Ontem(08/09/2009) a noite por volta das 20:00 um código malicioso foi descoberto no site da operadora Vivo.

A falha era constatada quando usuários acessavam http://www.vivo.com.br/portal/home.php. Ao acessaram, o site solicitava a Instalação de um Applet, software que é executado no contexto do Navegador (Browser). Após a execução, o código malicioso promovia uma alteração no arquivo hosts, localizado em \WINDOWS\system32\drivers\etc\hosts, inserindo o IP (Internet Protocol) do falso servidor a ser resolvido quando o usuário digitasse domínios de instituições bancárias.





O que chamou a atenção foi a técnica utilizada para forjar um arquivo Applet, normalmente .jar ou .class, e uma imagem com extensão .jpg, fazendo com que o aplicativo passasse despercebido como se fosse uma “imagem”, enganando métodos superficiais de análise de código, vejamos:

Porém, ao ser baixado o arquivo“.jpg”, foi identificado que ele era do tipo Zip:

$ file logo_top.jpg:
Zip archive data, at least v2.0 to extract

Descompactando-o, era possível encontrar dentre outros arquivos dependentes, um arquivo classe “laa.class”, que ao editá-lo, era possível visualizar as chamadas para o servidor falso contendo sites bancários.

Ao que parece a Vivo já corrigiu esta falha. Porém mesmo que um antivirus simples reconheça este malware é recomendado a usuários que acessaram e executaram o Applet que verifiquem o Arquivo “hosts” de suas máquinas, e verifiquem se não foram afetados.

Este mesma falha foi encontrada em maio deste ano no site da Operadora Oi, que foi comprometida e usada por criminosos para instalar vírus Banker — ladrão de senhas bancárias — no computador dos visitantes.

Ao longo do dia de hoje, novas falhas estão sendo descobertas no site da vivo, com visualização de arquivos no servidor:

http://www.vivo.com.br/roaminginternacional/popup.php?url=/etc/hosts
http://www.vivo.com.br/roaminginternacional/popup.php?url=/etc/passwd