|
Programas
para roubar senhas proliferam no Brasil
A Network Associates (NAI) divulgou nesta semana a lista dos 10 piores
malware (códigos maléficos) para clientes brasileiros de Internet
Banking ou serviços financeiros. A lista é composta, em sua maioria, por
worms que se autopropagam por e-mail e roubam dados e senhas das vítimas.
A lista é liderada pelo Mimail, nas suas
variações Mimail.c e Mimail.i. O worm, que tem causado preocupação no
mundo inteiro, tenta furtar os dados do cartão de crédito da vítima
disfarçando-se de mensagem do serviço online PayPal, usado para transferência
de dinheiro. A mensagem não apenas usa o texto e um endereço falso para
enganar as vítimas, mas também contém um programa anexo, criado com o
logotipo do PayPal, que coleta as informações pessoais e dados de cartão
de crédito dos internautas.
Logo após as variantes do Mimail, a NAI
listou o worm Spybot.worm.rp, que furta nomes de usuário e senhas simples
da máquina infectada. Além disso, ele pode se espalhar automaticamente
por redes locais e tenta fazer conexões com servidores IRC (Internet
Relay Chat), abrindo as portas para atacantes que desejem controlar a máquina
infectada ou usá-la em ataques de negação de serviço (DoS). O Spybot
se esconde na pasta do sistema Windows e pode usar o nome "xbox64.exe"
ou "netd32.exe".
O quarto malware mais periogoso da lista
é o Darker.worm!p2p, worm que permite que atacantes controlem a máquina
infectada também via servidores IRC (Internet Relay Chat), além de
possibilitar o uso do sistema em ataques DoS. O Darker é distribuído por
e-mail disfarçado de "atualizações urgentes do Microsoft Windows
OutLook Express". O conteúdo do e-mail infectado anuncia as tais
atualizações falsas e também o arquivo anexo, chamado Av_patch.exe.
Caso o usuário execute esse arquivo, o Darker se copia para o diretório
do Windows com o nome de "svchost.exe" e cria uma chave de
registro para executar o worm sempre que o computador for reiniciado.
Depois de infectar a máquina, o worm se conecta com o servidor IRC
gotroot.darktech.org, entra num canal de bate-papo específico e lá
aguarda ordens remotas do atacante. Com isso, o atacante pode encerrar
mais de 500 processos no computador infectado, até mesmo programas antivírus
e firewall.
A quinta ameaça citada é o cavalo-de-Tróia
PWS-IM, que rouba informações bancárias e senhas capturadas do teclado
ou cliques do mouse. Segundo a NAI, existem muitas variantes desse trojan,
mas geralmente ele se instala na pasta do Windows com o nome
"wfwnet.exe". O PWS-IM cria vários arquivos na pasta Windows
para salvar os dados capturados, que são enviados para o e-mail
portal.001@terra.com.br. O trojan abre janelas do Internet Explorer com os
nomes dos principais bancos brasileiros, como Itaú, HSBC, Banerj,
Banco1.net, Sudameris, Real - ABN AMRO, Caixa Econômica Federal,
Bradesco, Banespa, além de Citibank e BankBoston.
O Keylog Spider é o próximo da lista de
malwares e também captura informações clicadas e digitadas na máquina
infectada, enviando-as para e-mails específicos. O Spider também se
instala na pasta Windows e a rotina dele é muito parecida com a do PWS-IM.
O sétimo malware citado foi o Naldem, que vem como spam para as vítimas
e avisa que "há um cartão eletrônico" disponível para o
internauta. O link, no entanto, causa um erro na máquina enquanto o vírus
infecta o sistema.
Logo em seguida, está o worm
Lovsan.worm.a,
que usa a vulnerabilidade do RPC DCOM do Windows, descrita no boletim
MS03-026, para fazer o download do worm Blaster, além de permitir que um
atacante controle a máquina infectada. O nono malware é o worm Nachi,
que também se aproveita da vulnerabilidade do RPC DCOM do Windows para
controlar a máquina. O décimo malware citado é o Spyware DCToolbar, que
chega por e-mail e é executado automaticamente para interceptar os endereços
da web visitados pelo Internet Explorer.
InfoGuerra
|
