Seu PC foi infectado? Agora vai ter que formatar para acessar de novo o banco!

Descobri isso ontem. Uma funcionária de um cliente se deixou enganar por uma mensagem de atualização obrigatória falsa e se infectou com um malware. Em seguida perdeu acesso ao Itaú, Caixa e BB. Os três usam a maldita solução de segurança da GAS/Diebold. Até aí, normal e esperado.

Dei um boot por um LiveCD, guardei todo o conteúdo do HDD em um diretório e fiz nova instalação do Windows. Me surpreendi quando ao acessar a Caixa, recebi a mensagem:

X5 – Computador / dispositivo bloqueado. Favor entrar em contato com o suporte tecnológico.

Note que a mensagem não diz “conta” ou “usuário”. Ela menciona especificamente o hardware. Como, numa instalação nova, a Caixa reconhece o dispositivo? Eu sei que isso é perfeitamente possível, no mínimo tendo armazenado o endereço MAC ou em outro tipo de “fingerprint” do hardware, mas aí a Caixa teria que se basear na “palavra” do cliente (eu juro que formatei!) porque o hardware não muda mesmo depois de formatar. Desconfiei que a maldita solução de segurança ou estivesse escondendo algo na partição ou armazenando em um servidor externo o serial do volume, que é recriado a cada formatação.  Então como estávamos na hora do almoço e não conseguimos falar com o pessoal da Caixa, aproveitei o tempo para mover os dados do cliente para outra partição e fazer o que raramente faço: formatar. Fui mais drástico ainda: removi a partição de 100MB que o Windows cria automaticamente e a partição onde estava o drive C:

Após nova instalação do Windows, o acesso à Caixa funcionou na primeira tentativa.

Se a solução de segurança estiver mesmo se baseando em um serial, nem mesmo ter feito uma imagem de backup da partição com Trueimage ou similar  será suficiente para aplacar a ira dos deuses da Diebold. Somente um sacrifício na forma de uma formatação será capaz de resolver o problema. Sim, eu já disse isso antes!

E não foi só a Caixa que percebeu que eu não havia formatado. Antes de formatar, o Itaú estava pedindo um recadastramento do computador que envolvia uma declaração assinada pelo dono da conta e entregue pessoalmente ao gerente do banco (procedimento que a funcionária disse ser comum). Nem sequer imprimimos o formulário e após a formatação a conta foi acessada sem precisar de nada disso. Não chegamos a confirmar o BB, porque o usuário também estava bloqueado ainda, mas suspeito que o problema seria similar.

Minha recomendação: Comece a recomendar a seus clientes o uso exclusivo de máquinas virtuais para acesso a bancos.

Quando eu puder vou fazer imagens dos HDDs de alguns clientes empresariais só para testar depois de um bloqueio se recarregar uma imagem seria o bastante.

 

41 comentários
  • Matuto - 129 Comentários

    Dois clientes meus passaram por alguma coisa parecida no BB. Uma delas informou que o pessoal do helpdesk mandou ela formatar o HD. Ainda estou aguardando ela retornar a ligação e me dizer como foi resolvido o problema. Eu achava que apagando as pastas do WARSAW e limpando o registro do Windows resolveria, mas nem cheguei a testar isso.

  • Jefferson - 6.539 Comentários

    Só me ocorreu agora procurar saber se é possível mudar o serial do volume sem formatar. Claro que é! :dashhead1:

    Da próxima vez que eu me deparar com esse problema, depois que eu apagar o gbplugin/warsaw manualmente vou mudar o serial do volume e ver o que acontece.

    • Eduardo - 6 Comentários

      Só mudar o serial do volume não deu certo. Acabei de testar. O que resta é mudar o ID de instalação do Windows como o Daniel falou mais abaixo. Mas eu não encontrei um programa que faça isso.

      • Jefferson - 6.539 Comentários

        Não sei o que é esse “ID de instalação do Windows” mas não creio que esteja relacionado com o problema. Se você ler com atenção meu post, verá que eu fiz uma instalação inteiramente nova do Windows, sem formatar, e o banco rejeitou o acesso. Formatar e fazer a instalação nova foi aprovado. Isso sugere que o que quer que seja que o programa de segurança está olhando, está no disco e não na instalação do Windows.

  • Jesusleno - 18 Comentários

    Eu trabalho na CAIXA e também passo frequentemente por esses problemas junto aos meus clientes, inclusive já aconteceu com o micro que eu trabalho dentro da agência e foi preciso formatar (subir uma nova imagem, como eles chamam), sem isso nada feito!

    Se você puder ser mais específico onde fica as pastas e os termos do registro que devo apagar, posso tentar a solução de trocar o número do volume, para ver se dar certo ter novamente o acesso sem a formatação.

  • Daniel - 3 Comentários

    Existe um programa que muda a serial do volume e outro que muda a ID de instalação do windows. Costumo resolver assim.

    • Eduardo - 6 Comentários

      Não encontrei um programa que faça a alteração do ID de instalação do Windows. Você pode indicar algum?

      • Matuto - 129 Comentários

        Eu testei uma vez o VolumeID v2.1.

        O link é esse:
        https://docs.microsoft.com/pt-br/sysinternals/downloads/volumeid

        Ele funciona pelo Prompt de Comando. Tu faz o procedimento e reinicia o Windows, daí quando ele entrar novamente o Volume da Unidade vai estar com o novo valor que tu colocou.

        • Jefferson - 6.539 Comentários

          Salvo engano, esse “Volume ID” é o mesmo “serial do volume” do qual estamos falando. Está relacionado com a formatação do disco e não com a instalação do Windows.

          Mas o que realmente importa é: você teve sucesso usando esse programa para driblar o bloqueio do banco?

          • Eduardo - 6 Comentários

            Eu testei e não resolveu….
            Desinstalei o Warsaw, mudei o serial do Volume C: com esse aplicativo, reiniciei o computador, conferi se tinha mudado e tentei novamente o acesso ao BB, mas continua bloqueado.
            Vou tentar novamente alterando o serial dos outros volumes também. O de recuperação e aquele outro que fica logo no começo do disco.
            Tem alguma outra informação relacionada ao HD que poderíamos mudar?

            • Eduardo - 6 Comentários

              Consegui resolver no meu.
              Removi a pasta c:\Programdata\Temp
              Aparentemente o Warsaw cria um ID para o computador, armazena lá e quando desinstalamos essa pasta é mantida.

              • Jefferson - 6.539 Comentários

                Hummm… quer dizer que basta mudar o serial do volume e remover a pasta para desbloquear o acesso? Obrigado pelo feedback!

              • Paulo Henrique - 1 Comentário

                Deu certo a sugestão do Eduardo. Excluir a pasta temp.

