Skip to content
20/07/2011 / Roberto Gimenez

Vírus cria conta de usuário para dar acesso remoto a criminosos

Um dos principais objetivos de um cibercriminoso é ter total controle sobre a máquina de suas vítimas das mais diferentes formas possíveis. Os criminosos virtuais brasileiros têm o mesmo objetivo que todos os outros, porém, devido a sua cultura de imediatismo, quase sempre os ataques feitos dentro do país envolvem apenas a disseminação de trojans bancários.

Recentes atividades mostram que este comportamento está mudando lentamente: eles estão prontos para criar uma rede de computadores infectados e ter total controle sobre ela, roubando informações pessoais das vítimas e usando-a para disseminar spam de uma maneira muito criativa: registrando na máquina da vítima uma nova conta de usuário chamada “Remo”. Por meio dessa conta o cibercriminoso tem acesso e controle total remoto sobre as máquinas.

O ataque se inicia com um e-mail falso de uma suposta atualização do plugin Flash Player. O link na mensagem realmente oferece o download do verdadeiro plugin, mas se aberto o arquivo também irá instalar a praga.

Depois de executado, mais arquivos serão baixados e registrados, entre eles DLLs maliciosos que irão roubar informações bancárias. Além disso, uma nova conta de usuário protegida pela senha “Remo” é criada.

O novo usuário é registrado de forma que o dono do computador não perceba, pois ele terá as configurações de acesso remoto por meio do recurso “Conexão de Área de Trabalho Remoto”.

Uma das maneiras de ver o acesso criminoso à máquina é por meio do Gerenciador de Tarefas do Windows. Processos pertencentes ao usuário “Remo” começarão a aparecer na lista.

No Brasil, mais de três mil máquinas estão infectadas e controladas por essa técnica. Para gerenciar as máquinas das vítimas, os cibercriminosos criaram um site onde é registrado o nome e a data em que os computadores foram infectados.

Comércio

Além de ter seus dados pessoais roubados, nesse ataque os computadores das vítimas também são utilizados para distribuir mensagens de spams – comportamento típico de botnets, redes de computadores zumbis controladas remotamente. O acesso às máquinas infectadas é negociado por R$100,00:

Como saber se você foi vitimado

É fácil descobrir se você é uma vítima desse tipo de ataque. Clique em “Iniciar”, “Executar” e coloque o comando “control userpasswords2” (sem aspas). Se a conta “Remo” estiver presente na caixa “Contas de Usuário” e não foi criada por nenhum membro do computador é provável que o vírus a tenha registrado.

Mais detalhes técnicos sobre o ataque podem ser obtidos no endereço
http://www.securelist.com/en/blog/208193037/All_your_data_belong_to_Remo (em inglês).

Fonte: itweb.com.br

Conheça o SPAMTITAN, solução completa de segurança para sistemas de e-mails oferecendo proteção de alto nível em spam, vírus, trojans e conteúdos indesejados.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: