Linha Defensiva

blog da redação

Criminoso ‘conversa’ com analista da Linha Defensiva durante análise de vírus

Maria Cristina | 06/09/2010 12h38
26 comentários

Durante a análise de um exploit, esta semana, eu tive a minha máquina de teste controlada remotamente por um criminoso, que interrompeu o processo de análise e conversou comigo, em inglês, utilizando uma janela do bloco de notas. A página maliciosa visitada intencionalmente executou um código malicioso no meu sistema, o qual instalou uma ferramenta de administração remota, que chamamos de RAT — Remote Admin Tool, ou Ferramenta de Administração Remota –, permitindo que o invasor tivesse acesso e controle a todos os meus arquivos. O código malicioso foi executado automaticamente, explorando falhas em componentes do navegador, sem que eu precisasse clicar em nada. Bastou apenas visitar o site.

Após realizar a infecção, executei uma ferramenta de análise que gerou um relatório em um bloco de notas. O conteúdo que apareceu na janela, no entanto, foi muito diferente do esperado. O “texto” continha uma mensagem perguntando quem eu era e avisando que seria difícil “escaneá-lo” (jargão para análise de um sistema). Ainda sem saber que estava sendo vigiada, eu pensei que o virus havia bloqueado a execução da ferramenta e havia inserido aquele texto através de algum código malicioso automatizado que estava em execução. Fechei o bloco de notas e como o sistema me perguntou se eu queria salvar as alterações, eu pensei que o relatório original da ferramenta poderia ter sido preservado, então fechei o bloco de notas sem salvar as alterações e o abri em seguida.

De fato, o conteúdo que esperado estava lá, então comecei a ler o relatório. Durante a leitura, o texto do bloco de notas começou a ser alterado, novas letras foram surgindo, formando uma frase. Desta vez, a mensagem avisava que “ele” não estava ali para infectar pessoas como eu, e sim para propósitos “educativos”. Em seguida, todo o conteúdo do bloco de notas foi apagado e eu vi uma nova frase sendo escrita, dizendo que era a minha vez de digitar. Eu perguntei quem estava ali, e assim foi iniciada uma conversação através do Bloco de Notas do Windows.

O criminoso estava vendo minha tela e digitando na mesma janela que eu, vendo cada movimento.

O invasor perguntou várias vezes para quem eu trabalhava. Por razões relacionadas à minha segurança pessoal, eu não quis dizer a verdade, então eu menti que eu criava cracks para jogos, para que ele pensasse que eu fazia o mesmo que ele. Porém ele não acreditou. Ele tinha acesso total às minhas pastas e arquivos, viu as minhas ferramentas de análise, sabia que o sistema acessado estava em uma máquina virtual, usada como laboratório de testes, e também sabia meu nome. Perguntou-me quem usava tudo aquilo e para quê. Eu disse que precisava testar os meus aplicativos, mas ele novamente não acreditou. Ele disse que me viu acessando determinada URL maliciosa, afirmou que eu queria infectar a máquina virtual e insistiu em saber para quem eu trabalhava, se era para a polícia ou para companhias antivirus. Eu propus uma troca de informações: eu diria para quem eu trabalhava e ele me diria como ele controlava o exploit e o que ele fazia após obter acesso às máquinas que infectava. Ele fingiu aceitar, e me disse que fazia aquilo apenas com propósitos educativos.

A minha desvantagem era óbvia. Ele tinha acesso total ao meu sistema, e pelos meus arquivos e programas instalados, traçou o meu perfil, tinha noção de quem eu era. Pelo meu lado, o que eu sabia sobre ele? Nada. Tentei abrir um programa para monitorar o tráfego da rede, mas ele fechou a janela assim que abri, e ainda me perguntou por que eu queria rastreá-lo, dizendo que poderia me dar vários IPs de canais IRC para eu me distrair.

O que me restou foi “acreditar” na versão dele, e para que ele não me visse como uma possível ameaça (pelo menos até eu reiniciar o modem), eu disse a ele que eu não fazia análise de vírus (o que implicaria em denunciar os dados coletados para órgãos públicos e autoridades da internet). Afirmei que eu apenas participava de fóruns pela web, ajudando pessoas a desinfectarem suas máquinas, sem dizer qual é o fórum.

Após isso, o criminoso me convidou a continuarmos a conversa através de um canal mais seguro, sugerindo o IRC, e falei que nada me garantia que ele não fosse roubar minhas senhas, se tivesse oportunidade para isso. Ao que ele me respondeu dizendo que ele não tinha nada contra mim, dando a entender que o trabalho que eu fazia não o afetava.

Finalizamos a conversa e ele me disse que iria desinstalar o programa malicioso do meu sistema, mas eu não lhe dei oportunidade para isso. Eu fechei a máquina virtual e posteriormente coletei os dados e IPs restantes na máquina-laboratório. Os dados foram enviados a órgãos de combate ao crime virtual.

O sistema operacional da máquina virtual usada na análise foi o Windows XP Service Pack 2 com o Internet Explorer 6, sem atualizações e sem antivirus; precisa ser assim para maximizar o potencial dos criminosos, considerando que a ideia da máquina-laboratório é ser infectada para analisar os golpes. O único programa de proteção ativo era o firewall do XP.