                Grato,

              • Fhilipe Rotta - 1 Comentário

                Funcionou perfeitamente com a dica do Eduardo, fiz o procedimento em uma estação aqui do serviço e deu certo
                Agradeço ao Eduardo, Jefferson e ao Paulo Henrique, sem essa dica teria que formatar a máquina

              • Fernando - 1 Comentário

                Removi o Warsaw, troquei o serial do volume, removi a pasta C:\ProgramData\Temp e nada feito. Mas mudou o erro, era “X5 – Computador/dispositivo bloqueado” agora é “Dispositivo bloqueado.”

              • Sergio - 1 Comentário

                Excelente dica!
                No meu caso, apenas desinstalei o Warsaw e apaguei a pasta C:\ProgramData\Temp, além de limpar dados do navegador. Voltou a funcionar BB e Caixa!!!
                Já tinha trocado MacAddress etc. Mas voltei o MacAddress original. Nem precisei recadastrar o computador, os bancos entenderam que eu formatei o computador e voltaram a me aceitar.
                Agradeço mais uma vez.

              • camilo - 1 Comentário

                Boa tarde, gostaria de agradecer a todos pelas dicas, em especial ao Eduardo,
                pois foi com a sua que conseguir resolver este problema que já se arrastava desde o ano passado, valeu.

                • Filipe - 1 Comentário

                  Consegui resolver fazendo o procedimento de excluir os dados de historico do navegador, desinstalando os dispositivos de segurança e ecluindo as pastas dos programas e a TEMP. funcionou como o Euardo falou!

                  Obrigado a todos!

                  • Roberto - 1 Comentário

                    Você usa o Windows 10? Tentei fazer o mesmo procedimento, porém o problema persiste…

                    • Eduardo - 6 Comentários

                      Robeto, eu uso o Windows 10.

                    • Fernando Freitas - 1 Comentário

                      Obrigado Eduardo, mas pelo jeito o sistema voltou a detectar quando o computador não é formatado. Já fiz de tudo nos últimos dias: alterei hostname da máquina, mudei o grupo de trabalho, alterei o endereço MAC da placa de rede, removi todas as pastas Warsaw e Diebold (incluindo os diretórios ‘Temp’), alterei o volumeid de todas as partições, limpei o histórico/cookies dos navegadores, e mesmo assim o banco continua informando que o dispositivo está bloqueado. Infelizmente vou continuar sem acesso ao internet banking (também utilizo o Windows 10 como sistema operacional) :(

                • Eduardo - 6 Comentários

                  Imagina Camilo! Que bom que conseguiu.

  • Dalton - 1 Comentário

    Eu sou cliente da sucateada Caixa Econômica Federal e já tive este maldito problema várias vezes apesar de ter o BitDefender Total comprado e legal na máquina. Eu cansado disso, fiz clones dos HDs aqui com Easeus, free e muito bom , aliás. Quando refiz o clone em cima do HD Windows10 que a miserável da CEF não admitia, também não funcionou. Gostei da ideia do Drive Virtual, agora vou fazer assim. Acho chato, pesado e com imagem ruim, mas deve resolver.

  • Ivan - 1 Comentário

    Desconfio que o BB está bloqueando máquinas virtuais. Ao menos no caso da minha conta e também da minha esposa, tendo instalado linux mint 64bit em uma maquina virtual para cada. Só dor de cabeça!

  • Guilherme - 1 Comentário

    Tive recentemente problema também em meu computador de acesso bloqueado no Banco do Brasil, desinstalei o warsaw, removi os dados da pasta c:\Programdata\Temp e alterei o Volume ID e deu certo. É uma palhaçada o que esse modulo de proteção ineficiente faz! É pior que virus! Já tive inúmeros problemas e aplicativos que simplesmente não inicializam por conta da Diebold, quem puder passe longe disso! A algumas semanas, depois de uma atualização do warsaw, todos os downloads que tentava realizar demorava cerca de 10s para abrir a janela de salvar, demoraram duas semanas até lançarem a atualização de correção e o pior é que temos que aceitar tudo isso de mãos amarradas!!!

  • Cristiano Nunes - 1 Comentário

    No Linux (Ubuntu), para resolver o problema eu segui os passos:

    1) Desinstalar o Warsaw:
    sudo apt purge warsaw

    2) Remover os diretórios temporários do Warsaw:
    sudo rm -rf /tmp/.wsdl/
    sudo rm -rf /tmp/upd/
    sudo rm -rf /dev/shm/wi*

    3) Alterar o hostname da máquina:
    Editar e alterar o hostname nos arquivos: “/etc/hostname” e “/etc/hosts”
    sudo hostname [nome_do_novo_hostname]

    4) Instalar novamente o Warsaw::
    sudo dpkg -i warsaw_setup64.deb

  • alberto - 1 Comentário

    funcionou hoje para mim somente apagando a pasta. obrigado

  • Thiago Mattos - 1 Comentário

    Boa tarde, estive com o mesmo problema e consegui resolver sem a necessidade de formatação.

    Procedimentos:
    Desinstalar os módulos de segurança existentes
    Acessar: http://www.caixa.gov.br/site/paginas/downloads.aspx

    No link acima tem 3 programas, baixe-os e instale em ordem.

    So isso, na minha instalação o segundo programa deu erro, mas mesmo assim voltou a funcionar o Internet Banking. Qualquer duvida podem chamar por e-mail

  • Paulo Aguiar - 1 Comentário

    Tenho uma máquina que roda Win 7 64 e tive essa mesma decepção que todos estão relatando por aqui. Fiz o procedimento abaixo e voltei a utilizar meu PC sem ter que formatá-lo

    1º – Painel de controle / Programas e Recursos / desinstalar programa “Warsaw”. Após o sistema vais pedir para reiniciar o computador, mas deixa pra fazer isso após o último passo.

    2º – Digite no campo de pesquisa de programas e pastas a palavra “Regedit”. Ela vai mostrar o aplicativo de editor de registro.

    3º – Abra o editor de registro e siga o caminha abaixo:

    HKEY_LOCAL_MACHINE / SOFTWARE / Diebold.
    Apagar a pasta “Diebold” inteira

    4º – Ainda no editor de registro, siga o caminho

    HKEY_LOCAL_MACHINE / SOFTWARE / SYSTEM / CurrentControlSet / services / wsddntf.
    Apagar a pasta “wsddntf” inteira. Após, fecha o editor de registro, e continue:

    5º – Abra “disco local C”, na barra de ferramenteas, clique em “ferramentas” e depois “opções de pasta”, “Modo de exibição”; procure por “pastas e arquivos ocultos e marque na caixa de diálogos “Mostrar arquivos, pastas e unidades ocultas”.

