GbPlugin atrapalhando ativamente a remoção de outros malwares.

Mais uma do notório malware da GAS Informática.

Se você pretende fazer remoção de malware no Windows e notar que o malware da GAS (Gbpsv.exe) está em execução, pergunte ao proprietário se pode começar por removê-lo (muitos nem fazem acesso a banco e nem sabem que o notebook foi usado para isso). Mesmo que o cliente diga que prefere não remover o lixo da GAS, pode valer a pena você dar um boot por LiveCD e renomear o diretório do GbPlugin temporariamente para evitar que ele rode enquanto você trabalha. Espantado com o tempo que estava levando para rodar o JRT na máquina de um cliente, eu resolvi cronometrar.

  • Com GbPlugin rodando: 77 minutos (1h17);
  • Sem GbPlugin rodando: 8 minutos;

A diferença é brutal, não é mesmo? Se você se der ao trabalho de dar boot por um LiveCD para desativar o GbPlugin e depois repetir o processo para reativá-lo ainda vai terminar muito antes o trabalho do que se deixar a porcaria da GAS atrapalhando. Em ambas as passagens de teste o GbPlugin JRT não estava fazendo nada realmente, porque ele já havia removido o que havia para remover em uma passagem anterior.

Isso pode ser resultado do fato de que nem JRT, nem AdwCleaner, tem uma assinatura digital. Mas essa relação ainda está sendo investigada.

Testado em um Notebook ACER Aspire One 722, com 2GB de RAM, rodando Windows 7 de 32bits.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
Be Sociable, Share!
24 comentários
  • Luciano - 297 Comentários

    Por essa e outras que eu só acesso bancos dentro da “redoma de vidro” ou seja, dentro de uma VM somente com o windows e as degraças dos plugins dos bancos. Acabei o uso, desligo a VM e tchau! Me PC limpinho B)

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ricardo Menzer - 84 Comentários

    Eu uso uma estratégia semelhante à do Luciano, só que a minha VM é Linux. Aí tem a vantagem de o Java não ficar enchendo o saco pra atualizar (nem tem as porcarias do plugins dos bancos).

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      O Java não enche o saco porque os bancos não usam java no Linux ou porque o Java atualiza silenciosamente? Algumas distros Linux, principalmente as baseadas em Debian (Ubuntu, Mint), costumam ter o irritante hábito de se achar o centro do seu universo e que toda a sua banda de internet está disponível automaticamente para elas. E só para elas.

      Quando instalo Linux (principalmente, Debian) eu já desativo a conexão com a internet para não ter nenhuma surpresa desagradável.

      Eu falo de Debian mas já tive problemas desse tipo com o OpenSuse. Esses mantenedores de distros Linux tem um “mindset” difícil de entender.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Ricardo Menzer - 84 Comentários

        O banco usa Java (Banco do Brasil). Sem ele não aparece o sistema de login. Mas eu instalo o java uma vez só. Como a instalação tem que ser manual (não é pelo gerenciador de pacotes do sistema), ele não fica pedindo pra atualizar. O banco também nunca reclamou da versão do Java. Mas se isso ocorrer, acho que basta instalar a versão mais nova por cima. Vai ser chato, mas pelo menos não é uma atualização por semana como é com o jusched.

        Uso o Ubuntu.

        Os problemas que você listou foram na instalação. Hoje o Ubuntu pergunta se quero fazer o download das atualizações durante a instalação. Aí eu deixo ou não conforme o meu humor do momento. Mas a primeira coisa que faço quando o sistema inicia é desativar a procura por atualizações. Senão fica o Ubuntu irritantemente pedindo para atualizar. :dashhead1:
        E se ele já tiver baixado a lista de atualizações, não adianta marcar pra ele não te avisar, a janela do atualizador vai aparecer de qualquer jeito. :dashhead1: :dashhead1:
        Aí ou você atualiza, ou faz umas magias negras (que preciso sempre consultar na Internet) pra fazê-lo parar.

