oi com virus

Página de torpedos web da Oi é invadida para distribuir vírus


Página popular no site da operadora foi comprometida e usada na distribuição de praga que rouba senhas bancárias

Fabio Assolini


Ao investigar a denúncia deixada por um leitor em um comentário no site, a Linha Defensiva verificou que uma página no site da companhia de celular Oi foi comprometida e usada por criminosos para instalar vírus Banker — ladrão de senhas bancárias — no computador dos visitantes.


Applet Java carregou a pragaA praga foi instalada em uma página bastante popular, usada pelos internautas para o envio de torpedos SMS. Ao acessá-la, o usuário recebe um alerta de que um plugin Java não assinado precisa ser executado para poder enviar a mensagem SMS. Se o usuário o fizer, o malware é instalado no computador.

Depois de instalada, a praga se encarregará de mudar o arquivo hosts no computador, técnica chamada de banhost e muito comum em vírus brasileiros. Essa mudança irá fazer com que o usuário seja redirecionado para páginas clonadas dos bancos Santander, Itaú, Bradesco e Nossa Caixa.

A Linha Defensiva enviou um alerta para a Oi sobre o incidente. Até a publicação desta reportagem, menos de sete horas depois, o problema havia sido solucionado. No entanto, o Applet malicioso, hospedado no site “Oi FM”, ainda estava no ar.

A ferramenta de remoção de Bankers da Linha Defensiva BankerFix já remove os arquivos criados pela infecção.

Não é a primeira vez que a Linha Defensiva noticia um incidente de segurança envolvendo a Oi. Em setembro de 2007 o site da companhia foi comprometido através de um iframe malicioso que tinha a mesma função de infectar os usuários visitantes do site.


Redirecionamentos levam à páginas clonadasNesse incidente um applet em Java foi inserido na página de torpedos da Oi. O arquivo .class, pertencente ao applet está hospedado no site da OI FM, que também foi comprometido e usado no golpe. O applet baixa para o computador do usuário um executável localizado em outro site legítimo: humorbabaca.com/news4/[REMOVIDO].

A praga também cria os arquivos C:\INSO.exe, que irá alterar o arquivo hosts da máquina; e o C:\Arquivos de Programas\NOSO03.log, que tem a função de guardar as informações colhidas nos sites de banco visitados. Posteriormente, esse arquivo é enviado para o criminoso.

Até a publicação da reportagem, o malware causador da infecção tinha uma baixa taxa de detecção. No serviço de análise VirusTotal, apenas cinco antivirus detectavam a praga.

Os IPs adicionados ao arquivo hosts da máquina infectada hospedam para páginas falsas, que após denuncia foram retirados do ar, invalidando o golpe. Um computador infectado pela praga nesse momento receberá uma mensagem de erro do navegador ao tentar acessar os sites dos bancos citados.

As demais partes envolvidas também foram avisadas pela Linha Defensiva para que tomem as providências necessárias.