    6º – Abra “disco local C” e abra a pasta “arquivos de programas” e apague a pasta “Diebold” inteira

    7º – Ainda no “disco Local C”, vá na pasta Arquivo de Programas (x86) e apague a pasta “Diebold” lá também. (a pasta “Diebold” estará oculta, razão pela qual é indicado o 5º passo acima).

    8º – Feche tudo que estiver aberto no computador e reinicie a máquina.

    9º – Após reiniciado, abra o navegador, entre no site do BB. Rodar o aplicativo de diagnostico e pode entrar em sua conta novamente e sem ter que formatar seu computador.
    No meu computador voltou a funcionar. Espero ter contribuído!

    • Nelson - 1 Comentário

      Boa tarde,

      Depois de muitas tentativas a que resolveu para min foi seguindo estas orientações do Paulo Aguiar!

      Agradeço

      Abraço

  • Laercio Camargo - 1 Comentário

    Excelente !! deu certo .. obrigado !

  • Marcelo Neuri Haag - 107 Comentários

    Criamos uma VM aqui no Servidor da empresa só para usar os bancos: foi a melhor coisa que poderíamos ter feito! E com isso também ganhamos a opção de acessar (via VPN) as contas da empresa remotamente! :yahoo:

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Eu não entendo por que as pessoas ainda instalam e usam softwares da IOBIT

Além de Advanced SystemCare e (em menor grau) Driver Booster terem utilidade e eficácia altamente questionáveis temos o fato de que a empresa chinesa (que surpresa) em 2009 foi flagrada roubando da Malwarebytes.

O IObit Uninstaller “pode” ser útil mas sendo dessa empresa eu não usaria, até mesmo porque outras opções existem.

1 comentário
  • Marcio - 14 Comentários

    Jefferson, você poderia fazer um post com softwares recomendados, um aplicativo para clonar HDs, um atualizador de drivers online e outras coisas úteis para pessoas que eventualmente precisam reparar um computador.
    Tenho a minha lista de aplicativos mas sempre me interesso em saber o que outras pessoas estão usando e porque.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O doublepulsar/Eternalblue já é pior que o Conficker

Eu antecipei isso no mês passado. Agora está em todos os noticiários do Brasil que um ransonware turbinado pelo doublepulsar está fazendo vítimas em todo o mundo. As reportagens falam em “Eternalblue”, que até onde sei é o nome da vulnerabilidade. Doublepulsar é o nome da ferramenta que a explora. Eu posso ter confundido as coisas mas o fato é que na prática os dois termos se referem ao mesmo problema.

Muita bobagem está sendo dita por aí em fóruns por isso vou aproveitar para lembrar a todos de alguns pontos sobre esse problema:

  • Ramsonware não precisa de permissões de administrador em nenhum sistema operacional. Repita comigo: “Ramsonware não precisa de permissões de administrador em nenhum sistema operacional!”. Isso é auto-evidente para profissionais de TI (mesmo os meia-boca como eu) mas meros usuários podem cometer o erro de achar que rodando como usuário limitado estão seguros;
  • Eternalblue/Doublepulsar também não precisa de permissões de administrador. É um ataque “anel zero” (obtém o mais alto privilégio existente) remoto que não precisa sequer que um usuário esteja logado na máquina para operar;
  • A máquina não estar ligada diretamente à internet não a torna segura. Qualquer vírus/worm desse tipo se desloca “lateralmente”. Basta uma máquina infectada por qualquer meio que seja (e-mail, pendrive, etc) ser conectada à rede para o vírus se instalar em qualquer outra máquina da mesma sub-rede que não esteja protegida.

Sim, a união de Eternalblue/DoublePulsar com um ransonware é uma catástrofe.

Como se proteger (ainda em avaliação)

Windows XP e 2003 não tem proteção (não tinham! leia comentários). Abandone-os ou desative o suporte a SMB da máquina. Você não poderá mais compartilhar arquivos e impressoras na máquina*, mas se seu uso não requer isso, tudo bem. Entretanto empreenda esforços para que qualquer instalação rodando Windows XP ou 2003 seja “descartável” e trate-a como um dispositivo possivelmente hostil que você precisa tolerar na sua rede porque esse não será o último vírus para o qual o XP/2003 não terá proteção. E eu falo isso como fã do XP.

Se usa um SO ainda suportado pela Microsoft, instale o patch.

Se quiser ter uma camada extra de proteção, faça o que vem sendo recomendado desde 2016 pela própria MS: Desative o suporte a SMBv1. O efeito colateral disso é que máquinas rodando Windows XP e 2003 não poderão mais acessar compartilhamentos na sua máquina*. O mesmo possivelmente se aplica a media players como o Egreat e o DiYOMATE. Mas se você não precisa disso ou você nem compartilha nada na sua máquina mesmo, exclua o serviço.

Atualizar o antivírus pode ajudar muito. Como esse vírus está “famoso” todos os grandes antivírus já devem ter detecção. O antivírus pode não conseguir impedir a invasão via exploit (aplique o patch) mas pode impedir o usuário de instalar o vírus recebido por e-mail ou pendrive.

 

*Que eu saiba, EternalBlue/Doublepulsar exploram uma vulnerabilidade no serviço “SMB server” e não no “client” então você só precisa abdicar da possibilidade de ter compartilhamentos e não de acessá-los. Mas não posso garantir isso ainda.

 

 

18 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Como remover a barra “secure search” que “infecta” o Google Chrome

O primeiro sintoma desse problema é o aparecimento de uma barra chamada “secure search” mesmo na versão em português do Google Chrome.

secure-search-bar-hijacker_ryan.com.br

Em seguida diversos redirecionamentos começam a surgir. Abas que você já tinha aberto “se transformam” em outras coisas. Cliques que você dá abrem mais de uma página, etc.

Eu comecei acreditando que era um malware, mas depois de todas as minhas tentativas manuais e automáticas de achá-lo fracassarem eu dei uma olhada na definição de proxy do Windows e lá estava o problema: havia uma definição de script de configuração automática apontando para um tal de no-stop.org. Após remover essa configuração o problema sumiu.

Eu não estava 100% certo de que o problema havia sido realmente resolvido ou o malware estava “descansando” para rir da minha cara depois, por isso fiz mais tarde uma pesquisa incluindo “proxy” e encontrei outra pessoa com a mesma solução. O que para mim confirma que é isso mesmo. Apesar da configuração maliciosa de um proxy não ser algo incomum, eu não desconfiei mais rápido disso porque a navegação estava rápida e em meus últimos problemas desse tipo a navegação ficava lenta e errática. Mas o tal no-stop.org se apresenta como um serviço “legítimo” de alta capacidade que tem a intenção de permitir passar por cima de bloqueios de empresas e países a determinados sites. Coincidentemente ou não eu encontrei o problema no computador de uma empresa.