Foi uma experiência surreal e interessante, mas totalmente inesperada. Criminosos virtuais têm tantas vítimas. Quem diria que ele iria olhar justamente o meu computador?

 
Sobre o autor

Maria Cristina é analista de remoção de malware na Linha Defensiva.

imprimir
Compartilhe
Comentar
Comentários
Older Comments
  • http://www.sapateiropitstop.com.br Anderson

    Muito legal, não sei o que teria feito, talvez teria achado que era algum amigo me sacaneando pelo tean viewer, hehe

  • Heitor

    Eu usava o Windows XP sem nenhuma atualização, qualquer um entrava, pois estava sempre infectado. Fazendo uma atualização básica, sem que apareça a tela preta, até que ajudou.
    Não uso anti-virus nesta máquina porque 500 Mb de memória não é suficiente e atrapalha mais do que ajuda.
    Não atualizo o sistema por que não tenho windows original e tudo fica mais lento com a atualização completa.
    Vamos vivendo assim, perigosamente.
    Constantemente recebo emails com um link para um site chinês.

  • http://cliqueaqui.org 1n73Rc3p70r

    nao me lembro qdo
    nem direito aonde (em q makina)
    mas lembro o prg
    NAPSTER
    conexao discada
    provavelmente num 486 ou pentium (atual na epoca)
    com av firewall e tudo +
    apareceu uma janela de texto (parecida com a do notepad) e um cara dizendo coisas bizarras sobre mim mesmo. fikei pasmo! claro! pensei em rancar o fio na mesma hora mas a curiosidade falou mais alto, comecei a tentar ganhar tempo e saber kem era e como fez aquilo a implorar por meus arqs e a me fazer de viitima (mais?rs)
    u cara falava em portugues mesmo alias internetes como nós e no fim d dizer vaaaaarias coisas da minha vida q nao tinham no micro, ou seja, nao tinha como ele saber, u cara me disse pra eu conhecer a ordem dos cavaleiros templarios
    coisa espiritual a parada. rs
    nunca fikei sabendo o nome dele kem era ou como ele fez akilo
    nunca fikei sabendo de qlq coisa do genero tb no napster e em suas comunidades
    :|
    vai sabe
    abraço!
    ah!
    agora sobre o seu caso cristina eu axo q a curiosidade do cara falou mais alto tb
    entende?
    ele tem varios digamos clientes, mas sua mak tinha alguma coisa q se sobressaia das outras sei la
    tendeu?
    como ele viu diversas ferramentas q ele tb conhecia q ele tb usava no seu dia a dia, ele deve ter pensado, das duas uma, ou essa mina é da policia ou é dos nossos, mas claro q sempre pesando mais a primeira opçao.
    mas nossas duvidas sao traidoras e infieis.
    agora eu vo ein…
    fui

  • http://fazendoumapresenca.blogspot.com Calebe

    Um dia o meu mouse começou a ser controlado, (eu nem tinha nem sabia o que era team viewer nessa época) o medo foi tando que eu puxei o fio do modem

  • jay

    nossa q sinistro isso, se fosse eu puxava o fio do modem na hora depois tacava o cd no pc e formatava …

    uma vez estava num site q custumava visitar e derrepente varias janelas do ie começaram a se abrir e eu desesperada tentando fechar mais enquanto me matava pra fechar uma janela pq meu pc com pouca memoria n aguentava mta coisa e travava e qdo destravava ja abria mais 10 janelas

    ate q consegui pelo gerenciador de tarefas mas o estranho e q passei o av kaspersky e n pego nada e meu pc tava com firewall e atualizado tudo certinho e ainda por cima nao apresentava comportamentos estranhos lentidao nada disso, depois disso continuou funcionando normalmente como se nada tivesse acontecido

    ai depois d mto tempo (meses e meses) q eu ja tinha formatado varias vezes por outros motivos aconteceu denovo e depois voltou a funcionar normal O.o…. nao sei se era o navegador ou o q pode ter acontecido…

    mas axo q deve ter sido mto emocionante tc com um hacker criminoso parece coisa d filme²

  • Everson Machado

    Espalhei sua matéria para alguns clientes, sou consultor, “consertando” sistemas e PC´s entre outras coisas, mostrando a diversos clientes como está o nivel das pragas virtuais. Quero comparar um caso recente, onde o invasor utiliza de recursos do próprio Windows para “dominar” o PC do cliente, colocando-o em dominio próprio e faz o que quer dali em diante. Se reiniciamos o PC, os pacotes enviados substituem os originais e nada adianta fazer. Levar o PC fora do ambiente e traze-lo de volta é apenas uma questão de tempo a mais para que consiga invadir novamente. TUDO indica que está utilizando IP da própria (mesma faixa) Telefonica o que permite enxergar o atacado e/ou tem algum “gato” com a própria linha deste cliente, visto que é vizinho… Estou com o equipamento em mãos e gostaria até mesmo de “entregar” para vocês análisarem e “colocarem no mercado” esta falha para que a MS corrija a questão.

Older Comments
 
 
Boletim informativo Cadastre-se e receba em seu e-mail
Apoio
Apoio
Parceiro
Divulgação cultural
Site Seguro
Apoio