Trojans estabelecem proxy para furtar senhas bancárias!

[DigRam 144]

Saudações!

Cavalo de Tróia ganha acesso a chave "HKCU",para furtar informações confidenciais. ( Senhas bancárias,paypal,orkut,MSN )
O valor referente "AutoConfigURL",é alterado para direcionar a máquina infectada àquele link,que foi introduzido pelo Trojan.banker ao impor configurações Proxy,em navegadores. Ps: Existem técnicas de invasão que não criam essa chave,mas lançam processos que são alocados em diretórios temporários,e direcionam o vitimado à páginas fake.Nesse caso,podem não utilizar proxy,em seus intentos.

#######
FF - prefs.js..network.proxy.autoconfig_url: "http://www.bilardsho...xas.com.br.txt" ( OTL )

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = hxxp://www.bilardsho...uxas.com.br.txt ( OTL )

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = hxxp://www.bilardsho...uxas.com.br.txt ( HijackThis )
#######

< C:\Arquivos de programas\Java\jre6\bin\nO2A57i2.phx << Win32/Spy.Bancos.OHD >

|- Reparem que o Trojan veio camuflado como plugin do Java,mas com extensão ".phx".
|- Ps: Não adianta limpar a "AutoConfigURL",pois será reconfigurada pelo malware.
|- Ps: Caso não ocorra a reconfiguração,podemos supor que já houve a remoção do Trojan,preliminarmente.

#######
FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll
FF - plugin: C:\Windows\SysWOW64\npDeployJava1.dll
#######

|- Temos aqui,plugins legítimos e na extensão correta. ( .dll )

< bankers_direcionando_à_páginas_falsas >

|- Leiam este artigo do Einstein,para maiores detalhes. Sendo que aqui,no iMasters Fóruns,temos plenas condições de identificar o problema e implementar correções.

Geralmente essa URL termina com .pac ou .js, porém já encontramos URLs sem extensões.

|- Ps: Nos exemplos aqui tratado,a extensão foi ".txt".

#######
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.atualizar.../sistemasvs.txt
#######

|- Outra ocorrência,aqui encontrada!



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.cuchet.org/tmp/c.txt

"Em casos de infecção recente descobrimos malware injetando DLLs maliciosas nos navegadores para impedir que o proxy seja removido."
(Einstein)



|- De fato! São dlls hijacking,que vêm disfarçadas como originais e injetam endereços na AutoConfigURL com a extensão ".txt". ( c.txt ;...bruxas.com.br.txt ;...sistemasvs.txt)
|- Investiguem as não Microsoft,que vem com extensões network...dll; ...com; nesses casos.
|- Se forem bibliotecas com extensões ".dll",atentem para as que não são da Microsoft.

|- Verifiquem se houve alterações ao Firefox,em sua "keyword.URL".
|- Abra o Firefox e digite na barra de endereço: about:config



|- Aperte Enter ao concluir!
|- Na relação que abrir,procure ( "keyword.url" ) ou filtre a busca/procura,digitando keyword.url,no campo "Localizar:".



|- Ao ser exposta a url indesejada,mude a string para: http://www.google.com.my/search?q=
|- Confirme-a,clicando em Ok.



|- Após as alterações,eis a nova string que teremos em "keyword.URL".
|- Para investigar a presença de Dlls hijacking ou exploits,vamos fazer uso da ferramenta "DllHijackAuditor".

|- Baixe: < DllHijackAuditor > ( Windows XP, 2K3, Vista, Windows 7 )
|- Salve-o e/ou descompacte-o para Arquivos de programas ou Program Files.
|- Abra o DHA! ( Para Windows Vista ou 7,dê clique direto e execute-o como administrador. )

< Select Your Application >

|- Busque no computador o arquivo "iexplore.exe". ( Caminho completo! )

< Specify Extension >

|- Além das que estão,por default,insira no campo: htm;html;dll;
|- Configure desta forma,o "DllHijackAuditor",para a aplicação investigada. ( iexplore.exe )



|- Estando tudo conforme as instruções,clique: "Start Audit"
|- Aguarde a conclusão!



|- Caso a ferramenta encontre vulnerabilidades ou Exploits,o botão "Exploit" ficará ativo para que seja acionado.Clique nele e,à seguir,em "Report",que será disponibilizado em HTML e lido pelo seu browser. ( Firefox,IE ou Chrome )
|- Ps: O ideal,é que a ferramenta encontre Exploits e não vulnerabilidade em Dlls,pois não seriam as causadoras das páginas fake ao tentar acessar o Banco.



|- No exemplo dado àcima,foi encontrado vulnerabilidade no ficheiro "framedyn.dll" ao aplicativo "OTS.exe".

( ... fica em aberto para novas introduções! )