Se você não sabe como se limpa a definição de proxy, siga as figuras na página indicada. Você deve apagar o campo onde aparece “no-stop.org” e desmarcar as duas caixas de seleção.

É importante lembrar que essa definição de proxy também afeta o Internet Explorer.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Cryptowall 4.0 é o quinto cavaleiro do apocalipse!

Pelo menos essa é a idéia que passa pela nossa cabeça ao ler a descrição do mais novo ransonware a ter como alvo usuários Windows. Os criadores dessa versão corrigiram o bug que permitia a recuperação das chaves na versão 3.0. A Bitdefender diz ter uma vacina específica para essa versão, mas não testei e não boto muita fé.

Hora de reativar o firewall com HIPS e perder o hábito de ter tantos HDDs online ao mesmo tempo. Vou reduzir a apenas um. E preparar para mim uma versão da mesma estratégia de backup que venho aplicando para meus clientes.

É uma pena que no modo “paranóico” o Comodo Firewall sempre trave a máquina inteira quando saio da hibernação. Paranóia é algo bem desejável nesse caso.

15 comentários
  • Walter - 10 Comentários

    Há alguns dias, um cliente me ligou e disse para dar uma olhada no micro dele porque nenhum documento estava abrindo (arquivo corrompido). Imaginei que o disco deveria estar corrompido(na minha cidade a energia cai direto). Cheguei lá e já olho no desktop aquele HELP_DECRYPT.TXT :(
    O cliente até fazia backup dos arquivos em um pendrive, e atualizava semanalmente, mais quando os arquivos não funcionaram ele colocou o pendrive no micro e acabou perdendo o backup também. Pelo arquivo txt era a versão 3.0 do Cryptowall e o Avast estava funcionando normalmente na máquina.

    • Jefferson - 6.539 Comentários

      Mais um ponto para backup em DVD. E as pessoas precisam ter em mente que (não estou me referindo a você, Walter):

      1)backup em mídia R/W não é seguro. E não apenas por causa de ransonware. O DVD-R só é lembrado hoje como mídia de filmes e todo mundo quer usar pendrive para tudo.
      2)Backup é coisa preciosa. Numa empresa, quando se precisa olhar algo no backup, um intermediário precisa sempre fornecer uma cópia do backup. Isso vale mesmo para DVD, porque backup deve ser tratado como algo precioso toda vez que você precisa dele;
      3)Anti-virus é só uma ajuda. Não uma garantia.

      Ao plugar o único backup feito em mídia R/W na máquina infectada, mesmo uma estratégia de backup em múltiplas gerações teria ido por água abaixo.

      Ele conseguiu decriptografar os arquivos com as ferramentas que estão distribuindo por aí?

  • Walter - 10 Comentários

    Então eu gravo todos os arquivos importantes aqui em DVD, não confio em nenhum outro tipo de Backup por já ter tido problemas com HD no passado. Hoje minha estratégia de backup fica assim:

    – Backup semanal em um HD externo, ele não fica no Micro (na verdade nem perto da onde ficam os PC’s) e só conecto se a maquina estiver OK.
    – Backup em DVD de qualquer coisas que não se possa obter normalmente(Fotos/Projetos),
    e mantenho as copias no PC.
    – Algumas coisas vão pro OneDrive, normalmente pra acessar de outro lugar.
    – Anotações no Evernote/Simplenote(Cansei de usar TXT/DOC)
    – Mídia só em HD mesmo, quase 3TB :-P

    Por aqui nenhuma empresa leva Backup muito a sério, gente que esquece, gente que faz um backup lá de vez em quando, gente que simplesmente NÃO faz mesmo você falando VÁRIAS vezes durante MESES. Até que um dia queima um HD e lá se vão anos de informações. Infelizmente nada funcionou para recuperar os arquivos, boa parte dos arquivo sumiram também, havia várias pastas vazias, ele tinha algumas coisas em outro notebook dele antes do ocorrido, mais muita coisa foi embora :(

    • Jefferson - 6.539 Comentários

      Meus clientes Pessoa Física eu sei que nunca vão levar backup a sério, não importa o quanto eu avise. Por isso toda vez que o PC passa pelas minhas mãos eu faço o backup e guardo comigo, mas eu não digo isso a eles para que não vire uma “resposnsabilidade” minha. Se um dia eles precisarem vou poder ajudar, mas também vou pedir uma recompensa por isso, porque fazer e manter essas cópias também tem um custo.

  • Daniel - 29 Comentários

    Jefferson, o que você acha?

    Tenho o backup do meu mac em um hd externo usando o recurso timemachine. Pensei em comprar um plano de 1tb no google ou dropbox, mas resolvi montar a minha própria rede com o onwcloud num raspberry pi e instalar na casa dos meus pais.

    Ou seja tenho o backup principal em casa e um de segurança em um local remoto.

    • Jefferson - 6.539 Comentários

      Tenho o backup do meu mac em um hd externo usando o recurso timemachine.

      Até onde sei, o Time Machine usa um esquema de backup do tipo “versioning” que é seguro. A não ser que o Time Machine seja desabilitado ou o HDD externo apagado. Se você leva o problema a sério, deve mesmo fazer o backup offline dos dados do MAC, o que nos leva ao próximo ponto.

      Pensei em comprar um plano de 1tb no google ou dropbox,

      Uma conta Pro do Dropbox é muito útil. Dropbox oferece um recurso semelhante ao Time Machine (versioning) que permite você ir atrás de cópias antigas dos seus arquivos. A versão gratuita é insuficiente porque você só consegue voltar no tempo 30 dias. Mas a versão Pro oferece um ano de proteção.

      mas resolvi montar a minha própria rede com o onwcloud num raspberry pi e instalar na casa dos meus pais.

      Ou seja tenho o backup principal em casa e um de segurança em um local remoto.

      Não conheço o Owncloud e não sei como opera. Mas você pode ter obter cópia offline segura instalando um simples servidor FTP no destino. Eu não sei como fazer em um MAC, mas no Windows o Cobian Backup pode fazer uma cópia incremental e jogar direto para um servidor FTP. Um servidor FTP tem a opção de permitir que arquivos sejam acrescentados mas negar que sejam deletados, o que é perfeito para essa aplicação.

      Mas isso requer que você instale um programa de backup na máquina a proteger. Se o Owncloud operar como a versão Pro do Dropbox, então eu imagino que seja opção ainda melhor, porque é transparente para o usuário.

