O Internet Explorer dos Bankers
(Trasgo - Se vc Usa o IE, LEIA!)

Eu venho falando já faz um tempo, que o Internet Explorer já não é mais seguro para se usar na web, e quem não me ouviu ainda deveria dar uma lida no texto abaixo, Retirado do Linha Defensiva: http://linhadefensiva.uol.com.br/blog/2006/08/internaut-explorer/

Analisando o comportamento de um worm que se espalha via MSN, encontrei uma técnica interessante: o worm, junto com uma ferramenta responsável por enviar a mensagem “Olha soh quem foi flagrado desta vez” para as janelas do MSN, instalou também um arquivo chamado ‘regcleaner.exe’ na pasta Windows que monitora a execução do Internet Explorer. Quando você executar o Internet Explorer, ele automaticamente fecha o navegador e abre um ‘falso’ Internet Explorer que fica na pasta C:\WINDOWS.

O navegador falso tem alguns erros estéticos, como o visual que não combina com o tema e os menus que não respondem corretamente, mas em geral funciona de forma muito parecida com o Internet Explorer. O objetivo do uso do navegador falso é facilitar a captura de dados: já que você estará utilizando o próprio vírus para navegar na web, é muito fácil capturar os dados que você digitar e os locais onde você clicar.

Compare as informações de arquivo do navegador falso (que fica na pasta Windows) com o verdadeiro Internet Explorer (que se localiza em uma pasta chamada ‘Internet Explorer’ em Arquivos de Programas):

‘Internaut Explorer’

Internet Explorer real (Windows XP SP2)

O ‘Interneat Explorer’ é capaz de roubar senhas de bancos como Bradesco, Itaú, Caixa e Banco do Brasil. Outros alvos são o Ebay/Mercado Livre, Submarino, Americanas, Google/Orkut, UOL, Terra e Globo.com. O cavalo de tróia também monitora sites de companhias aéreas como TAM, Varig e Gol para capturar dados de cartões de crédito nas compras de passagens via internet.

O mais interessante é que seria muito fácil para o programador do vírus ter copiado os dados do Internet Explorer verdadeiro, mas mesmo assim ele decidiu falsificar também os dados para o seu ‘Internat Explorer’, o que é no mínimo engraçado, além de mostrar a despreocupação do hacker em tentar se esconder.

É bem provável que a técnica já esteja em uso pelos criminosos há algum tempo, mas não é possível determinar desde quando exatamente. Alguns antivírus já detectam o navegador falso como trojan e os arquivos maliciosos já foram adicionados na lista de definição do Banker Fix, então se você encontrar o arquivo ‘iexplore.exe’ na pasta Windows e ele for o ‘Interneat Explorer’, tente utilizar a ferramenta para corrigir o problema.

Preocupou? Então saia dessa bomba.