Programas para roubar senha se proliferam na internet brasileira

02/12/2003

Lista divulgada pela Network Associates (NAI) revela os 10 piores malware (códigos maléficos) para clientes brasileiros de Internet Banking ou serviços financeiros. A lista é composta, na maioria, por worms que se autopropagam por e-mail e roubam dados e senhas das vítimas. No topo do ranking estão o Mimail, nas suas variações Mimail.C e Mimail.I.

O worm, que tem causado preocupação no mundo inteiro, tenta furtar os dados do cartão de crédito da vítima disfarçando-se de mensagem do serviço online PayPal, usado para transferência de dinheiro. A mensagem não apenas usa o texto e um endereço falso para enganar as vítimas, mas também contém um programa anexo, criado com o logotipo do PayPal, que coleta as informações pessoais e dados de cartão de crédito dos internautas.

Logo após as variantes do Mimail, a NAI listou o worm Spybot.worm.rp, que furta nomes de usuário e senhas simples da máquina infectada. Além disso, ele pode se espalhar automaticamente por redes locais e tenta fazer conexões com servidores IRC (Internet Relay Chat), abrindo as portas para atacantes que desejem controlar a máquina infectada ou usá-la em ataques de negação de serviço (DoS). O Spybot se esconde na pasta do sistema Windows e pode usar o nome “xbox64.exe” ou “netd32.exe”.

O quarto malware mais perigoso da lista é o Darker.worm!p2p, worm que permite que atacantes controlem a máquina infectada também via servidores IRC (Internet Relay Chat), além de possibilitar o uso do sistema em ataques DoS. O Darker é distribuído por e-mail disfarçado de “atualizações urgentes do Microsoft Windows OutLook Express”.

O conteúdo do e-mail infectado anuncia as tais atualizações falsas e também o arquivo anexo, chamado Av_patch.exe. Caso o usuário execute esse arquivo, o Darker se copia para o diretório do Windows com o nome de “svchost.exe” e cria uma chave de registro para executar o worm sempre que o computador for reiniciado.

Depois de infectar a máquina, o worm se conecta com o servidor IRC gotroot.darktech.org, entra num canal de bate-papo específico e lá aguarda ordens remotas do atacante. A quinta ameaça citada é o cavalo-de-Tróia PWS-IM, que rouba informações bancárias e senhas capturadas do teclado ou cliques do mouse. (segue)