    • Jefferson - 6.539 Comentários

      Eu acabo de checar o manual de usuário do Owncloud e ele oferece, sim, versioning. Porém existem limitações que é preciso ter em mente (capítulo 4.11, página 33):

      The versioning app expires old versions automatically to make sure that the user doesn’t run out of space. This pattern is used to delete old versions:

      • For the first second we keep one version
      • For the first 10 seconds ownCloud keeps one version every 2 seconds
      • For the first minute ownCloud keeps one version every 10 seconds
      • For the first hour ownCloud keeps one version every minute
      • For the first 24 hours ownCloud keeps one version every hour
      • For the first 30 days ownCloud keeps one version every day
      • After the first 30 days ownCloud keeps one version every week

      The versions are adjusted along this pattern every time a new version gets created.
      The version app never uses more that 50% of the user’s currently available free space. If the stored versions exceed this limit, ownCloud deletes the oldest versions until it meets the disk space limit again.

      Depois de 30 dias apenas uma versão é guardada por semana.

      O programa pode apagar versões antigas se não houver espaço em disco.
      Eu não gosto disso.

      O comportamento exato precisa ser testado. Porque se criar um grande volume de arquivos novos gatilhar Owncloud a apagar versões antigas de outros arquivos isso pode ser explorado por um ransonware.

    • Jefferson - 6.539 Comentários

      Outra coisa a ter em mente ao usar o Owncloud/Dropbox é o seguinte:

      Qual a dificuldade envolvida para restaurar em massa arquivos até uma determinada data?

      Para recuperar um punhado de arquivos o processo do Ownclowd/Dropbox de clicar em um por um e pedir uma determinada versão parece OK. Mas se você quiser recuperar milhares? Melhor que perder os arquivos, sim. Mas é um trabalho mortalmente tedioso e por isso mesmo sujeito a erros.

      Em um processo tradicional de backup incremental, você pode criar um batch para consolidar todos os backups incrementais até uma determinada data em uma única estrutura. Não é “fácil” mas é muito mais fácil do que operar com os arquivos um a um usando uma GUI.

      • Jefferson - 6.539 Comentários

        Parece que meramente restaurar o apagamento de um grande número de arquivos é problemático no Owncloud. E “undelete” deveria ser fácil. Se nem isso o Owncloud consegue fazer satisfatoriamente, temo que restaurar todo o seu acervo para um determinado dia (como faz o Time Machine da Apple) seja incrivelmente problemático.

        Considere criar sua própria “Time Capsule” (atenção usuários Windows: essa solução só serve para usuários de MAC OS)

        • Daniel - 29 Comentários

          Jefferson,

          Muito obrigado pelas dicas.

          Estava disposto a montar o meu próprio servidor de backup com o Owncloud e “time capsule”, mas em uma viagem acabei esbarrando no Seagate Personal Cloud (http://amzn.to/1PhYnEg) que no caso saiu cerca de US$20,00 mais caro que apenas um HD Externo de 3TB que eu iria utilizar com o Raspberry. Com a vantagem de já ser compatível com “Time Machine”, ser servidor de mídia DNLA e o OSX reconhecer ele automaticamente. A configuração é bem simples e consigo instalar,não testei, o Owncloud e o Plex Media Server.

          Estou com o aparelho há uma semana e estou gostando.. Ainda estudando qual será o melhor esquema de backup e vendo o desempenho como servidor de mídia.

          Parte do objetivo consegui que é não gastar cerca de US$100,00/ano com armazenamento em nuvem, mas continuo com o problema de manter o “backup” no mesmo lugar dos meus equipamentos.

          Um abraço

          Daniel

  • Jefferson - 6.539 Comentários

    E para confirmar que não há nada tão ruim que não possa piorar, ainda falta uma coisa ao Cryptowall para ele se tornar ainda mais maligno: ele não é um vírus propriamente dito. Como ele se espalha primariamente por email ou explora vulnerabilidades diversas na navegação pela internet, seu estrago tem chance de ficar contido a uma máquina. Se ele fosse um file infector ou se instalasse como alvo do Autorun em todas as unidades removíveis a coisa ficaria ainda mais feia.

    E não há nada que impeça a versão 4.1 de ser assim.

  • Marcio Nascimento - 1 Comentário

    Vou dar uma dica: http://www.idrive.com (para usuário pessoa física) e http://www.ibackup.com (para empresas). Já foi o tempo de backup em CD/DVD ou HD. Qualquer midia física é suscetível a todo tipo de problemas.
    Não tem nada melhor que um backup em nuvem, com suporte a versioning, com aplicativo que gerencia os backup, agendamento, roda como serviço, etc.

    OwnCloud tenho em um cliente, é legal mas não é pra backup.

    • Jefferson - 6.539 Comentários

      no iBackup qual é o procedimento para que eu consiga uma cópia consolidada de 200 mil arquivos como existia em um determinado dia do ano? Funciona como o Time Machine da Apple, restaurando tudo de uma vez? Ou eu baixo um pacote com os 200 mil arquivos e cuido da restauração?

  • Rodolfo - 1 Comentário

    Eu uso o BackBlaze. Não sei se é bom, pois não precisei de restore ainda.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

GbPlugin atrapalhando ativamente a remoção de outros malwares.

Mais uma do notório malware da GAS Informática.

Se você pretende fazer remoção de malware no Windows e notar que o malware da GAS (Gbpsv.exe) está em execução, pergunte ao proprietário se pode começar por removê-lo (muitos nem fazem acesso a banco e nem sabem que o notebook foi usado para isso). Mesmo que o cliente diga que prefere não remover o lixo da GAS, pode valer a pena você dar um boot por LiveCD e renomear o diretório do GbPlugin temporariamente para evitar que ele rode enquanto você trabalha. Espantado com o tempo que estava levando para rodar o JRT na máquina de um cliente, eu resolvi cronometrar.

  • Com GbPlugin rodando: 77 minutos (1h17);
  • Sem GbPlugin rodando: 8 minutos;

A diferença é brutal, não é mesmo? Se você se der ao trabalho de dar boot por um LiveCD para desativar o GbPlugin e depois repetir o processo para reativá-lo ainda vai terminar muito antes o trabalho do que se deixar a porcaria da GAS atrapalhando. Em ambas as passagens de teste o GbPlugin JRT não estava fazendo nada realmente, porque ele já havia removido o que havia para remover em uma passagem anterior.

Isso pode ser resultado do fato de que nem JRT, nem AdwCleaner, tem uma assinatura digital. Mas essa relação ainda está sendo investigada.

Testado em um Notebook ACER Aspire One 722, com 2GB de RAM, rodando Windows 7 de 32bits.

24 comentários
  • Luciano - 476 Comentários

    Por essa e outras que eu só acesso bancos dentro da “redoma de vidro” ou seja, dentro de uma VM somente com o windows e as degraças dos plugins dos bancos. Acabei o uso, desligo a VM e tchau! Me PC limpinho B)

  • Ricardo Menzer - 141 Comentários

    Eu uso uma estratégia semelhante à do Luciano, só que a minha VM é Linux. Aí tem a vantagem de o Java não ficar enchendo o saco pra atualizar (nem tem as porcarias do plugins dos bancos).

    • Jefferson - 6.539 Comentários

      O Java não enche o saco porque os bancos não usam java no Linux ou porque o Java atualiza silenciosamente? Algumas distros Linux, principalmente as baseadas em Debian (Ubuntu, Mint), costumam ter o irritante hábito de se achar o centro do seu universo e que toda a sua banda de internet está disponível automaticamente para elas. E só para elas.

      Quando instalo Linux (principalmente, Debian) eu já desativo a conexão com a internet para não ter nenhuma surpresa desagradável.

      Eu falo de Debian mas já tive problemas desse tipo com o OpenSuse. Esses mantenedores de distros Linux tem um “mindset” difícil de entender.

      • Ricardo Menzer - 141 Comentários

        O banco usa Java (Banco do Brasil). Sem ele não aparece o sistema de login. Mas eu instalo o java uma vez só. Como a instalação tem que ser manual (não é pelo gerenciador de pacotes do sistema), ele não fica pedindo pra atualizar. O banco também nunca reclamou da versão do Java. Mas se isso ocorrer, acho que basta instalar a versão mais nova por cima. Vai ser chato, mas pelo menos não é uma atualização por semana como é com o jusched.

        Uso o Ubuntu.

        Os problemas que você listou foram na instalação. Hoje o Ubuntu pergunta se quero fazer o download das atualizações durante a instalação. Aí eu deixo ou não conforme o meu humor do momento. Mas a primeira coisa que faço quando o sistema inicia é desativar a procura por atualizações. Senão fica o Ubuntu irritantemente pedindo para atualizar. :dashhead1:
        E se ele já tiver baixado a lista de atualizações, não adianta marcar pra ele não te avisar, a janela do atualizador vai aparecer de qualquer jeito. :dashhead1: :dashhead1:
        Aí ou você atualiza, ou faz umas magias negras (que preciso sempre consultar na Internet) pra fazê-lo parar.

        De qualquer forma, como uso a máquina somente para o banco, após estabilizado o sistema, a coisa parece funcionar. Linux em desktop é um pé no saco!

        • Ricardo Menzer - 141 Comentários

          Como a instalação tem que ser manual (não é pelo gerenciador de pacotes do sistema), ele não fica pedindo pra atualizar.

          Preciso verificar a minha afirmação. Criei uma VM no trabalho pra acessar o banco e depois de um tempo o Java pediu pra atualizar… :(
          Vou ter que verificar se tem alguma opção extra de não verificar atualizações.
          A mensagem de atualização podia ser ignorada, e o site do BB funcionou com a versão “desatualizada”.

  • Alexandre Prestes - 5 Comentários

    Ah, essa praga do Gbplugin…

    Também uso uma VM para acessar os bancos. Nem a pau instalo esses plugins lixo na minha máquina.

  • Claudio - 74 Comentários

    Também sou fan das VMs para home banking, nada de vírus de banco no meu PC. Eu tentei por um tempo usar uma VM Linux, mas apanhei demais para manter Java + plugins de banco em dia, acabei desistindo e hoje dedico uma VM Windows para essa tarefa …

  • VR5 - 397 Comentários

    Ruim de usar VM é que tem que se ter mais uma licença Windows e ensinar o usuário a ligar e desligar a VM, né? Peguem o dia-a-dia de uma empresa (nossos PC do financeiro acessa bancos e mais 5 programas diferentes – ERP, Outlook, Excel, Word, Skype, etc.) ao mesmo tempo… lidar com o usuário as vezes é mais f*** que o próprio plugin… :(

    • Jefferson - 6.539 Comentários

      Eu não sei que VM ou processo você está usando, mas hoje iniciar uma VM Virtualbox é facílimo. Você cria uma atalho para a VM no desktop e clicar nele dá boot na VM direto.

      Mas realmente ter que separar outra licença do Windows só para isso é um desperdício.

      Linux + Firefox não consegue resolver? Eu sei que é mais fácil falar do que fazer, porque tarefas simples e necessárias como imprimir no Linux, principalmente em uma impressora de rede conectada a uma máquina Windows, ainda são suficientemente complicadas para você preferir pagar pela licença, mas em alguns poucos casos às vezes dá para usar o Linux com pouca dor de cabeça.

      • VR5 - 397 Comentários

        Vou dar uma pesquisada na solução Linux + Firefox. Como você disse, tenho que pesar os prós & contras destas soluções… mas é brabo: há alguns anos eu perguntei num fórum que tratava exclusivamente de comunicações (o “finado” PortalADSL, chegou a ir lá?) como se poderia falar com os “engenheiros” das telecoms, os caras que realmente sabiam o que aconteciam e que poderiam realmente mudar as coisas, ou pelo menos dar dicas valiosas. Agora eu pergunto: NINGUÉM tem acesso ao “especialistas de segurança” dos bancos? Aqueles caras que realmente entendem o que são esses plug-ins? Como eles agem? Os danos que provocam? Será que eles não tem noção disso, ou estão, como se diz por aqui, “c****** & andando” pra gente? :(

        • Jefferson - 6.539 Comentários

          Eu fiz um teste rápido aqui criando uma VM com Linux Mint. Dá para contornar a dor de cabeça com impressão imprimindo em PDF, o que o Mint já faz por default. Quanto a compartilhar arquivos com a VM, o recurso “Pastas Compartilhadas” do Virtualbox funciona, mas você tem que dar um comando “mount” chatinho de entender no terminal da VM Linux.

          Concluindo: desde que seus bancos não exijam nenhuma frescura adicional para acesso pelo Linux. Usar uma VM Linux para essa tarefa pode ser mais simples do que você imagina.

      • Luciano - 476 Comentários

        Ai é que tá o truque… muitas vezes a gente até tem uma outra licença dando sopa e nem se toca disso. O windows que roda no host tem sua licença. Na VM eu fiz um truque que não é aceito juridicamente, mas pelo menos eu consigo ficar com a consciência tranqüila… usei a licença do meu finado notebook acer, que virou sucata. Pra banco um windows xp dá sobra por enquanto. Ou seja… não beeeeem pirata, mas não estou seguindo a risca o que diz a licença, mas pelo menos eu acho “menos pior”.

