TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Um Script Malicioso chamado TFILE, inserido nas Configurações de Conexão do Navegador, direciona para sites falsos de Internet Banking e rouba senhas bancárias. Veja como identificá-lo.

Por Windows Pular para comentários

Um Script Malicioso chamado TFILE, inserido nas Configurações de Conexão do Navegador, direciona para sites falsos de Internet Banking e rouba senhas bancárias. Veja como identificá-lo.

Nesta tarde (26/03/2013), tive a infelicidade de deparar-me com um problema, que quase capturou a maioria dos meus dados bancários. Trabalho com tecnologias há mais de 5 anos, e confesso, já me vejo como o "SuperMan" do computador pessoal. Até surgir esta Kryptonita, para colocar-me no devido lugar.

Durante meu horário do almoço, em casa, abri a Internet e fui logo iniciando o meu Internet Banking. Mas desta vez, quase que a casa cai. Correria, Stress, falta de atenção... Tudo que um programa malicioso precisa para passar despercebido.

Ao abrir o site do banco, continuei os procedimentos, o endereço já estava salvo em meu navegador. No caso do serviço bancario que utilizo, na primeira página é solicitado meu CPF e posteriormente a "senha da internet" que dá acesso à qualquer transferência eletrônica. Foi graças à um erro na programação da página falsa, que percebi a possível tentativa de "Phishing de dados". A página solicitou informações que frequentemente não são questionadas, como: Senha do Cartão, Número do Cartão e Número da Via do Cartão. Ao perceber, digitei informações inválidas para "testar" e identificar sobre o que se tratava. Para minha surpresa, era uma página falsa, que enviaria minhas informações pessoas para uso indevido. Aconteceu, que de fato, inseri duas informações válidas, que seriam suficientes pelo menos à consultas na minha conta, que após uma hora ou menos, realizei a alteração em uma agência.

Verificando se o TFILE está em seu computador:

O responsável pelo desenvolvimento deste Script, de alguma forma, introduziu nas Opções da Internet em meu computador, um caminho que levasse até o Script para que, quando eu abrisse os sites bancários, fossem abertas páginas falsas idêntica às dos Bancos. Isso foi tão bem preparado, que o Script atinge pelo menos os seguintes nomes: Banese, Caixa Econômica Federal, HSBC, Sicredi, BNB, Citibank, Intouch, Serasa, Bradesco, Itau e inclusive o HOTMAIL.

Não posso fornecer informações exatas sobre a remoção dessa infecção em seu computador, mas pelo menos, posso informar como identificá-la.

Abra a Internet>Ferramentas>Opções da Internet:

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Conexões:

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Configurações da LAN:

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Veja que existem algumas informações preenchidas nesta imagem, entretanto, não fui eu quem as definiu. Em alguns casos, tratando-se de uma rede corporativa ou acadêmica, estas informações poderão estar preenchidas, mas não com o caminho abaixo:

"C:/Users/SEU_USUARIO/AppData/LocalTemp/TFILE.JSP"

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Se tiver encontrado a informação exatamente como dita acima, recomendo que dirija-se a sua agência bancária e efetue a troca das senhas. Após, procure alguma assistência técnica que possa efetuar uma varredura minuciosa em seu equipamento.

Podem exister outras formar de identificá-lo? Usando um antivírus estou protegido? Não sei responder estas perguntas. Talvez este Script até não seja novidade no mundo da Tecnologia da Segurança.

Uma atitude à se tomar, é apagar o endereço que estiver marcado e desmarcar as caixas de diálogo e clicar em OK. Definindo assim novas configurações. Mas não esqueça de verificar novamente, quando voltar a abrir a Internet.

O Script continuará em meu computador? Sim.

É possível apagá-lo? SIm.

Para apagá-lo, abra o executar (CTRL+R)

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

digite a localização da pasta, onde ele se escondeu. No meu caso:

"C:/Users/SEU_USUARIO/AppData/LocalTemp/"

Se tiver curiosidade em saber quais sites ele poderia ter efetuado "phishing", basta abrir o arquivo TFILE.js no famoso: Bloco de notas:

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Estes seriam os sites definidos para Phishing em meu computador:

TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Para excluir, use o vulgo "Shift+Delete" no arquivo "TFILE.js"

Estarei livre dele? AInda não sei. Mas já deu um grande passo.

 

Vou continuar infectado para fazer novas descobertas e quem sabe uma nova postagem sobre o assunto.

Abraços!

Mais sobre: Windows, TFILE
Compartilhe com seus amigos:
André Prior
André Prior Analista de Sistemas da Empresa Positivo Informática, atuando em Tecnologia Educacional no município de Sorocaba-SP. MBA em Gestão de Projetos, Tecnólogo em Analise e Desenvolvimento de Sistemas, Técnico em Webdesign, WebDeveloper e Hardware.
FACEBOOK // TWITTER: @priorandre
Quer conversar com o(a) André, comente:
Carregar comentários
O que é mais importante em um smartphone?
Bateria(27,42%)
Câmera(10,80%)
Performance(57,13%)
Aparência(2,29%)
Tela(2,35%)