega um arquivo de “configuração” que está hospedado na internet… Por isso quando você estava desconectado o problema não ocorria.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s