  • VR5 - 397 Comentários

    Já tentou entrar em contato diretamente com a GAS? Eles possuem uma página no Facebook, pelo que sei. E um formulário de contato no site deles… resolve?

    • Saulo Benigno - 279 Comentários

      Será que isso resolve? Eles vão ajudar e ver algo a respeito do JRT? Fiquei curioso :)

    • Jefferson - 6.539 Comentários

      Eu duvido muito. O GbPlugin vem sendo um problema há tanto tempo para tantos usuários no país inteiro que se fosse para eles resolverem, já teriam.

      Tenha em mente que BB e Caixa (dois dos clientes da GAS que distribuem o GbPlugin) são estatais. Não é preciso ter muita imaginação na área de conspirações para entender por que o malware da GAS ainda é usado por esses bancos.

      • VR5 - 397 Comentários

        Eu também. Mas que seria interessante seria: você, um cara que tem conhecimento e experiência de sobra com esse problema (e não só com uma só empresa – como é o meu caso) contatar eles e eles te responderem, e um a um você ir refutando os procedimentos e alegações dele para depois contar aqui no blog… SE tiver tempo (e paciência!) faça isso um dia! ;)

  • Jefferson - 6.539 Comentários

    A propósito: o IBM Trusteer Rapport já vem sendo distribuído pelo BB há muito tempo. Por que o malware da GAS ainda é instalado?

    • VR5 - 397 Comentários

      Uma dúvida: num PC novo (ou formatado) será instalado o Trusteer Rapport e/ou o GAS? Há a opção de escolha?

  • André Ribeiro - 9 Comentários

    Olá Ryan e colegas,

    Eu uso o truque de instalar uma extensão agent switcher no browser. Troco normalmente para safari, ultima versão, o site pede para executar o java e ok, livre para navegar sem o programa bola murcha da GAS.

    Abraços

    • Jefferson - 6.539 Comentários

      É bom ter em mente que isso somente pode funcionar se o usuário da máquina nunca instalou o malware da GAS. Se em algum momento alguém com acesso ao computador autorizar a instalação de “solução de segurança”, então a máquina já pertence à GAS.

      Mas é uma dica útil e interessante saber que o banco acha que o Safari sempre roda em ambiente seguro.

      • Jefferson - 6.539 Comentários

        Eu testei isso esta semana. Parece que funciona com BNB e BB, mas não com Caixa e Unibanco. Estes dois tentam instalar uma versão para MAC OS.

        Entretanto, no caso do Unibanco eu não estou 100% certo, porque parece que o banco deixa você prosseguir com o acesso mesmo sem o módulo de segurança instalado.

        • Fred - 1 Comentário

          Passei por esse desprazer para acessar o Internet Banking da Caixa no Windows 10 com o Internet Explorer, após instalar a dupla infernal GBBD e Warsaw.

          Como o meu navegador principal é o Google Chrome, e o segundo é o Firefox, desabilitei o plugin do banco neles. Mesmo assim, era visível o consumo de CPU, até movendo a barra de rolagem, uma grande lentidão. E o Task Manager indicava que o culpado era o GbPlugin. Aliás, quando tentei matar esse processo, o consumo aumentou consideravelmente e precisei rebootar.

          Hoje foi a gota d’água. Desinstalei esses programas, e como o plugin continuava no Windows, fui usando dicas encontradas por aí para remover o que tinha sobrado desses programas. Depois removi a extensão nos navegadores e limpei o registro do Windows, apagando qualquer referência a gbplugin, warsaw, gbieh e gbleh.

          Como o Google Chrome não tem mais suporte a Java, parti para essa tentativa de mudar o User-Agent no Firefox. Trocando pelo Firefox do Linux, acessei normalmente a Caixa.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Android: Como desabilitar MMS para se proteger do Stagefright

Se você não esteve dormindo debaixo de uma pedra nos últimos dias, deve ter ficado sabendo (é sério… isso deve ter sido noticiado até pela Ana Maria Braga) do bug no Android chamado de StageFright que permite instalar um malware no seu aparelho simplesmente pelo recebimento de uma mensagem MMS. E todas as versões do Android desde a 2.2 estão vulneráveis

Ora…  a maioria esmagadora dos aparelhos Android nunca vai receber uma atualização para isso, então é melhor tentar fechar essa porta de outras maneiras.

Para desabilitar MMS (alguém aí ainda usa isso desde o Whatsapp?) na marra no Android 4.4.4 (outras versões também permitem isso, mas o caminho pode ser diferente).

Settings -> More Networks -> Mobile Networks -> Access Point Names

Em cada uma das operadoras (você pode ter mais de um chip), procure pela opção que tem a palavra MMS e apague o conteúdo de

  • Server
  • MMSC
  • Proxy
  • Port
3 comentários
  • Jefferson - 6.539 Comentários

    Nota: o bug StageFright não se limita a MMS. Receber o mesmo vídeo que gatilha o exploit por Whatsapp (ou baixar com o browser) possivelmente é perigoso também.

  • Sony Santos - 58 Comentários

    No LG eu fui em Mensagens (tela principal) -> Menu -> Ajustes -> Mensagem Multimídia -> desclicar tudo. Não sei o quanto isso é seguro, mas é melhor que nada.

    [Off-topic] Não consegui me conectar ao blog pelo Google+, Google nem Facebook. Cada um deu um erro diferente, mas posso afirmar que, pelo menos no caso dos G*, o problema é no(s) servidor(es).[/Off-topic]

    • Jefferson - 6.539 Comentários

      Se é o que estou pensando, isso evita que a mensagem seja pré-carregada automaticamente. Mas se você se distrair e abrir a mensagem ou se você tem uma esposa/namorada abelhuda que fica se coçando para saber do que se trata toda e qualquer mensagem que você recebe, é melhor se prevenir de uma forma mais rigorosa.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Group Policy Objects sendo ativamente explorados por malware

O que deveria ser usado para proteger o computador, está sendo usado para mantê-lo infectado.

Eu esbarrei nisso em maio e esqueci de registrar aqui. Peguei uma máquina para “limpar” e não conseguia de jeito nenhum restaurar as opções de página inicial dos browsers. Nem com a ajuda do JRT e adwCleaner. Acabei descobrindo que isso estava sendo definido nesta chave do Registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects

Numa instalação normal do Windows XP, essa chave sequer existe

Exemplo de duas das várias entradas que promoviam o bloqueio das configurações dos navegadores:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{31598907-C2A1-4DD3-B287-4068993AF277}User\Software\Policies\Microsoft\Internet Explorer\Main]
“Start Page”=”www.123rede.com?oem=mbtkv3&uid=S1ZVJ50Z311252_SAMSUNGHD502HI&tm=1428352463”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{EA11CB36-712C-49B0-B99D-5324F537874A}User\Software\Policies\Microsoft\Internet Explorer\Main]
“Start Page”=”www.top8844.com?oem=mbtkv3&uid=S1ZVJ50Z311252_SAMSUNGHD502HI&tm=1429182147”

Sim, você está vendo dois objetos, aparentemente do mesmo “autor”, forçando o IE para duas páginas iniciais diferentes. É malware brigando com malware.