        De qualquer forma, como uso a máquina somente para o banco, após estabilizado o sistema, a coisa parece funcionar. Linux em desktop é um pé no saco!

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Ricardo Menzer - 84 Comentários

          Como a instalação tem que ser manual (não é pelo gerenciador de pacotes do sistema), ele não fica pedindo pra atualizar.

          Preciso verificar a minha afirmação. Criei uma VM no trabalho pra acessar o banco e depois de um tempo o Java pediu pra atualizar… :(
          Vou ter que verificar se tem alguma opção extra de não verificar atualizações.
          A mensagem de atualização podia ser ignorada, e o site do BB funcionou com a versão “desatualizada”.

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
  • Alexandre Prestes - 5 Comentários

    Ah, essa praga do Gbplugin…

    Também uso uma VM para acessar os bancos. Nem a pau instalo esses plugins lixo na minha máquina.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Claudio - 5 Comentários

    Também sou fan das VMs para home banking, nada de vírus de banco no meu PC. Eu tentei por um tempo usar uma VM Linux, mas apanhei demais para manter Java + plugins de banco em dia, acabei desistindo e hoje dedico uma VM Windows para essa tarefa …

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 250 Comentários

    Ruim de usar VM é que tem que se ter mais uma licença Windows e ensinar o usuário a ligar e desligar a VM, né? Peguem o dia-a-dia de uma empresa (nossos PC do financeiro acessa bancos e mais 5 programas diferentes – ERP, Outlook, Excel, Word, Skype, etc.) ao mesmo tempo… lidar com o usuário as vezes é mais f*** que o próprio plugin… :(

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Eu não sei que VM ou processo você está usando, mas hoje iniciar uma VM Virtualbox é facílimo. Você cria uma atalho para a VM no desktop e clicar nele dá boot na VM direto.

      Mas realmente ter que separar outra licença do Windows só para isso é um desperdício.

      Linux + Firefox não consegue resolver? Eu sei que é mais fácil falar do que fazer, porque tarefas simples e necessárias como imprimir no Linux, principalmente em uma impressora de rede conectada a uma máquina Windows, ainda são suficientemente complicadas para você preferir pagar pela licença, mas em alguns poucos casos às vezes dá para usar o Linux com pouca dor de cabeça.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • VR5 - 250 Comentários

        Vou dar uma pesquisada na solução Linux + Firefox. Como você disse, tenho que pesar os prós & contras destas soluções… mas é brabo: há alguns anos eu perguntei num fórum que tratava exclusivamente de comunicações (o “finado” PortalADSL, chegou a ir lá?) como se poderia falar com os “engenheiros” das telecoms, os caras que realmente sabiam o que aconteciam e que poderiam realmente mudar as coisas, ou pelo menos dar dicas valiosas. Agora eu pergunto: NINGUÉM tem acesso ao “especialistas de segurança” dos bancos? Aqueles caras que realmente entendem o que são esses plug-ins? Como eles agem? Os danos que provocam? Será que eles não tem noção disso, ou estão, como se diz por aqui, “c****** & andando” pra gente? :(

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.025 Comentários

          Eu fiz um teste rápido aqui criando uma VM com Linux Mint. Dá para contornar a dor de cabeça com impressão imprimindo em PDF, o que o Mint já faz por default. Quanto a compartilhar arquivos com a VM, o recurso “Pastas Compartilhadas” do Virtualbox funciona, mas você tem que dar um comando “mount” chatinho de entender no terminal da VM Linux.

          Concluindo: desde que seus bancos não exijam nenhuma frescura adicional para acesso pelo Linux. Usar uma VM Linux para essa tarefa pode ser mais simples do que você imagina.

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
      • Luciano - 297 Comentários

        Ai é que tá o truque… muitas vezes a gente até tem uma outra licença dando sopa e nem se toca disso. O windows que roda no host tem sua licença. Na VM eu fiz um truque que não é aceito juridicamente, mas pelo menos eu consigo ficar com a consciência tranqüila… usei a licença do meu finado notebook acer, que virou sucata. Pra banco um windows xp dá sobra por enquanto. Ou seja… não beeeeem pirata, mas não estou seguindo a risca o que diz a licença, mas pelo menos eu acho “menos pior”.

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.025 Comentários

          Eu também acho isso suficientemente ético para eu ignorar que seja ilegal. Mas não dá para fazer numa empresa.

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
  • VR5 - 250 Comentários

    Já tentou entrar em contato diretamente com a GAS? Eles possuem uma página no Facebook, pelo que sei. E um formulário de contato no site deles… resolve?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Saulo Benigno - 260 Comentários

      Será que isso resolve? Eles vão ajudar e ver algo a respeito do JRT? Fiquei curioso :)

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Eu duvido muito. O GbPlugin vem sendo um problema há tanto tempo para tantos usuários no país inteiro que se fosse para eles resolverem, já teriam.

      Tenha em mente que BB e Caixa (dois dos clientes da GAS que distribuem o GbPlugin) são estatais. Não é preciso ter muita imaginação na área de conspirações para entender por que o malware da GAS ainda é usado por esses bancos.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • VR5 - 250 Comentários

        Eu também. Mas que seria interessante seria: você, um cara que tem conhecimento e experiência de sobra com esse problema (e não só com uma só empresa – como é o meu caso) contatar eles e eles te responderem, e um a um você ir refutando os procedimentos e alegações dele para depois contar aqui no blog… SE tiver tempo (e paciência!) faça isso um dia! ;)

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    A propósito: o IBM Trusteer Rapport já vem sendo distribuído pelo BB há muito tempo. Por que o malware da GAS ainda é instalado?

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • VR5 - 250 Comentários

      Uma dúvida: num PC novo (ou formatado) será instalado o Trusteer Rapport e/ou o GAS? Há a opção de escolha?

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • André Ribeiro - 4 Comentários

    Olá Ryan e colegas,

    Eu uso o truque de instalar uma extensão agent switcher no browser. Troco normalmente para safari, ultima versão, o site pede para executar o java e ok, livre para navegar sem o programa bola murcha da GAS.

    Abraços

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      É bom ter em mente que isso somente pode funcionar se o usuário da máquina nunca instalou o malware da GAS. Se em algum momento alguém com acesso ao computador autorizar a instalação de “solução de segurança”, então a máquina já pertence à GAS.

      Mas é uma dica útil e interessante saber que o banco acha que o Safari sempre roda em ambiente seguro.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Jefferson - 5.025 Comentários

        Eu testei isso esta semana. Parece que funciona com BNB e BB, mas não com Caixa e Unibanco. Estes dois tentam instalar uma versão para MAC OS.

        Entretanto, no caso do Unibanco eu não estou 100% certo, porque parece que o banco deixa você prosseguir com o acesso mesmo sem o módulo de segurança instalado.

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Fred - 1 Comentário

          Passei por esse desprazer para acessar o Internet Banking da Caixa no Windows 10 com o Internet Explorer, após instalar a dupla infernal GBBD e Warsaw.

          Como o meu navegador principal é o Google Chrome, e o segundo é o Firefox, desabilitei o plugin do banco neles. Mesmo assim, era visível o consumo de CPU, até movendo a barra de rolagem, uma grande lentidão. E o Task Manager indicava que o culpado era o GbPlugin. Aliás, quando tentei matar esse processo, o consumo aumentou consideravelmente e precisei rebootar.

          Hoje foi a gota d’água. Desinstalei esses programas, e como o plugin continuava no Windows, fui usando dicas encontradas por aí para remover o que tinha sobrado desses programas. Depois removi a extensão nos navegadores e limpei o registro do Windows, apagando qualquer referência a gbplugin, warsaw, gbieh e gbleh.

          Como o Google Chrome não tem mais suporte a Java, parti para essa tentativa de mudar o User-Agent no Firefox. Trocando pelo Firefox do Linux, acessei normalmente a Caixa.

          VA:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »