Por Fabio Assolini
O grupo de análises da Linha Defensiva ARIS-LD obteve acesso a uma praga brasileira desenvolvida especialmente para remover os softwares de segurança instalados no computador da vítima. A ferramenta de remoção de trojans brasileiros BankerFix, da Linha Defensiva, está entre as removidas pela praga.
O BankerFix foi criado pela Linha Defensiva em julho de 2006 e tem a função de remover ladrões de senhas bancárias de origem brasileira. Sua versão 2.0 foi baixada mais de 2,1 milhões de vezes. A versão atual, 3.0, está próxima de meio milhão de downloads. A base de dados da ferramenta é mantida com a contribuição dos internautas que enviam e-mails suspeitos e links de pragas brasileiras.
Além do BankerFix, a praga é programada para remover os softwares de segurança mais usados no Brasil, entre eles os antivirus AVG, Avast, NOD32, Norton Anti-Virus, os antispywares Spybot S&D e Ad-Aware e os firewalls Sygate e Norton Internet Security. Como outros ladrões de senha já fazem, há também a tentativa de eliminar os plugins de segurança usados pelos bancos brasileiros para proteger seus clientes durante as transações via internet.
O arquivo autoconvv.RRI é o que realiza a remoção dos arquivos durante a inicialização do sistema. Depois da infecção, isso deve ocorrer na próxima vez que o computador for ligado ou reiniciado.
Trecho da lista de arquivos removidos; BankerFix, Norton, Sygate e NOD32 estão entre os alvos
A praga ainda tem baixa taxa de detecção dos programas antivírus. Uma análise no serviço VirusTotal mostrou que, de 39 programas antivírus, apenas 16 identificaram o cavalo de troia.
Os arquivos criados por essa praga já são removidos pelo BankerFix. Refazer o download do programa é suficiente para torná-lo novamente operante.
Linha Defensiva 
Vixi, esse faz se pah vai fazer um regaço hein?! To usando o kaspersky, espero que não atinja ele também. E acredito que uma praga com essa não irá desencorar a equipe do Linha Defensiva de continuar com esse belo trabalho que é o Banker Fix.
Um abraço!
CurtirCurtir
CSC:Windowssystem32Contatos.dll
25/2/2009 00:24:28 Suyneg 3000 CSC:Windowssystem32Contatos.dll
25/2/2009 00:24:37 Suyneg 3000
Essa p…. de banker ainda está no meu sistema, mesmo depois de eu ter baixado sua ferramenta BANKERFIX, executado ele várias vezes, o que eu faço agora ?
CurtirCurtir
bem,que os criadores desses virus,poderiam usar seus conhecimentos para o “bem”!
mais enfim….
espero que isso não atinja o avast!
bom se antigir…
felizmente,temos o banker fix!
excelente programa…
abraço a toda equipe!
CurtirCurtir
wilson
Queira por gentileza enviar o arquivo para avs@linhadefensiva.org. Apos analise ele sera adicionado ao Bankerfix.
Grato
CurtirCurtir
pela imagem parece que o arquivo vai direto no “C:”, o problema não seria simplesmente resolvido se passassemos a usar outra letra como raiz do sistema operacional?
CurtirCurtir
Meu bankerfix não estava rodando, tive que baixar novamente. E minha base de dados do Ad-Aware SE Personal tb não atualizava. Desinstalei o Ad-Aware e agora não consigo baixar a nova versão. Cai a conexão.
Já postei no fórum
CurtirCurtir