Artigo: vírus cria conta de usuário para dar acesso remoto a criminosos

Um dos principais objetivos de um cibercriminoso é ter total controle sobre a máquina de suas vítimas das mais diferentes formas possíveis. Os criminosos virtuais brasileiros têm o mesmo objetivo que todos os outros, porém, devido a sua cultura de imediatismo, quase sempre os ataques feitos dentro do país envolvem apenas a disseminação de trojans bancários.

Recentes atividades mostram que este comportamento está mudando lentamente: eles estão prontos para criar uma rede de computadores infectados e ter total controle sobre ela, roubando informações pessoais das vítimas e usando-a para disseminar spam de uma maneira muito criativa: registrando na máquina da vítima uma nova conta de usuário chamada “Remo”. Por meio dessa conta o cibercriminoso tem acesso e controle total remoto sobre as máquinas.

O ataque se inicia com um e-mail falso de uma suposta atualização do plugin Flash Player. O link na mensagem realmente oferece o download do verdadeiro plugin, mas se aberto o arquivo também irá instalar a praga.

Depois de executado, mais arquivos serão baixados e registrados, entre eles DLLs maliciosos que irão roubar informações bancárias. Além disso, uma nova conta de usuário protegida pela senha “Remo” é criada.

O novo usuário é registrado de forma que o dono do computador não perceba, pois ele terá as configurações de acesso remoto por meio do recurso “Conexão de Área de Trabalho Remoto”.

Uma das maneiras de ver o acesso criminoso à máquina é por meio do Gerenciador de Tarefas do Windows. Processos pertencentes ao usuário “Remo” começarão a aparecer na lista.

No Brasil, mais de três mil máquinas estão infectadas e controladas por essa técnica. Para gerenciar as máquinas das vítimas, os cibercriminosos criaram um site onde é registrado o nome e a data em que os computadores foram infectados.

Comércio

Além de ter seus dados pessoais roubados, nesse ataque os computadores das vítimas também são utilizados para distribuir mensagens de spams – comportamento típico de botnets, redes de computadores zumbis controladas remotamente. O acesso às máquinas infectadas é negociado por R$100,00:

Como saber se você foi vitimado

É fácil descobrir se você é uma vítima desse tipo de ataque. Clique em “Iniciar”, “Executar” e coloque o comando “control userpasswords2” (sem aspas). Se a conta “Remo” estiver presente na caixa “Contas de Usuário” e não foi criada por nenhum membro do computador é provável que o vírus a tenha registrado.

Mais detalhes técnicos sobre o ataque podem ser obtidos no endereço
http://www.securelist.com/en/blog/208193037/All_your_data_belong_to_Remo (em inglês).
* Fábio Assolini é analista de malware da Kaspersky Lab no Brasil. Assolini se juntou à rede mundial de analistas de malware da empresa para se dedicar à pesquisa de ameaças brasileiras e seus impactos na América Latina. Desde 2006, o executivo é membro voluntário junto à comunidade de segurança Linha Defensiva (organização não-governamental), atuando como pesquisador independente e membro do Grupo de Análise e Resposta a Incidentes de Segurança (ARIS), onde acumulou experiência em análises de vírus, bankers e outras pragas originadas no Brasil. Também é membro da Aliance of Security Analisis Professionals (ASAP) e atuou como pesquisador junto ao CastleCops Mirt (Malware Incident Report and Termination Team). Assolini tem mais de três anos de experiência na área e é bacharel em ciência da computação.

**As opiniões dos artigos/colunistas aqui publicadas refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nesta publicação

 ð        Você tem Twitter? Então, siga http://twitter.com/IT_Webe fique por dentro das principais notícias de TI e telecom.