[SECURITY-L] Clientes do Banco do Brasil na mira de criadores de virus

[Daniela Regina Barbetti Silva]

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Clientes do Banco do Brasil na mira de criadores de vírus 
To: daniela em ccuec.unicamp.br
Date: Tue, 27 Aug 2002 18:12:43 GMT


Clientes do Banco do Brasil na mira de criadores de vírus 

Os clientes do Banco do Brasil estão sendo visados por pessoas que tentam
roubar suas senhas e outras informações enviando-lhes um programa do tipo
cavalo de Tróia. O arquivo invasor chega como um anexo de nome
BBinternet.exe, em uma mensagem no formato HTML com as cores e a logomarca
do Banco do Brasil.

Aparentemente, a mensagem provém do e-mail servico em bb.com.br, mas quem
observar seu cabeçalho verá que o endereço real é outro. Uma das mensagens
que está circulando traz o e-mail bbserv em uol.com.br no campo "return-path".
Este pode ser considerado o verdadeiro endereço para onde a mensagem seria
retornada. O anexo BBinternet.exe, de 444.416 bytes, é um arquivo
comprimido que também poderia ser baixado do link
http://sites.uol.com.br/bbserver/BBinternet.exe, mas a página foi retirada
do ar.

O email foi recebido pelo analista de segurança da Aris Telecom Marcos
Ferreira Jr, que a enviou para análise à redação de InfoGuerra. "Não sou
correntista do Banco do Brasil, por isso a pessoa que praticou tal ato deve
ter pego meu e-mail pessoal e de milhões de outras pessoas e disseminado um
spam com esse novo golpe", sugere Ferreira. 

As análises que fizemos com diferentes programas antivírus atualizados não
revelaram a presença de nenhum código maléfico, por isso o arquivo foi
repassado para as assessorias de três grandes empresas do setor. A Trend
Micro foi a primeira a retornar uma resposta: a partir do arquivo, a
empresa identificou um novo vírus, que batizou de Troj_ Mite.A. 

Ao ser executado, o trojan instala-se com os arquivos necessários para
simular um programa de Internet Banking. Os arquivos DOSPRMT.EXE e
TTWAIN.DLL são descarregados no diretório do sistema, assim como o arquivo
LISTA.LOG, criado para registrar as teclas que são digitadas na máquina
infectada. Também é descarregado o arquivo SETUP.EXE, um auto-executável
que contém o trojan.

Tudo que o usuário digitar, incluindo seus dados bancários e senhas, será
gravado no arquivo LISTA.LOG. Quando o computador for conectado à Internet,
o vírus envia a lista para o endereço do autor do programa invasor. 

A Trend Micro incluiu a descrição do vírus no novo padrão de atualização
338 de seu programa de proteção. Os usuários que receberem uma mensagem com
as características acima devem simplesmente apagá-la. 



Fonte: InfoGuerra - http://www.infoguerra.com.br



Caio Souza Mendes

----- End forwarded message -----