Hoje eu flagrei um exploit que eu só conhecia na teoria.
O cliente me chamou dizendo que não conseguia acessar vários sites, incluindo o UOL, no notebook, mas o MSN funcionava. Assim que eu botei o olho no IE eu sabia que havia um malware na máquina, porque havia uma janela de publicidade semelhante às que o programa Super Tela abre na frente do vídeo, com um botão “fechar” minúsculo.
Ao tentar abrir uol.com.br, eu era redirecionado automaticamente para globo.com, mas a página que abria não era a globo.com. Era uma página (até bem organizada) repleta de propaganda do tipo adsense, que simulava a página de um provedor de hospedagem. Estava lá na barra de endereços: http://www.globo.com, mas a página não tinha nada a ver.
Mas e cadê o danado do malware?
Desativei todos complementos do IE, redefini para a configuração default, verifiquei configurações de proxy, arquivo hosts, configuração de DNS, usei o Autoruns e o Process Explorer para examinar os processos… tudo parecia “normal”.
Tentei baixar o bankerfix, mas a página era automaticamente bloqueada.
Fiquei desconfiado. São raros os malwares que eu não consigo detectar usando o Autoruns e o Process Explorer. Teria que ser um negócio bem feito para passar abaixo do meu radar. E um malware dedicado a propaganda nunca é tão elaborado assim. Comecei a desconfiar de outra coisa.
Conectei o meu notebook à rede do cliente e tentei acessar o UOL. Mesmo problema.
Então eu sabia o que era.
O cliente tem três roteadores em cascata:
Modem DSL 500B -> Roteador VOIP – > Roteador Wireless
Saí olhando as configurações de DNS de um por um até chegar ao modem, onde não consegui entrar na configuração. As senhas habituais para um DSL-500B não funcionavam.
O FDP tinha mudado as configurações de DNS do modem remotamente, apontando para o seu próprio servidor, e mudou a senha de acesso. Assim a rede toda estava “infectada”, sem nenhum computador estar.
Resetei o modem, configurei para o Velox e mudei a senha de acesso. Problema resolvido.
Liked by: Bruno Oliveira, pedro santo
A última vez que alertei para esse exploit foi em abril, mas ainda era algo teórico para mim:
https://plus.google.com/117578158927571476541/posts/ehgiNhTLnCd
Conclusão: jamais deixe o modem com a senha padrão. Esse caso foi só de propaganda, mas o FDP poderia com igual facilidade redirecionar qualquer acesso a banco.
Se bem que eu não testei acesso a bancos. O FDP poderia também estar explorando isso, mas como esse cliente não acessa bancos no notebook, não notou.