[GTER] www14.bancobrasil.com.br - anti spyware microsoft

theo23 at terra.com.br theo23 at terra.com.br
Thu Apr 28 14:57:51 -03 2005 

Marcelo, eu havia lido estes dias, recebi por e-mail.

A Panda Software alertou na
terça-feira (22/03) sobre o surgimento
de uma nova ameaça ao internauta,
batizada de pharming. Segundo a
empresa, o pharming é um tipo de golpe
fraudulento ainda mais perigoso do que
o phishing scam, pois não precisa
convencer o usuário a digitar os dados
pessoais em uma página.


O pharming envolve modificações no
sistema DNS (Domain Name System) de
endereços, encaminhando o internauta
para uma página que não corresponde à
digitada no endereço, mas sim a um
website malicioso desenvolvido
especialmente com o objetivo de copiar
o original nos mínimos detalhes e
fazer com que o usuário não perceba
que está em território perigoso. 


Segundo dados coletados pela Panda, a
grande maioria dessas páginas falsas é
relacionada a serviços que envolvem o
uso de dados confidenciais e
financeiros, como lojas virtuais e
portais de bancos online.


Ataques de pharming podem ser
direcionados a servidores DNS, fazendo
com que todos os usuários que acessem
determinada página sejam encaminhados
a outra, modificada e maliciosa. Outra
possibilidade, muito mais comum, é
infectar algum internauta desprotegido
com cavalos-de-tróia que modificam o
arquivo HOSTS, localizado na pasta de
sistema do Windows.


O arquivo guarda uma tabela com os
endereços IP mais acessados pelo
usuário, de modo que o navegador não
precisa acessar um servidor DNS para
visitar uma página. Se esse arquivo é
modificado com falsos endereços para
websites de bancos, por exemplo, toda
vez que o internauta procurar entrar
em determinada página, ele será
automaticamente direcionado a uma
página falsa - sem perceber qualquer
sinal de que está caindo em um golpe
fraudulento.


A Panda afirma que as famílias de
pragas Bancos-PWS, Banbra e Banker (os
dois primeirs muito ativos na internet
brasileira) possuem funções de
modificação do arquivo HOSTS, e
representam uma mudança de tática de
criminosos para roubar dinheiro de
internautas.


A companhia espanhola recomenda que
os usuários criem o hábito de
atualização periódica de softwares
antivírus, além do uso de firewall e
atenção total para arquivos vindos de
remetentes desconhecidos.

================================================================================================

  
Ataques de envenenamento de cache DNS
(DNS cache poisoning)

[CAIS, 04.05.2005-16:10]



O CAIS está acompanhando desde
03/03/05 relatos do SANS ISC
referentes a sucessivos ataques de
evenenamento de cache DNS (DNS cache
poisoning) que estão redirecionando
usuários para sites WWW contendo
malware.

No primeiro ataque, registrado em
22/02/05, as vítimas foram
redirecionadas para três servidores
diferentes: 217.160.169.87,
207.44.240.79 e 216.127.88.131. Os
domínios correspondentes aos
servidores foram identificados como:
www.7sir7.com, 123xx1.com e abx4.com.

Todos os endereços acima correspondem
a servidores UNIX comprometidos. O
atacante colocou em tais servidores
dois exploits para o Internet
Explorer, de modo que se os usuários
fossem redirecionados para estes
servidores e o browser estivesse
vulnerável, a vítima seria infectada
com um programa spyware, que
basicamente é um programa que coleta
informações privadas em uma estação.

No dia 25/03/2005 foi reportada a
existência de dois servidores DNS
maliciosos redirecionando usuários
(222.47.183.18 e 222.47.122.203).
Estes servidores estavam
redirecionando os usuários para os
próprios servidores, onde havia uma
página sobre venda de medicamento.
Neste segundo ataque não foi
encontrada nenhuma evidência de
malware, então acredita-se que
trata-se do trabalho fruto de um
spammer.

Alguns dias depois o SANS registrou
um novo ataque, ocorrido entre
25/03/2005 e 01/04/2005. Tudo indica
que este segundo ataque tem relação
com o primeiro, visto que possui o
mesmo propósito de instalar um
programa spyware. Desta vez os
servidores DNS forneceram os seguintes
endereços: 209.123.63.168, 64.21.61.5,
205.162.201.11.

Através de análises em máquinas
comprometidas, foi verificado também
que domínios de alto nível (.com, por
exemplo) foram redirecionados, o que
leva a um alto índice de
redirecionamento para diversos
sub-domínios (ex: cnn.com, redhat.com,
officeupdate.com). Os arquivos de
exploit observados nas máquinas
comprometidas foram:

  a.. abx.ani 
  b.. abx22.ani
Estes programas exploram uma
vulnerabilidade divulgada pelo CAIS em
Janeiro (consulte a seção "Mais
Informações"). O spyware instalado
pelo exploit de Internet Explorer foi
identificado como:

  a.. Kaspersky:
AdWare.ToolBar.SearchIt.h 
  b.. Panda: Adware/AbxSearch
Apesar das investigações ainda não
terem sido concluídas, o CAIS alerta
do perigo que este ataque representa e
da necessidade de efetuar alterações
nos servidores DNS do Windows NT4 e
Windows 2000.

