Posts com Tag ‘banco’

Firefox alvo de vírus

Publicado: 13 de julho de 2009 em Sem-categoria
Tags:, ,

Eu tenho uma máquina com Windows em casa, e de uns dias para cá minha mulher estava reclamando da lentidão em iniciar o Windows.

Notei que após o carregamento, o HD continuava a funcionar por um longo período, portanto realmente havia coisa errada acontecendo.

A primeira coisa a fazer foi verificar qual processo era esse que estava solicitando tantas escritas/leituras.

No gerenciador de tarefas eu constatei que era um tal de find.exe

Fui dar uma verificada no msconfig, e eis que existia um tal de cssrc marcado como executável na inicialização, e o maldito encontrava-se em um diretório temporário.

Encontrado a praga… Mas o que diabos ele faz?

– Ele procura, por meio do find.exe, o prefs.js (um arquivo de configuração do Firefox);
– Ele procura, por meio do find.exe, o java.policy (um arquivo de configuração do Java, para habilitar o java applet);
– Altera a opção network.proxy.type para 2 (para habilitar o uso de proxy no Firefox);
– Altera a opção network.proxy.autoconfig_url (inserindo um endereço de um proxy externo no Firefox);

E o que isso significa?

Significa que toda a sua conexão será redirecionada para um proxy e será capturada… Isso inclui principalmente os seus logins/senhas.

O vírus foi elaborado para armazenar no proxy todos os dados que forem transmitidos via home-banking. Notei que TODOS os home-bankings brasileiros estavam sendo filtrados por esse proxy.

O que fazer?

– Desmarcar, via msconfig, a autoexecução do cssrc na inicialização do Windows;
– Deletar todo o conteúdo do diretório temporário (C:\Documents and Settings\USUÁRIO\Local Settings\Temp);
– Na barra de endereços do Firefox, digitar “about:config
– Procurar pelo parâmetro network.proxy.type e alterar o valor de 2 para 0
– Procurar pelo parâmetro network.proxy.autoconfig_url e apagar todo o seu conteúdo.

Esse vírus não é exclusivo do Firefox, pois o IExplorer também é atingido por meio das alterações das seguintes chaves no registro do Windows:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings]
AutoConfigURL
EnableHttp1_1
ProxyEnable
ProxyHttp1.1

Os demais browsers, como por exemplo o Konqueror, Safari, Opera, etc NÃO são atingidos por esse vírus/trojan

Link do bugreport: https://bugzilla.mozilla.org/show_bug.cgi?id=503970 (talvez você não conseguirá ter acesso a ele, pois atualmente ele é um item de segurança).