Virus clonando pagina do bradesco no ubuntu 12-04 [RESOLVIDO]

fblandes
(usa Ubuntu)

Enviado em 09/08/2014 - 14:47h

Boa tarde, amigos.Já uso ubuntu a algum tempo e nunca tive um problema como este. Uso o ubuntu 12.04 em dual boot com o windows 7 ultimate, e ontem tentando entrar no site do bradesco pelo firefox, percebi que a pagina estava diferente, e apos digitar a senha e a chave me pediu para validar todas as chaves do cartão de segurança, percebi logo que era virus. Sempre preferi fazer minhas transações bancárias pelo Linux pela segurança, fiquei surpreso quanto ao ocorrido. Como os ubuntu divide o hd com o windows pesei que p problema podia ser na outra partição, porem verifiquei o windows em dual boot com dois antivirus e tá normal, a navegação pelo site do bradesco também esta normal no windows. Desinstalei o firefox e instalei o chrome, e a mesma coisa pagina falsa. Fora formatar e reinstalar o ubuntu teria alguma outra saída? Tentei localizar o script para excluir mas não sei onde procurar.
Agradeço pela ajuda.
Flavio

removido
(usa Nenhuma)

Enviado em 09/08/2014 - 15:23h

Faça uma pequena análise... veja usando os comandos dig ou host se o site www.bradesco.com.br tem o mesmo endereço que o seu servidor dns informa quando acessa a página usando o browser. se você diz ser uma cópia do site do bradesco, então o endereço ip está diferente e está havendo algum redirecionamento.

Por exemplo, digitei o comando:

dig +short -t a www.bradesco.com.br @8.8.8.8 

e o mesmo retornou:

bradesco.com.br.edgesuite.net.

a1768.b.akamai.net.

200.182.35.153

200.182.35.161

 

E ao verificar as conexões com netstat que estavam estabelecidas vi conectado ao endereço 200.182.35.153.

fblandes
(usa Ubuntu)

Enviado em 09/08/2014 - 19:19h

----------
Fiz o que sugeriu e a resposta foi:
bradesco.com.br.edgesuite.net.
a1768.b.akamai.net.
200.216.8.74
200.216.8.66

Vi tem um outro topico mais artigo um teste com o rkhunter, executei o comando
# rkhunter --check e a resposta final foi

usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide.rb [ Warning ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ OK ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
System checks summary
=====================

File properties checks...
Files checked: 132
Suspect files: 1

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 4 minutes and 4 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

/sbin/insmod

e ele indicou uma ameça da pasta bin nome unhide.rb tentei acessar, mas não achei na pasta. Alguma ideia?

albfneto
(usa openSUSE)

Enviado em 09/08/2014 - 19:50h

antes de tudo, cheque no banco...
minha mãe tinha conta Bradesco Prime, e volta e meia, o proprio Banco pedia isso, reatualizar o cartão.
só que quando isso acontecia, o banco estava mandando novo cartão com as chaves...
Comunique o Bradesco disso.

fblandes
(usa Ubuntu)

Enviado em 09/08/2014 - 20:00h

O banco não pede pra voce copiar os dados do cartão de segurança todo, e já testei o acesso em outra máquina e esta diferente, se entrar com uma conta errada ele aceita como existente...o xis da questão é como remover o virus sem formatar...

removido
(usa Nenhuma)

Enviado em 09/08/2014 - 20:00h

Tô achando que isso é algum registro dns que está redirecionando seu acesso para um site que contém uma cópia do site do bradesco.

Remova todas as configurações do navegador mozilla firefox ou google-chrome ou ouro navegador que usa, normalmente são pastas ocultas no teu perfil de usuário.

removido
(usa Nenhuma)

Enviado em 09/08/2014 - 20:50h

post seu /etc/hosts

Não vá naquela pagina indicada pois é uma armadilha

a1768.b.akamai.net.

Denuncie o link na pagina da polica federal.

fblandes
(usa Ubuntu)

Enviado em 10/08/2014 - 15:50h

Gente obrigado pela ajuda, resolvi formatar a partição e reinstalar o ubuntu, vou redobrar os cuidados e sugiro que façam o mesmo. Abraço a todos.

px
(usa Debian)

Enviado em 11/08/2014 - 02:00h

Realmente parecia um DNS envenenado mesmo, acho que poderia ser até o roteador/modem o responsável por isto... vai saber.

Bom sempre alerta em povo! rsrs.

waxman
(usa )

Enviado em 27/09/2014 - 06:19h

Amigos, infelizmente isso aconteceu aqui também. Uso o linux a muitos anos (desde o kurumin), só pra entrar em sites de banco, nada mais. Não clico em links suspeitos nem navego em outras páginas, mas quando fui entrar no site do Bradesco semana passada, aconteceu a mesma coisa. Depois de entrar com login e senha, apareceu aquela tela com o desenho do cartão com as posições das chaves de segurança para ser preenchido. Estou usando a versão 14.04 do Ubuntu e a única coisa que faço são as atualizações que são mostradas, então como esse virus entrou na minha máquina? Vou formatar aqui como fez o fblandes, mas o que fazer pra evitar que aconteça de novo?? Sinceramente, estou assustado.....

removido
(usa Nenhuma)

Enviado em 27/09/2014 - 09:33h

Bom dia,

Tem firewall ativo na maquina??

$ sudo apt-get install gufw

digite sua senha e

habilite seu ufw(gufw)

Vá em preferências e altere para "Médio"(Medium"

até...

removido
(usa Nenhuma)

Enviado em 27/09/2014 - 11:28h

O Ubuntu fez tanta força para ficar igual ao Windows que conseguiu!

Infelizmente, na minha opinião, Ubuntu está fazendo mais mal para os sistemas Linux do que qualquer outra distro já tenha feito.

Já se percebe leves movimentos no sentido de tornar FreeBSD um sistema mais popular.

Iniciativas como Debian KFreeBSD ou PC-BSD ou distros com Kernel BSD já começam a pipocar lá e cá.

Se o kernel Linux balançar vai cair...