Assinaturas do IDS Snort

A seguir, uma assinatura válida para
o IDS Snort, de modo a detectar o
ataque em andamento.

alert udp $EXTERNAL_NET 53 ->
$HOME_NET any (msg:"com DNS cache
poison";content:!"TLD-SERVERS";
nocase; offset:10; depth:50;
content:"|c0|";content:"|00 02|";
distance:1;
within:2;byte_jump:1,-3,relative,from_beginning;
content:"|03|com|00|";
nocase;within:5;
classtype:misc-attack; sid:1600;
rev:3;)




 

-- 
Best regards,
 Theo
 theo23 at terra.com.br

Thursday, April 28, 2005, 11:21:37 AM, you wrote:

  
> In a message dated 27/4/2005 16:50:37 E. South America Standard Time,
> gter-request at eng.registro.br writes:

> Message: 9
> Date: Wed, 27 Apr 2005 16:41:56 -0300
> From: "MARLON BORBA" <MBORBA at trf3.gov.br>
> Subject: Re: [GTER] Microsoft AntiSpyware vs. Banco do Brasil - Risco
>     de seguranca
> To: <gter at eng.registro.br>, <rapenno at yahoo.com>
> Message-ID: <s26fc0ff.082 at server-trf-web.trf3.gov.br>
> Content-Type: text/plain; charset=Windows-1252

> se não me engano isso é o famoso GBuster, aquele aplicativo de segurança que
> o banco "instalava" na surdina quando seu "site" era acessado pelo Internet
> Exploder. há muito tempo não uso o "browser" da Mico$oft, razão pela qual deixei
> de ter problemas com o "dito cujo".

> pesquise no histórico da lista GTS-L, houve uma séria discussão naquela
> oportunidade. aliás sugiro movermos a discussão para a GTS-L, onde ela é pertinente.



> Abraços,
> Marlon Borba, CISSP.

> "Por que 100? Bastaria
> um se eu estivesse errado!"
> --Albert Einstein, sobre o livro dos nazistas
> "100 cientistas contra Einstein".

>>>> rapenno at yahoo.com 27/4/2005 15:29:19 >>>
> Recentement instalei o Microsoft AntiSpyware no meu PC
> ( que pelo sinal estou gostando muito) e ele vem
> reclamando do seguinte (abaixo em ingles)

> Basicamente alguma aplicacao esta tentado modificar o
> host file e colocar a seguinte entrada

> www14.bancobrasil.com.br  170.66.1.60 

> O mais incrivel eh que isso acontece enquanto o
> computador esta idle...sem fazer nada. A unica
> aplicacao que poderia querer fazer isso eh a propria
> aplicacao do BB pois tal endereco de fato pertence ao
> BB. A pergunta eh: Para que fazer isso? Ou seria uma
> vulnerabilidade? Acho que uma applet querer modificar
> meu host file eh o fim da picada.

> % Copyright LACNIC lacnic.net
> %  The data below is provided for information purposes
> %  and to assist persons in obtaining information
> about or
> %  related to AS and IP numbers registrations
> %  By submitting a whois query, you agree to use this
> data
> %  only for lawful purposes.
> %  2005-04-27 15:26:34 (BRT -03:00)

> inetnum:     170.66/16
> status:      assigned
> owner:       Banco do Brasil S.A.
> ownerid:     BR-BBSA-LACNIC
> responsible: Edi Domingues
> address:     STN 716 bloco C Brazil, 000, 
> address:     70770-100 - Bras*lia - DF
> country:     BR
> phone:       +55 61 3106303 []
> owner-c:     EDD
> tech-c:      EDD
> inetrev:     170.66/16
> nserver:     DNS1.BANCOBRASIL.COM.BR 
> nsstat:      20050426 AA
> nslastaa:    20050426
> nserver:     DNS2.BANCOBRASIL.COM.BR 
> nsstat:      20050426 AA
> nslastaa:    20050426
> created:     19940224
> changed:     20030915


> occured on: 4/27/2005 at 2:17:24 PM

> The entry www14.bancobrasil.com.br  pointing to IP
> address 170.66.1.60 has been automatically been denied
> permission to be added to the Windows host file. This
> host file change was blocked based on your previous
> input.


> Marlon,

>     Eu peguei o mesmo problema, não entendo quem ou o por que desta linha
> aparecer no meu arquivo de HOSTS, eu nunca instalei nada do BB, nem conta lá eu
> tenho e realmente isto acontece quando a máquina está totalmente idle, será que
> pode ser algum trojan, spyware, etc? estou tentando caçar o que pode ser mas
> até agora não achei nada.
>     Você descobriu mais alguma coisa? 

> Abraços!
> Atenciosamente,
> Marcelo Chueiri 
> AOL Brasil.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list