RES: [GTER] Microsoft AntiSpyware vs. Banco do Brasil - Risco deseguranca

Daniel Checchia daniel.checchia at gmail.com
Wed Apr 27 17:34:20 -03 2005


O Banco do Brasil utiliza uma tecnologia de segurança baseada em um Plugin 
ActiveX, que realmente continua atuando quando o browser está fechado, mas 
esta é uma característica do Windows, que utiliza funções do IE em funções 
do SO.
 Com isto, o componente ActiveX cria esta entrada sempre que o SO "chama" o 
IE.
 Maiores detalhes do funcionamento deste plugin, mail-me em PVT.
 SDS

 Em 27/04/05, Leandro R. <bolinh0 at click21.com.br> escreveu: 
> 
> No meu também aconteceu isso
> E ele realmente adicionou esse endereço no arquivo hosts da maquina.
> Achei até que fosse algum spy-ware, formatei a maquina e instalei de novo
> E após acessar o banco começo a dar avisos disto de novo, agora parou.
> E não adicionou nada.
> 
> C:\WINDOWS\system32\drivers\etc>type hosts
> # Copyright (c) 1993-1999 Microsoft Corp.
> #
> # Este Ú um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para
> Windows.
> #
> # Este arquivo contÚm os mapeamentos de endereþos IP para nomes de host.
> Cada
> # entrada deve ser mantida em uma linha individual. O endereþo IP deve
> # ser colocado na primeira coluna, seguido do nome de host correspondente.
> # O endereþo IP e o nome do host devem ser separados por pelo menos um
> # espaþo.
> #
> # Adicionalmente, comentßrios (como estes) podem ser inseridos em linhas
> # individuais ou ap¾s o nome de computador indicado por um sÝmbolo '#'.
> #
> # Por exemplo:
> #
> # 102.54.94.97 <http://102.54.94.97> rino.acme.com <http://rino.acme.com># servidor de origem
> # 38.25.63.10 <http://38.25.63.10> x.acme.com <http://x.acme.com> # host 
> cliente x
> 
> 127.0.0.1 <http://127.0.0.1> localhost
> 
> C:\WINDOWS\system32\drivers\etc>
> 
> Atc,
> Leandro
> 
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Reinaldo Penno
> Enviada em: quarta-feira, 27 de abril de 2005 15:29
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: [GTER] Microsoft AntiSpyware vs. Banco do Brasil - Risco
> deseguranca
> 
> Recentement instalei o Microsoft AntiSpyware no meu PC
> ( que pelo sinal estou gostando muito) e ele vem
> reclamando do seguinte (abaixo em ingles)
> 
> Basicamente alguma aplicacao esta tentado modificar o
> host file e colocar a seguinte entrada
> 
> www14.bancobrasil.com.br <http://www14.bancobrasil.com.br> 170.66.1.60<http://170.66.1.60>
> 
> O mais incrivel eh que isso acontece enquanto o
> computador esta idle...sem fazer nada. A unica
> aplicacao que poderia querer fazer isso eh a propria
> aplicacao do BB pois tal endereco de fato pertence ao
> BB. A pergunta eh: Para que fazer isso? Ou seria uma
> vulnerabilidade? Acho que uma applet querer modificar
> meu host file eh o fim da picada.
> 
> % Copyright LACNIC lacnic.net <http://lacnic.net>
> % The data below is provided for information purposes
> % and to assist persons in obtaining information
> about or
> % related to AS and IP numbers registrations
> % By submitting a whois query, you agree to use this
> data
> % only for lawful purposes.
> % 2005-04-27 15:26:34 (BRT -03:00)
> 
> inetnum: 170.66/16
> status: assigned
> owner: Banco do Brasil S.A.
> ownerid: BR-BBSA-LACNIC
> responsible: Edi Domingues
> address: STN 716 bloco C Brazil, 000,
> address: 70770-100 - Brasmlia - DF
> country: BR
> phone: +55 61 3106303 []
> owner-c: EDD
> tech-c: EDD
> inetrev: 170.66/16
> nserver: DNS1.BANCOBRASIL.COM.BR <http://DNS1.BANCOBRASIL.COM.BR>
> nsstat: 20050426 AA
> nslastaa: 20050426
> nserver: DNS2.BANCOBRASIL.COM.BR <http://DNS2.BANCOBRASIL.COM.BR>
> nsstat: 20050426 AA
> nslastaa: 20050426
> created: 19940224
> changed: 20030915
> 
> occured on: 4/27/2005 at 2:17:24 PM
> 
> The entry www14.bancobrasil.com.br <http://www14.bancobrasil.com.br>pointing to IP
> address 170.66.1.60 <http://170.66.1.60> has been automatically been 
> denied
> permission to be added to the Windows host file. This
> host file change was blocked based on your previous
> input.
> 
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list