Pesquisar

20 de jan de 2009

Cuidado com o sites hackeados que redirecionam para programas Hijacker/Rogue!

As duas palavras da língua inglesa usadas para os programas de falsos Anti Vírus são:

Hijacker = Sequestrador;
Rogue = embusteiro, enganador, trapaceador.

São programas que uma vez instalados no PC, acabam inviabilizando o funcionamento. Em muitos casos, a solução final é a formatação do HD.

Redirecionamentos maliciosos.
Há um número grande e indeterminado de sites comprometidos com redirecionamentos para sites que instalam programas Hijackers. É impossível fornecer a lista porque a todo o momento alguns sites corrigem os problemas, enquanto outros são infectados.

Todavia, existe um padrão de atuação dos cibercriminosos: eles se valem de datas e acontecimentos importantes para infectar os sites mais procurados em dado momento. No último Halloween muitos sites que vendiam roupas para o dias das bruxas foram comprometidos, conforme artigo publicado no site Secure Computing.

Por minha parte, descobri dois casos: um servidor polonês que é endereço nativo dos próprios hijackers e outro é um servidor que foi infectado num dia e limpado no outro.

Aproveitando o Hype do avião A-320 que pousou no rio Hudson, os cibercriminosos lançaram as seguintes palavras-chave no Google: “Flight 1549 Video”, que aponta para um servidor polonês, que redirecionava para o conhecido Antivirus 2009, que é antigo Xp Antivirus.

No dia dia 19/01/2008 o servidor http://go.onfree.orge.pl/49.html redirecionava para o endereço que tenta instalar o Antivirus 2009: http://premium-antivirus-scan.com/2009/1/en/freescan.php?id=77025301

Mas a mobilidade dos Hijackers é imensa, pois no dia 20/01/2008 eles já tinham trocado o redirecionamento para outro software Antivirus Falso, o Av-onlinescan.com http://www.av-onlinescan.com/l3/index.html?ref_id=4448 que tem a seguinte tela:
Av-onlinescan

Um caso descoberto por mim foi de um site com fotos de uma competição de puxadores de trator que acontece na cidade inglesa de Dungannon.

No dia 19/01/2008 o endereço deles http://www.vandutch.ca/Spring-Summer%20'06/Dungannon%20Tractor%20Pull%20'06/slides/Dungannon%20Tractor%20Pull%20'06%20016.html redirecionava para o site do Antivirus 2009 (Premium antivirus scan.com): http://premium-antivirus-scan.com/promo/1/en/freescan.php?id=880865

Já no dia 20/01/2008, o hack realizado no site Vandutch havia sumido, porque os seus webmasters devem ter descoberto o código malicioso que fazia o redirecionamento e o eliminaram.

Modus Operandi do Antivirus 2009(Premium antivirus scan.com) .

Quando você entra no site deste Hijacker, se depara com a seguinte janela:
Antivirus 2009 - tela1


A seguir o Hijacker faz uma “varredura” no seu computador através desta tela:
Antivirus 2009 - tela 2


Após concluída a falsa varredura, onde várias falsas ameaças são encontradas, você é fortemente incentivado a aceitar a remoção total de todas ameaças detectadas. Quando você aperta no botão “Remove All”, estará instalando o Hijacker no seu computador e se você não for um técnico experiente em informática, vai ter que formatar o HD.
Antivirus 2009 tela 3


Sintomas de infecção por programas Hijacker e Rogue:

1- A página inicial do Brower é alterada;

2- O browser abre automaticamente janelas de sites pornográficos e de cassinos, sem o comando do usuário;

3- Começa a aparecer na barra inferior de tarefas mensagens de segurança informando que o computador foi infectado e oferecendo a venda de um dos falsos antivírus existentes no mercado, tais como: Antivirus 2009, Av-onlinescan, XP Antivirus, AntivirusPro2009, XP Antispyware 2009, Internet Antivirus, etc.

- Lista de hijackers publicada na Wikipedia.

4- O computador faz download e instala automaticamente programas não solicitados pelo usuário;

5- Mensagens frequentes de falta de memória;

4- Comportamento errático do computador e lentidão;

5- O computador trava frequentemente;

5- O computador “reboota” sozinho;

Num furo de flagrante do cibercrime, o jornal New York Times conseguiu descobrir um dos maiores fabricantes de programas do tipo Hijacker/Rogue do mundo. Uma empresa maliciosa chamada Bakasoftware, localizada em alguma parte da Rússia, é responsável pela inundação no parque mundial de computadores pessoais do falso programa Antivirus XP 2008, rebatizado para Antivirus XP 2009. Sabendo-se que os criminosos faturam 49 dólares de cada computador desprotegido que eles conseguem infectar e cujos usuários pagam para se verem livres da praga, os especialistas calculam que a empresa fatura cerca de 5 milhões de dólares por ano!

Leia a história completa no NY Times: Antiviral ‘Scareware’ Just One More Intruder.

Links relacionados:
Programas do tipo SmitFraud.

Principais sintomas de infecção do Computador.

Método para saber quando um PC está contaminado.

Site que dá instruções para a remoção manual do Antivirus 2009 (Premium antivirus scan.com) e oferece o download para a remoção automática: Windowsprotection.net

Um comentário:

  1. "faturam 49 dólares de cada computador desprotegido".
    Vou ir pro lado mal da força.

    ResponderExcluir