Zone-H - Unrestricted Information - Atualizado: Sites da OI usados para distribuição de vírus

Atualizado: Sites da OI usados para distribuição de vírus

Por Marcelo Almeida (Vympel)

04 de dezembro de 2008

Índice de Artigos
Atualizado: Sites da OI usados para distribuição de vírus
Página 2

Página 1 de 2

Recebi um e-mail interessante do meu amigo Kevin "Siegfried" Fernandez, no qual ele dizia que tinha um "applet java" estranho no site da OI para envio de torpedos. Ao acessar o site, para enviar um torpedo, seu sistema acusou a tentativa de execução de um arquivo java, que supostamente queria instalar o Flash Player 11, sendo que a versão atual é a 10.0.12.36.
Entrei no site da OI e vi que o código havia sido removido do html, mas os arquivos .jar ainda estavam hospedados no servidor, então decidi baixar os arquivos, e executar o vírus.

Dentro do arquivo Jar, tem um arquivo chamado de "isso.class", nele tem os dados para download do suposto flash 11, que na verdade, é o arquivo responsável pelo download das outras partes do vírus.
Uma das linhas continha o endereço para download
http://69.X.X..X/download/FlashPlayer.exe
E como ele deverá ser salvo para ser executado java/io/File > c:\FlashPlayer15.exe.
Assim que esta ferramenta se instala ele começa o download de outro arquivo a.dar dentro tem o arquivo ddass.exe...

Click em "Leia mais" pra continuar lendo

Depois de terminado o download deste segundo arquivo, duas linhas são adicionadas ao registro do Windows para iniciar o vírus junto com o boot do sistema.
Dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run são criadas as chaves:
ddass com o valor C:\Arquivos de programas\\ddtabases\ddass.exe
e
Windows32 como o valor c:\windows\system\system.exe

Dentro da pasta "arquivos de programas", onde o arquivo ddass fica "instalado" também é criado um arquivo chamado de ddas33.log

Este arquivo ddass.exe é o responsável pela alteração do arquivo hosts do windows adicionando as seguintes linhas:
#16
208.96.20.49 www.itau.com.br
208.96.20.49 www.itaupersonnalite.com.br
208.96.20.49 www.itauprivatebank.com.br
208.96.20.49 itau.com
208.96.20.49 itau.com.br
208.96.20.49 bankline.itau.com.br
208.96.20.50 www.santander.com.br
208.96.20.50 santander.com.br
#BUSTER
200.234.220.13 imagem.caixa.gov.br
200.234.220.13 www5.infoseg.gov.br

Como esta mudança, assim que um usuário digitar algum dos endereços como por exemplo o do banco Itaú, o site que irá aparecer é um site clonado e não o site verdadeiro da instituição.
Com isto o usuário irá fornecer seus dados reais a um site falso, o qual o phisher irá acessar para pegar as informações bancária dos correntistas que forem vítimas deste golpe.
Dentro do host onde está arquivado o vírus tem vários arquivos php onde o responsável vê a quantidade de pessoas que pegaram o vírus e quantos informações bancárias estão disponíveis para ele.

Um dos arquivos continha as seguintes linhas:
$i = file_get_contents('http://localhost/download/ver.php');
$oi = file_get_contents('http://portal2.oi.com.br/ponte/services/ver.php');
$jur = file_get_contents('http://localhost/download/vj.php');

Se observarmos o site atacado primeiramente era o http://mundooi2.oi.com.br/servicostorpedo/ mas achamos um segundo portal da OI com arquivos maliciosos dentro.
Isto nos leva a crer que o phisher tem acesso e controle dos servidores da OI.

Ontem no momento que analisávamos os vírus, o contador marcava 138.500 (máquinas infectadas com o vírus ou que fizeram 'GET' no arquivo), agora este número subiu para 149.262, mesmo sem as linhas do código estarem disponível para execução na página da OI, o que nos leva a crer que o phisher coloca e remove as mesmas de tempos em tempos, ou algo pior, tem algum funcionário que pode estar facilitando este "serviço".

Dos 37 maiores desenvolvedores de antivírus apenas 1 reconheceu o arquivo OI.JAR como arquivo malicioso
http://www.virustotal.com/pt/analisis/3e6dda19000f056528217ce5248929c8
E apenas 5 reconheceram o arquivo ddass.exe como vírus.
http://www.virustotal.com/pt/analisis/062372c67d8d81061aadc12e568eaed6

E em ambos os casos, os antivírus "da moda", AVG, Symantec Norton, Avast, Kaspersky, entre outros que são utilizados diariamente, não reconheceram os arquivos como sendo vírus.

Então lembre-se, ter um antivírus não significa nada, se seu sistema operacional e TODOS os demais softwares instalados não estiverem com a ÚLTIMA VERSÃO, e livres de qualquer problema de segurança. Já que o JAVA, por exemplo, estando desatualizado executa este vírus sem nenhuma notificação.

Site da OI usado para hospedar e distribuir o arquivo malicioso oi.jar
virus_down

Log ethercap:
filtro

Aqui podemos ver quando o vírus pega os dados para alteração do arquivo hosts.
IzE2DQoyMDguOTYuMjAuNDkgd3d3Lml0YXUuY29tLmJyDQoyMDguOTYuMjAuNDkgd3d3Lml0YXVwZXJzb25uYWxpdGUuY29tLmJy
DQoyMDguOTYuMjAuNDkgd3d3Lml0YXVwcml2YXRlYmFuay5jb20uYnINCjIwOC45Ni4yMC40OSBpdGF1LmNvbQ0KMjA4Ljk2LjIwLj
Q5IGl0YXUuY29tLmJyDQoyMDguOTYuMjAuNDkgYmFua2xpbmUuaXRhdS5jb20uYnINCjIwOC45Ni4yMC41MCB3d3cuc2FudGFuZG
VyLmNvbS5icg0KMjA4Ljk2LjIwLjUwIHNhbnRhbmRlci5jb20uYnINCiNCVVNURVINCjIwMC4yMzQuMjIwLjEzIGltYWdlbS5jYWl4YS5nb
3YuYnINCjIwMC4yMzQuMjIwLjEzIHd3dzUuaW5mb3NlZy5nb3YuYnI=

Decodificando este texto teremos:

#16
208.96.20.49 www.itau.com.br
208.96.20.49 www.itaupersonnalite.com.br
208.96.20.49 www.itauprivatebank.com.br
208.96.20.49 itau.com
208.96.20.49 itau.com.br
208.96.20.49 bankline.itau.com.br
208.96.20.50 www.santander.com.br
208.96.20.50 santander.com.br
#BUSTER
200.234.220.13 imagem.caixa.gov.br
200.234.220.13 www5.infoseg.gov.br

Código do site da OI que tentava instalar o vírus.
oi1

Arquivos usados pelo phishers em outro servidor.

down_virus

Contador do vírus, localizado em dois sites da OI:

portalver

oiver

Os hosts que foram vítimas destes golpes foram notificados, assim como o site da OI.

Instruções para remoção do vírus.

Atualização:
A Oi informou para imprensa, que não achou nada de anormal em seus sites e nós, é claro, não recebemos nenhuma resposta.
O estranho é que em todas as screenshots mostram exatamente o contrário.
Será que foi um ataque externo, produzido por um cracker, ou interno, realizado por um funcionário que tem acesso ilimitado ao sistema?
Todo servidor guarda inúmeros arquivos de logs, se eles não acharam as ferramentas e nem os logs, eles não procuraram direito, ou caso eles realmente não tenham achado nada (duvido muito), quer dizer que o cracker tem acesso ilimitado ao sistema, e eles já deveriam ter feito uma análise profunda neste servidor.
Gostaria de lembrar (ao pessoal que não acha nada) que esta não foi a primeira vez que isto ocorreu ao site da Oi, e já que "não acham nada", não deverá ser a última...

No sábado e no domingo várias empresas desenvolvedores de antivírus, realizaram atualização para seus produtos, e o código OI.JAR e o ddass.exe, agora são identificados como vírus para roubo de informações bancárias.

Abaixo segue o LOG do canal de denúncias da Oi:
04/12/2008 16:45 hs: Incidente aberto
05/12/2008 11:36 hs: Incidente em análise pela ICTS
05/12/2008 18:40 hs: Incidente encaminhado para Análise
05/12/2008 18:55 hs: Incidente encaminhado para Análise

Adicionar como favorito (181) |

Publique este artigo no seu site | Visualizado: 8275

Comentários (11)

	1. 07-12-2008 11:49
	Informações Parabens pelo otimo material. So gostaria de informar, que como voce teve o cuidado de ocultar o ip no screenshot do browser, mas nao fez o mesmo no SS do wireshark. So para ocultar a informação tambem []´s Registrado Denunciar

Anderson Silva

	2. 08-12-2008 03:05
	Analize dos IPS Desculpem-me mais fiz uma analize para descobrir qual era os provedores dos tais virus,desculpem se to fazendo algo errado, mais num consegui me conter, acho legal essas analizes e combates contra CRACKERS, tenho vontade de combater e trabalhar em empresasde proteção, parece aventura, segue abaixo: IP: 69.64.42.22 IP: 200.234.220.13 IP: 208.96.20.49 IP: 208.96.20.50 Visitante Denunciar