[BUZZ] Hoje eu flagrei um exploit que eu só conhecia na teoria: DNS poisoning

Hoje eu flagrei um exploit que eu só conhecia na teoria.

O cliente me chamou dizendo que não conseguia acessar vários sites, incluindo o UOL, no notebook, mas o MSN funcionava. Assim que eu botei o olho no IE eu sabia que havia um malware na máquina, porque havia uma janela de publicidade semelhante às que o programa Super Tela abre na frente do vídeo, com um botão “fechar” minúsculo.

Ao tentar abrir uol.com.br, eu era redirecionado automaticamente para globo.com, mas a página que abria não era a globo.com. Era uma página (até bem organizada) repleta de propaganda do tipo adsense, que simulava a página de um provedor de hospedagem. Estava lá na barra de endereços: http://www.globo.com, mas a página não tinha nada a ver.

Mas e cadê o danado do malware?

Desativei todos complementos do IE, redefini para a configuração default, verifiquei configurações de proxy, arquivo hosts, configuração de DNS, usei o Autoruns e o Process Explorer para examinar os processos… tudo parecia “normal”.

Tentei baixar o bankerfix, mas a página era automaticamente bloqueada.

Fiquei desconfiado. São raros os malwares que eu não consigo detectar usando o Autoruns e o Process Explorer. Teria que ser um negócio bem feito para passar abaixo do meu radar. E um malware dedicado a propaganda nunca é tão elaborado assim. Comecei a desconfiar de outra coisa.

Conectei o meu notebook à rede do cliente e tentei acessar o UOL. Mesmo problema.

Então eu sabia o que era.

O cliente tem três roteadores em cascata:

Modem DSL 500B -> Roteador VOIP – > Roteador Wireless

Saí olhando as configurações de DNS de um por um até chegar ao modem, onde não consegui entrar na configuração. As senhas habituais para um DSL-500B não funcionavam.

O FDP tinha mudado as configurações de DNS do modem remotamente, apontando para o seu próprio servidor, e mudou a senha de acesso. Assim a rede toda estava “infectada”, sem nenhum computador estar.

Resetei o modem, configurei para o Velox e mudei a senha de acesso. Problema resolvido.


Liked by: Bruno Oliveira, pedro santo

1 comentário
  • Jefferson - 6.543 Comentários

    A última vez que alertei para esse exploit foi em abril, mas ainda era algo teórico para mim:
    https://plus.google.com/117578158927571476541/posts/ehgiNhTLnCd

    Conclusão: jamais deixe o modem com a senha padrão. Esse caso foi só de propaganda, mas o FDP poderia com igual facilidade redirecionar qualquer acesso a banco.

    Se bem que eu não testei acesso a bancos. O FDP poderia também estar explorando isso, mas como esse cliente não acessa bancos no notebook, não notou.

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »