Atualizado: Sites da OI usados para distribuição de vírus

04/12/2008 Written by Marcelo Almeida (Vympel)

phishingRecebi um e-​mail inter­es­sante do meu amigo Kevin “Siegfried” Fer­nan­dez, no qual ele dizia que tinha um “applet java” estranho no site da OI para envio de tor­pe­dos. Ao aces­sar o site, para enviar um tor­pedo, seu sis­tema acu­sou a ten­ta­tiva de exe­cução de um arquivo java, que suposta­mente que­ria insta­lar o Flash Player 11, sendo que a ver­são atual é a 10.0.12.36.
Entrei no site da OI e vi que o código havia sido removido do html, mas os arquivos .jar ainda estavam hospeda­dos no servi­dor, então decidi baixar os arquivos, e exe­cu­tar o vírus.

Den­tro do arquivo Jar, tem um arquivo chamado de “isso.class”, nele tem os dados para down­load do suposto flash 11, que na ver­dade, é o arquivo respon­sável pelo down­load das out­ras partes do vírus.
Uma das lin­has con­tinha o endereço para down­load
http://69.X.X..X/download/FlashPlayer.exe
E como ele dev­erá ser salvo para ser exe­cu­tado java/​io/​File > c:\FlashPlayer15.exe.
Assim que esta fer­ra­menta se instala ele começa o down­load de outro arquivo a.dar den­tro tem o arquivo ddass.exe…

Click em “Leia mais” pra con­tin­uar lendo


Depois de ter­mi­nado o down­load deste segundo arquivo, duas lin­has são adi­cionadas ao reg­istro do Win­dows para ini­ciar o vírus junto com o boot do sis­tema.
Den­tro de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run são cri­adas as chaves:
ddass com o valor C:\Arquivos de programas\\ddtabases\ddass.exe
e
Windows32 como o valor c:\windows\system\system.exe

Den­tro da pasta “arquivos de pro­gra­mas”, onde o arquivo ddass fica “insta­l­ado” tam­bém é cri­ado um arquivo chamado de ddas33.log 

Este arquivo ddass.exe é o respon­sável pela alter­ação do arquivo hosts do win­dows adi­cio­nando as seguintes lin­has:
#16
208.96.20.49 www​.itau​.com​.br
208.96.20.49 www​.itau​per​son​nalite​.com​.br
208.96.20.49 www​.itaupri​vate​bank​.com​.br
208.96.20.49 itau​.com
208.96.20.49 itau​.com​.br
208.96.20.49 bankline​.itau​.com​.br
208.96.20.50 www​.san​tander​.com​.br
208.96.20.50 san​tander​.com​.br
#BUSTER
200.234.220.13 imagem​.caixa​.gov​.br
200.234.220.13 www5​.infoseg​.gov​.br

Como esta mudança, assim que um usuário dig­i­tar algum dos endereços como por exem­plo o do banco Itaú, o site que irá apare­cer é um site clon­ado e não o site ver­dadeiro da insti­tu­ição.
Com isto o usuário irá fornecer seus dados reais a um site falso, o qual o phisher irá aces­sar para pegar as infor­mações bancária dos cor­ren­tis­tas que forem víti­mas deste golpe.
Den­tro do host onde está arquiv­ado o vírus tem vários arquivos php onde o respon­sável vê a quan­ti­dade de pes­soas que pegaram o vírus e quan­tos infor­mações bancárias estão disponíveis para ele.

Um dos arquivos con­tinha as seguintes lin­has:
$i = file_get_contents(‘http://localhost/download/ver.php’);
$oi = file_get_contents(‘http://portal2.oi.com.br/ponte/services/ver.php’);
$jur = file_get_contents(‘http://localhost/download/vj.php’);

Se obser­var­mos o site ata­cado primeira­mente era o http://​mundooi2​.oi​.com​.br/​s​e​r​v​i​c​o​s​t​o​r​pedo/ mas achamos um segundo por­tal da OI com arquivos mali­ciosos den­tro.
Isto nos leva a crer que o phisher tem acesso e con­t­role dos servi­dores da OI.

Ontem no momento que anal­isá­va­mos os vírus, o con­ta­dor mar­cava 138.500 (máquinas infec­tadas com o vírus ou que fiz­eram ‘GET’ no arquivo), agora este número subiu para 149.262, mesmo sem as lin­has do código estarem disponível para exe­cução na página da OI, o que nos leva a crer que o phisher coloca e remove as mes­mas de tem­pos em tem­pos, ou algo pior, tem algum fun­cionário que pode estar facil­i­tando este “serviço”.

Dos 37 maiores desen­volve­dores de antivírus ape­nas 1 recon­heceu o arquivo OI.JAR como arquivo mali­cioso
http://​www​.virus​to​tal​.com/​p​t​/​a​n​a​l​i​s​i​s​/​3​e​6​d​d​a​19000​f​056528217​c​e​5248929c8
E ape­nas 5 recon­hece­ram o arquivo ddass.exe como vírus.
http://​www​.virus​to​tal​.com/​p​t​/​a​n​a​l​i​s​i​s​/​062372​c​67​d​8​d​81061​a​a​d​c​12​e​568​eaed6

E em ambos os casos, os antivírus “da moda”, AVG, Syman­tec Nor­ton, Avast, Kasper­sky, entre out­ros que são uti­liza­dos diari­a­mente, não recon­hece­ram os arquivos como sendo vírus.

Então lembre-​se, ter um antivírus não sig­nifica nada, se seu sis­tema opera­cional e TODOS os demais soft­wares insta­l­a­dos não estiverem com a ÚLTIMA VER­SÃO, e livres de qual­quer prob­lema de segu­rança. Já que o JAVA, por exem­plo, estando desat­u­al­izado exe­cuta este vírus sem nen­huma notificação.

Site da OI usado para hospedar e dis­tribuir o arquivo mali­cioso oi.jar
virus_down





















































Log ether­cap:
filtro




















































Aqui podemos ver quando o vírus pega os dados para alter­ação do arquivo hosts.
IzE2DQoyMDguOTYuMjAuNDkgd3d3Lml0YXUuY29tLmJyDQoyMDguOTYuMjAuNDkgd3d3Lml0YXVwZXJzb25uYWxpdGUuY29tLmJy
DQoyMDguOTYuMjAuNDkgd3d3Lml0YXVwcml2YXRlYmFuay5jb20uYnINCjIwOC45Ni4yMC40OSBpdGF1LmNvbQ0KMjA4Ljk2LjIwLj
Q5IGl0YXUuY29tLmJyDQoyMDguOTYuMjAuNDkgYmFua2xpbmUuaXRhdS5jb20uYnINCjIwOC45Ni4yMC41MCB3d3cuc2FudGFuZG
VyLmNvbS5icg0KMjA4Ljk2LjIwLjUwIHNhbnRhbmRlci5jb20uYnINCiNCVVNURVINCjIwMC4yMzQuMjIwLjEzIGltYWdlbS5jYWl4YS5nb
3YuYnINCjIwMC4yMzQuMjIwLjEzIHd3dzUuaW5mb3NlZy5nb3YuYnI=


Decod­i­f­i­cando este texto ter­e­mos:

#16
208.96.20.49 www​.itau​.com​.br
208.96.20.49 www​.itau​per​son​nalite​.com​.br
208.96.20.49 www​.itaupri​vate​bank​.com​.br
208.96.20.49 itau​.com
208.96.20.49 itau​.com​.br
208.96.20.49 bankline​.itau​.com​.br
208.96.20.50 www​.san​tander​.com​.br
208.96.20.50 san​tander​.com​.br
#BUSTER
200.234.220.13 imagem​.caixa​.gov​.br
200.234.220.13 www5​.infoseg​.gov​.br

Código do site da OI que ten­tava insta­lar o vírus.
oi1







































Arquivos usa­dos pelo phish­ers em outro servi­dor.

down_virus


 
Con­ta­dor do vírus, local­izado em dois sites da OI:

portalver

oiver


Os hosts que foram víti­mas destes golpes foram noti­fi­ca­dos, assim como o site da OI.


Instruções para remoção do vírus.

Atu­al­iza­ção:
A Oi infor­mou para imprensa, que não achou nada de anor­mal em seus sites e nós, é claro, não recebe­mos nen­huma resposta.
O estranho é que em todas as screen­shots mostram exata­mente o con­trário.
Será que foi um ataque externo, pro­duzido por um cracker, ou interno, real­izado por um fun­cionário que tem acesso ilim­i­tado ao sis­tema?
Todo servi­dor guarda inúmeros arquivos de logs, se eles não acharam as fer­ra­men­tas e nem os logs, eles não procu­raram dire­ito, ou caso eles real­mente não ten­ham achado nada (duvido muito), quer dizer que o cracker tem acesso ilim­i­tado ao sis­tema, e eles já dev­e­riam ter feito uma análise pro­funda neste servi­dor.
Gostaria de lem­brar (ao pes­soal que não acha nada) que esta não foi a primeira vez que isto ocor­reu ao site da Oi, e já que “não acham nada”, não dev­erá ser a última…

No sábado e no domingo várias empre­sas desen­volve­dores de antivírus, realizaram atu­al­iza­ção para seus pro­du­tos, e o código OI.JAR e o ddass.exe, agora são iden­ti­fi­ca­dos como vírus para roubo de infor­mações bancárias.

Abaixo segue o LOG do canal de denún­cias da Oi:
04/​12/​2008 16:45 hs: Inci­dente aberto
05/​12/​2008 11:36 hs: Inci­dente em análise pela ICTS
05/​12/​2008 18:40 hs: Inci­dente encam­in­hado para Análise
05/​12/​2008 18:55 hs: Inci­dente encam­in­hado para Análise


Share this content: