Browse By

Servidores DNS da Oi e GVT são envenenados

No Brasil, dois grandes provedores de internet estão se sobressaindo no mercado. A Oi, que já há algum tempo construiu uma boa cartela de clientes, cujo total chega a 6 milhões. E a GVT, que com ótimas ofertas está conquistando o seu espaço, e já conta com 1,4 milhão de assinantes, segundo dados da Anatel. Estes provedores contam com o seu próprio servidor DNS (Domain Name Service), que basicamente faz a tradução do nome que você digita no navegador para o número IP do site. Ou seja, ele te redireciona para os sites aos quais você quer visitar.

Pois bem, o que aconteceria, então, se estes servidores fossem invadidos? Não precisa imaginar. Aconteceu. Semana passada, usuários destas duas empresas, ao navegarem, se deparavam com uma estranha mensagem para baixarem um arquivo para seus computadores. O mais estranho disso tudo, é que eram sites conhecidos, tais como Google, Facebook, Youtube, que sabidamente não fazem esse tipo de prática.

Investigando o problema um pouco mais a fundo, descobriu-se que as duas empresas foram vítimas de DNS poisoning, uma prática que consiste em envenenar o cache do DNS. Assim, enquanto navegavam, os usuários viam uma solicitação para baixar um arquivo executável (*.exe). Tais arquivos continham rotinas para capturar dados daquele usuário que ingênua/desatenciosa/burramente instalassem o arquivo. Portanto, um malware. No caso do Google, o arquivo era o Google_Setup.exe, como você pode ver na figura abaixo:

DNS poisoning

Pedido de download de arquivo malicioso

Se serve de consolo, o DNS poisoning dura apenas algumas horas, afetando poucos servidores da empresa. Mas a ver o número de clientes delas, acho que não é muito confortador. O pior disso tudo, é que talvez, enfâse no talvez, funcionários das duas empresas sejam responsáveis pelo envenenamento. Há suspeitas também de que técnicos de ambos os provedores usaram a mesma senha nos roteadores dos clientes, afim de acessarem remotamente os dispositivos e instalar o malware. Mas pelo menos por enquanto, são apenas suspeitas e alegações.

Como bem lembrou o pessoal do Tecnoblog, há uns três anos vários provedores, como a própria Oi, Brasil Telecom e Telefônica, alteraram o seu DNS para que quando o usuário digitasse um endereço errado no navegador, ele fosse redirecionado para uma página de busca com várias propagandas, no nítido intuito de ganhar alguns trocados. Quem nunca viu esta imagem, por exemplo?

DNS hijacking

DNS Hijacking

Essa prática se chama DNS Hijacking. Então é a segunda vez que os servidores DNS dos provedores são alterados, com mudanças no mínimo, desagradáveis aos clientes. Qual a saida, então? A solução é bem simples: altere seu provedor DNS. Existem alternativas bem melhores, como o OpenDNS e o Google DNS. E essa mudança, não afeta em nada a sua navegação. Pelo contrário, vai até te proteger de possíveis invasões e contaminações oriundas de ataques hackers. Portanto, nosso conselho é que você mude o quanto antes e, se você instalou recentemente os serviços destas duas empresas, mude também a senha de seu roteador.

  • ubuntuholic

    Já aconteceu comigo umas vezes, uso OI-Velox, mas .exe não se cria na “droga” do Ubuntu.

    • Paulo Cesar

      Temos essa vantagem, a qual também a utilizo para obter o vírus propositalmente, enviar ao VirusTotal para ver as soluções de AV que já detectam (muitas vezes nenhuma delas são tão pro-ativas). As empresas que possuem um sistema prático de envio para análise eu envio uma solicitação, na maioria das vezes (99%) dos casos eles adicionam ao BD de assinaturas em horas. Cuido de um pequeno parque de máquinas com Windows e reportar isso ajuda não só a mim quanto a todos.

    • Ramires

      Se serve de CONSOLO fã boy babaca, nem pra virus esse lixo serve.

      São imbecis como voce que queimam a imagem do Linux.

      • ubuntuholic

        Senta lá, Cláudia.

      • MalarKeY

        Relaxa e não esquenta, não alimente o Troll. hauhauhauah

  • Gérson Wálter

    Por que é que até hoje eu nunca vi nenhum malware com ortografia e/ou gramática corretas?
    Quanto ao DNS, mudei pro do Google faz um bom tempo, numa época em que deu algo estranho no DNS da Oi , e desde então nunca mais tive problema algum.

    • Felipe carvalho

      como vc conseguiu resolver seu problema amg? aqui o problema vai e volta, ta me atrapalhando mto, pois tenho que acessar meu email no bol, e nao consigo

  • mauro

    ainda bem q uso opendns

  • MalarKeY

    Eu usava o OpenDNS, mas aquele redirecionamento de quando fazia a busca como explicou o fim da matéria enxia meu saco, aí o Google DNS surgiu e o uso desde então, sem contar que é mais fácil de digitar e lembrar né? 8.8.8.8 e 8.8.4.4 hehehehe

    • Vitor

      Idem, e mudei pro Google DNS pelo mesmo motivo.

  • Pingback: Anônimo()

  • Elder

    Cara, informação totalmente equivocada … pelo menos quanto a GVT. O DNS da GVT não poderia ter sido envenenado, por ser um Nominum, simplesmente o mais seguro que existe.

    Como alguém que se diz “consultor especialista em tecnologia” chuta tanta besteira sem juntar os pauzinhos? Deveria ter continuado só no direito …

    Verificando alguns sites sobre o problema foi fácil verificar que o problema ocorreu não com o DNS, mas com as CPEs dos usuários, principalmente os modelos da D-Link e Huawei. Eles aparentemente possuem uma falha onde a porta 80 fica aberta no lado WAN, mesmo que na interface esteja marcado como “fechado”. Como os usuários e senhas padrão de acesso aos modems normalmente não são alterados, bastou um SQL injection pelo lado WAN, alterando o servidor DNS configurado no modem, para um outro qualquer que estivesse envenenado.

    Quer solução? Troque o DNS no modem e a senha do administrador do modem.

    Ah, mas podem haver outras falhas … coincidência ou não os modelos que apresentam mais problemas são os com chipset Broadcom … provável falha então no chipset ou no Kernel do sistema operacional.

    melhor ainda seria trocar o modem por outro de uma marca mais confiável, como Intelbras (pode parecer brincadeira, mas são os melhores que já testei), Linksys, TP-Link.

    Fui …

    • Eduardo

      Caro Elder,
      GOstaria de saber se vc pode me ajudar com a GVT. Passei a utilizar a GVT recentemente e eu utilizava o serviço do unblockUS para acessar conteúdo americano de sites como Netflix. Na GVT esse serviço não funciona. Qualquer mudança nos DNS primario e secundário que eu faça, tanto no roteador quanto nos aparelhos que utilizo são ignoradas. Existe algum meio de voltar a utilizar esse serviço?
      Abraços.

      • Marcel

        Utilizo o Unblock-US e tive o mesmo problema, seguem então os endereços funcionais até então:

        184.106.242.193
        67.23.7.56