Eu fiz um backup da chave e a apaguei. Após reiniciar o problema de bloqueio sumiu. Mas ainda assim não consegui manter a página inicial que eu configurava. Esse cara usa alguma outra técnica em conjunto com os GPOs que não consegui identificar.

2 comentários
  • Saulo Benigno - 279 Comentários

    É. Já peguei um cliente com essa bronca. Tive que ir no regedit remover manualmente. Demorou mas resolveu.

  • Matuto - 129 Comentários

    Geralmente quando pego navegadores com esse problema (exceto o IE), eu desinstalo pelo Revo Uninstaller e apago as pastas em “Users\Nome do Usuário\AppData” relacionadas aos navegadores (normalmente o firefox e o chrome). Depois limpo o registro com o MV RegClean 6.9 e na maioria das vezes o problema desaparece ao reinstalar os navegadores.

    Se não me falha a memória, só uma vez que não consegui de maneira nenhuma mudar o do IE, mesmo após de apagar algumas linhas no regedit. Então, como eu já havia perdido a paciência, acabei apelando pra colocar a página do Google direto nos links do IE e expliquei a situação para o cliente.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Erro 403: Forbidden ao tentar transmitir uma NF-e.

Resumo: procure por malware na máquina.

O cliente ligou à tarde dizendo que desde o início do dia não conseguia transmitir nenhuma NF-e para a Secretaria da Fazenda. E para atender as regras desse nosso país corrupto os caminhões de mercadorias estavam parados na porta da fábrica sem poder sair. O suporte do desenvolvedor do programa já havia olhado o problema e dito que me chamassem porque “algo estava bloqueando o envio”.

Logo que a funcionária do faturamento me mostrou o problema e eu vi a mensagem “403: Forbidden” eu já fiquei achando que o problema não era o que o suporte estava dizendo. Não se tratava de “bloqueio” porque “forbidden” quer dizer “proibido”. A SEFAZ estava recusando a operação.

Uma pesquisa rápida com o Google me levou a esta página. Todas as possíveis razões tinham a ver com certificado digital, mas uma delas mencionava SSL. Data e hora da máquina estavam corretas e desativar o anti-virus não surtia efeito, então decidi procurar por malware na máquina.  Como vocês podem lembrar do que escrevi no meu post sobre o Superfish, malware parasitando o protocolo SSL se tornou algo comum.

No Gerenciador de Tarefas já dava para perceber algo errado. Rodei JRT e Adwcleaner e ambos encontraram porcarias, mas nada “diferente” do que eu estava acostumado. Rodei o Autoruns e uma entrada estranha me levou até Arquivos de Programas, onde encontrei os dois diretórios mostrados na imagem abaixo. Perceba que os dois programas parecem ter a mesma origem (mesmos arquivos) e ambos fazem uso da biblioteca OpenSSL.

njax_wnet_ssl_parasites_ryan.com.br

Quando eu vi o primeiro diretório pensei que poderia ser algo do desenvolvedor do emissor de NF-e, porque alguns arquivos começam com “nf”. Mas ao encontrar o outro diretório ficou estranho demais. Agora eu estou convencido de que “nf” é a abreviação de “net filter”. Ora… a única razão que eu conheço para um programa desconhecido querer usar OpenSSL é parasitar a conexão de outros programas.

Os dois diretórios foram renomeados no modo de segurança (o “_” inicial foi acrescentado por mim) porque não podiam ser apagados no modo normal do Windows e por precaução eu dei um reset no protocolo TCP-IP com o comando “netsh int ip reset”. Mas o log do netsh não mostrou nada particularmente estranho por isso tenho razoável certeza de que a culpa era desses dois programas, porque depois disso o emissor de NF-e passou a funcionar normalmente.

Aparentemente a SEFAZ é capaz de perceber que algo parasitava a conexão SSL. Eu não cheguei a testar se os certificados da empresa funcionavam em outros lugares. Eu não lembro os detalhes do funcionamento do protocolo SSL, mas se o servidor for capaz de checar toda a cadeia de certificação até a raiz (e não se contentar apenas o fato de que “alguém” está atestando a validade do certificado cliente) ele pode detectar que um ataque MITM está em andamento ao encontrar um certificado que não deveria estar ali e abortar a conexão.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Nova vulnerabilidade no MS Office põe em risco todas as versões do Windows

O boletim de segurança da Microsoft não menciona o XP nem o server 2003. O XP pode não estar na lista por não ser mais suportado, mas é curioso não ver o Sever 2003. Isso pode querer dizer que XP e 2003 são imunes (2003 e XP são similares), mas até isso ficar claro é melhor tomar muito cuidado.

Todas as versões do Windows indicadas no boletim, mesmo completamente atualizadas, são vuneráveis. Seria realmente interessante descobrir que o XP é imune.

A vulnerabilidade é explorada através de documentos do Office carregando um objeto OLE malicioso. Vulnerabilidades no OLE não são nenhuma novidade e até possível argumentar que desde o início foi uma péssima idéia da MS criar o OLE porque é mais usado por criadores de malware que pelos usuários. E esse tipo de coisa põe até power users em risco porque afinal é um documento que você está abrindo. Imagine o que pode acontecer com usuários comuns.

E pouco ou nada adianta dizer que o usuário não abra documentos vindos de origem desconhecida quando se trata do departamento de vendas de uma empresa. Se você recebe um pedido de orçamento  com um anexo que não é um executável você vai deixar de abrir o documento só porque não conhece o remetente? Nenhuma empresa se sustenta por muito tempo assim.

Por precaução, é melhor eu reativar meu firewall com HIPS. o HIPS avisa toda vez que um processo tenta abrir outro e teoricamente isso impede um usuário que presta atenção às mensagens de ser infectado. A mesma coisa com o UAC, mas o danado do UAC é tão chato que nas minhas máquinas rodando o Windows 7 ele é desativado. O HIPS eu pelo menos posso ensinar a não fazer a mesma pergunta para o mesmo programa novamente. Já se eu executar 100 vezes o mesmo programa no mesmo dia, 100 vezes o UAC vai me perguntar se eu tenho certeza.

 

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »