sábado, 6 de dezembro de 2008

Oi tem o site invadido e disseminou vírus para mais de 100 mil usuários


A Oi já removeu os malwares hospedados.

O site da Oi foi usado para a disseminação de um vírus para os clientes que usaram o serviço para envio de torpedos online da operadora na quarta-feira (03/12), apontam testes do Zone-H Brasil.

O cientista da computação Marcelo Almeida, que fez os testes após ser notificado por Kevin Fernandez sobre a suspeita no site da Oi, identificada na quarta-feira (03/12), mostra, no Zone-H, que o endereço http://mundooi2.oi.com.br/servicostorpedo instalou um applet Java sem a permissão do usuário.

“Se o Java do usuário estiver desatualizado, ocorre um ataque de estouro de pilhas [conhecido tecnicamente como buffer overflow]. A primeira parte que é instalada é o applet Java e depois um cavalo-de-tróia, que vai baixar o vírus”, explica Almeida. Os dois primeiros estavam hospedados no site da Oi.

Almeida conta que “este executável altera arquivos de host do Windows e inclui URLs de bancos brasileiros que encaminham o usuário para um site clonado”.

A URL não muda no browser e, enquanto isso, os dados estão sendo roubados. O vírus é iniciado no primeiro boot do Windows - ou, às vezes, em reinicialização forçada pelo vírus, segundo Almeida - após este ser instalado. A Oi foi avisada por Almeida sobre o problema em torno das 21h da quarta-feira (03/12). “Ela então removeu o vírus e o applet”, conta Almeida, que também avisou os servidores em que os IPs dos sites de bancos inclusos ali eram falsos.

“Todos os servidores do exterior com os quais entramos em contato já desativaram as páginas, e se o usuário baixou o applet e o vírus levar ao acesso, verá a mensagem de ‘página não encontrada’”, explica. Até a quinta-feira (04/12), apenas um servidor brasileiro ainda não tinha tirado os IPs falsos do ar.

Usuários do serviço de torpedos sem atualização do Java foram afetados, segundo a Zone-H: http://www.zone-h.com.br/content/view/574/9/

Nenhum comentário:

Postar um comentário