[SECURITY-L] Pop-up e' nova ameaca para usuarios do IE

[CSIRT - UNICAMP]

----- Forwarded message from Sysop - ATINET <sysop em atinet.com.br> -----

From: "Sysop - ATINET" <sysop em atinet.com.br>
Subject: [GTS-L] Pop-up é nova ameaça para usuários do IE 
To: <gts-l em listas.unesp.br>
Date: Thu, 1 Jul 2004 11:36:11 -0300
X-Mailer: Microsoft Outlook Express 6.00.2800.1409

Pop-up é nova ameaça para usuários do IE
Quarta-feira, 30 junho de 2004 - 12:56
IDG Now!

Usuários do navegador Internet Explorer estão mais uma vez sob grave ameaça.
O SANS Institute anunciou nesta terça-feira (29/06) ter descoberto um novo
cavalo de tróia responsável por roubar dados bancários de clientes
infectados por meio de uma falha no processamento de arquivos no formato
Browser Help Object (BHO).

Segundo o instituto, o trojan, que ainda não pode ser detectado por
softwares antivírus, utiliza o componente do Internet Explorer para roubar
dados de aproximadamente 50 sites de bancos específicos, incluindo Citibank,
Barclays, HSBC e Deutsche Bank, enviando-os a hackers provavelmente
localizados na América do Sul. O SANS Institute revela ainda que o
componente é integrado ao IE de tal maneira que torna complexa a sua
desabilitação.

O instituto descobriu ainda que o arquivo malicioso está se propagando
através de janelas pop-up de propaganda quando "uma grande empresa pontocom"
encaminhou o arquivo aos seus especialistas. O arquivo continha uma função
de auto-instalação em um arquivo DLL aleatório dentro da pasta System32 do
Windows, onde estão localizados os arquivos substanciais para o
funcionamento do sistema operacional da Microsoft.

O arquivo malicioso monitora as páginas do protocolo HTTPS (que indica
conexões seguras) em busca de qualquer dado que tenha o formato de nome de
usuário e senha da vítima antes que seja encriptado.

Usuários podem evitar serem atacados ao modificar o nível de segurança do
Internet Explorer para "Alto" (a partir do menu Opções de Internet, em
Ferramentas). A Microsoft afirmou também que o Windows XP Service Pack 2
conterá uma ferramenta para detecção e remoção de arquivos HBO maliciosos.

A ameaça surge apenas uma semana depois de descoberta outra vulnerabilidade
no navegador, permitindo que hackers se apoderassem de informações
financeiras confidenciais utilizando um cavalo de tróia instalado em grandes
páginas de comércio eletrônico na internet.

A ameaça pode estar ligada com o grupo criador do vírus Korgo, que já está
em sua variante V e é classificado freqüentemente como de alto risco por
empresas fabricantes de softwares antivírus.

O fato de que a Microsoft ainda não divulgou nenhuma correção para as falhas
críticas está levando especialistas de segurança a recomendarem que usuários
não utilizem o Internet Explorer, pelo menos temporariamente, mas comecem a
usar outros produtos alternativos, como os navegadores Mozilla Firefox e
Opera.
Matthew Broersma - Techworld.com


----- End forwarded message -----