Invasão no site da Oi dissemina vírus para cerca de 140 mil usuários

O site da Oi foi usado para a disseminação de um vírus para os clientes que usaram o serviço para envio de torpedos online da operadora na quarta-feira (03/12), apontam testes do Zone-H Brasil.

O cientista da computação Marcelo Almeida, que fez os testes após ser notificado por Kevin Fernandez sobre a suspeita no site da Oi, identificada na quarta-feira (03/12), mostra, no Zone-H, que o endereço https://mundooi2.oi.com.br/servicostorpedo instalou um applet Java sem a permissão do usuário.

“Se o Java do usuário estiver desatualizado, ocorre um ataque de estouro de pilhas [conhecido tecnicamente como buffer overflow]. A primeira parte que é instalada é o applet Java e depois um cavalo-de-tróia, que vai baixar o vírus”, explica Almeida. Os dois primeiros estavam hospedados no site da Oi.

Almeida conta que “este executável altera arquivos de host do Windows e inclui URLs de bancos brasileiros que encaminham o usuário para um site clonado”.

A URL não muda no browser e, enquanto isso, os dados estão sendo roubados. O vírus é iniciado no primeiro boot do Windows – ou, às vezes, em reinicialização forçada pelo vírus, segundo Almeida – após este ser instalado.

A Oi foi avisada por Almeida sobre o problema em torno das 21h da quarta-feira (03/12). “Ela então removeu o vírus e o applet”, conta Almeida, que também avisou os servidores em que os IPs dos sites de bancos inclusos ali eram falsos.

“Todos os servidores do exterior com os quais entramos em contato já desativaram as páginas, e se o usuário baixou o applet e o vírus levar ao acesso, verá a mensagem de ‘página não encontrada’”, explica. Até a quinta-feira (04/12), apenas um servidor brasileiro ainda não tinha tirado os IPs falsos do ar.

Segundo o contador descoberto por Almeida no código do vírus, cerca de 140 mil usuários estavam infectados com o malware. Em testes no VirusTotal.com, apenas 1 de 37 antivírus identificaram o arquivo do applet Java como malicioso, e só 5 entre as 37 soluções reconheceram o executável como vírus.

Para saber se está contaminado, o usuário pode usar a busca de arquivos do Windows para encontrar os “ddaass.exe” e “OI.JAR”. Além disso, é preciso localizar o arquivo de “hosts” do sistema e retirar a lista de endereços falsos inclusos no registro. “O único IP que deve haver ali é o 127.0.0.1. É uma norma internacional”, explica Almeida. Mais detalhes podem ser vistos no post do Zone-H.

A Oi declara oficialmente que está analisando a questão.