Invasão no site da Oi dissemina vírus para cerca de 140 mil usuários

[Patrique 0]

Invasão no site da Oi dissemina vírus para cerca de 140 mil usuários

 

Por Lygia de Luca, repórter do IDG Now!

 

São Paulo - Usuários do serviço de torpedos sem atualização do Java foram afetados, diz Zone-H. Oi já removeu os malwares hospedados.

 

O site da Oi foi usado para a disseminação de um vírus para os clientes que usaram o serviço para envio de torpedos online da operadora na quarta-feira (03/12), apontam testes do Zone-H Brasil.

 

O cientista da computação Marcelo Almeida, que fez os testes após ser notificado por Kevin Fernandez sobre a suspeita no site da Oi, identificada na quarta-feira (03/12), mostra, no Zone-H, que o endereço http://mundooi2.oi.com.br/servicostorpedo instalou um applet Java sem a permissão do usuário.

 

“Se o Java do usuário estiver desatualizado, ocorre um ataque de estouro de pilhas [conhecido tecnicamente como buffer overflow]. A primeira parte que é instalada é o applet Java e depois um cavalo-de-tróia, que vai baixar o vírus”, explica Almeida. Os dois primeiros estavam hospedados no site da Oi.

 

Almeida conta que “este executável altera arquivos de host do Windows e inclui URLs de bancos brasileiros que encaminham o usuário para um site clonado”.

 

A URL não muda no browser e, enquanto isso, os dados estão sendo roubados. O vírus é iniciado no primeiro boot do Windows - ou, às vezes, em reinicialização forçada pelo vírus, segundo Almeida - após este ser instalado.

 

A Oi foi avisada por Almeida sobre o problema em torno das 21h da quarta-feira (03/12). “Ela então removeu o vírus e o applet”, conta Almeida, que também avisou os servidores em que os IPs dos sites de bancos inclusos ali eram falsos.

 

“Todos os servidores do exterior com os quais entramos em contato já desativaram as páginas, e se o usuário baixou o applet e o vírus levar ao acesso, verá a mensagem de ‘página não encontrada’”, explica. Até a quinta-feira (04/12), apenas um servidor brasileiro ainda não tinha tirado os IPs falsos do ar.

 

Segundo o contador descoberto por Almeida no código do vírus, cerca de 140 mil usuários estavam infectados com o malware. Em testes no VirusTotal.com, apenas 1 de 37 antivírus identificaram o arquivo do applet Java como malicioso, e só 5 entre as 37 soluções reconheceram o executável como vírus.

 

Para saber se está contaminado, o usuário pode usar a busca de arquivos do Windows para encontrar os "ddaass.exe" e "OI.JAR". Além disso, é preciso localizar o arquivo de "hosts" do sistema e retirar a lista de endereços falsos inclusos no registro. "O único IP que deve haver ali é o 127.0.0.1. É uma norma internacional", explica Almeida. Mais detalhes podem ser vistos no post do Zone-H.

 

A Oi declara oficialmente que está analisando a questão.

[hargon 64]

Fala sério hein. Como que dão um vacilo desses.

[Progress 2]

Fala sério hein. Como que dão um vacilo desses.

É realmente um absurdo, clientes vão usufruir do recurso na boa, chegam lá e acabam se lascando todo.

 

Que foi um grande vacilo foi, não da pra negar, mas erros acontecem.

 

[]'s

[Patrique 0]

Foi realmente um vacilo e dos Brabos, porém os usuários também não cooperam... se mantessem o software atualizado, seria muito mais dificil disso acontecer, como citado ae na fonte 140 mil foram contaminados somente na quarta feira... ou seja... um número absurdo...

 

[]'s

[Ted k' 126]

até que ponto a galera chegou!

[hgb7 3]

Oi é desbloqueado, ou seja, run to the hills! :)

[Mário Monteiro 179]

Foi vacilo de ambas as partes