Em um raro caso onde a instituição atacada vem a público, o banco sueco Nordea reportou que os seus clientes foram atacados por trojans enviados por e-mail aos seus clientes, causando prejuízo estimado em oito milhões de krona - oitocentos mil dólares se eu me lembro corretamente do câmbio. A soma não me chama muita atenção - a manchete chama de o "maior ataque online já feito" mas isso é bem modesto para os nossos padrões - mas a forma como ele foi feito sim.

Os atacantes, supostamente membros da máfia russa, usaram para infectar os clientes do banco o trojan/rootkit Haxdoor.KI. O Haxdoor instala um driver em modo kernel (xdpptp.sys), que é chamado mesmo se o sistema for iniciado em safe modei, que esconde o backdoor executado em modo usuário (xopptp.dll). Este backdoor realmente toma conta da máquina infectada:

■ Captura senhas de usuario e informação pessoal manipulada pelos mais diversos programas - MSN Messenger, Opera, Outlook, IE, Firefox, ICQ e outros - bem como qualquer senha enviada via POP3 ou IMAP. As senhas sao enviadas para uma página no domínio skynet.info, usando um POST HTTP.

■ Escuta a porta TCP 16661 e executa comandos remotos. A funcionalidade implementada pelo backdoor é bem extensa, e vai desde fazer o upload de um arquivo para o hacker até iniciar um proxy HTTP na porta TCP 8008. Permite também comandar o rootkit para esconder arquivos adicionais, e abrir e fechar a porta do drive de CD

■ Abre um shell remoto na porta TCP 16016.

■ Bloqueia sites de antivirus, desabilita servicos de proteçao da máquina, etc. etc.

A notícia afirma que o banco somente descobriu o ataque 15 meses depois deles terem sido iniciados, quando os atacantes perderam a vergonha e começaram a fazer grandes transações usando as informações roubadas. Antes disso os atacantes faziam uma série de pequenas transações, e provavelmente poderiam continuar fazendo até hoje sem serem descobertos. Quantos ataques deste tipo estão acontecendo neste momento sem terem sido descobertos? O que vai acontecer quando nossos atacantes começarem a usar técnicas parecidas?

(Ou já não estão usando? Existe disponível um kit de criação de trojans que usa o Haxdoor, e qualquer dos nossos script-kiddies pode facilmente criar algo semelhante).

Este é o tipo de ameaça por trás da exigência de assinatura digital para código no kernel, para o PatchGuard e outras medidas de proteção no Windows Vista. As vezes nós nos esquecemos contra o quê estamos lidando.

Fonte: Blog TechNet


[]s,
ceth

Não! Esse é o "bacalhau" criado para a MS para resolver os problemas de acesso ao seu kernel através de contas excessivamente privilegiadas ou através de bugs no sistema. As vezes nós nos esquecemos contra o quê estamos lidando.

[]s, MM

---

Não tinha como não ter uma pitada de sal! TechNet, powered by Microsoft.


[]s,
ceth

Não se pode dizer que a MS não aprenda com os erros
Diz-se que o diabo está nos detalhes, no caso da MS está sempre na implementação, a conferir.
Outra coisa que alguns poderiam pensar é que esse negocio de assinatura pode ser um poder de barganha danado, a vida ou a morte de uma empresa até, e empresa falida custa mais barato, não?
Eta povinho desconfiado...

---

Assinatura? Só na presença dos meus advogadoshttp://naopod.com

Realmente esse Trojan é multi tarefa , o cara que fez pensou em cada detalhe