Servidores DNS da Oi e GVT são envenenados

14 Comentários

No Brasil, dois grandes provedores de internet estão se sobressaindo no mercado. A Oi, que já há algum tempo construiu uma boa cartela de clientes, cujo total chega a 6 milhões. E a GVT, que com ótimas ofertas está conquistando o seu espaço, e já conta com 1,4 milhão de assinantes, segundo dados da Anatel. Estes provedores contam com o seu próprio servidor DNS (Domain Name Service), que basicamente faz a tradução do nome que você digita no navegador para o número IP do site. Ou seja, ele te redireciona para os sites aos quais você quer visitar.

Pois bem, o que aconteceria, então, se estes servidores fossem invadidos? Não precisa imaginar. Aconteceu. Semana passada, usuários destas duas empresas, ao navegarem, se deparavam com uma estranha mensagem para baixarem um arquivo para seus computadores. O mais estranho disso tudo, é que eram sites conhecidos, tais como Google, Facebook, Youtube, que sabidamente não fazem esse tipo de prática.

Investigando o problema um pouco mais a fundo, descobriu-se que as duas empresas foram vítimas de DNS poisoning, uma prática que consiste em envenenar o cache do DNS. Assim, enquanto navegavam, os usuários viam uma solicitação para baixar um arquivo executável (*.exe). Tais arquivos continham rotinas para capturar dados daquele usuário que ingênua/desatenciosa/burramente instalassem o arquivo. Portanto, um malware. No caso do Google, o arquivo era o Google_Setup.exe, como você pode ver na figura abaixo:

DNS poisoning

Pedido de download de arquivo malicioso

Se serve de consolo, o DNS poisoning dura apenas algumas horas, afetando poucos servidores da empresa. Mas a ver o número de clientes delas, acho que não é muito confortador. O pior disso tudo, é que talvez, enfâse no talvez, funcionários das duas empresas sejam responsáveis pelo envenenamento. Há suspeitas também de que técnicos de ambos os provedores usaram a mesma senha nos roteadores dos clientes, afim de acessarem remotamente os dispositivos e instalar o malware. Mas pelo menos por enquanto, são apenas suspeitas e alegações.

Como bem lembrou o pessoal do Tecnoblog, há uns três anos vários provedores, como a própria Oi, Brasil Telecom e Telefônica, alteraram o seu DNS para que quando o usuário digitasse um endereço errado no navegador, ele fosse redirecionado para uma página de busca com várias propagandas, no nítido intuito de ganhar alguns trocados. Quem nunca viu esta imagem, por exemplo?

DNS hijacking

DNS Hijacking

Essa prática se chama DNS Hijacking. Então é a segunda vez que os servidores DNS dos provedores são alterados, com mudanças no mínimo, desagradáveis aos clientes. Qual a saida, então? A solução é bem simples: altere seu provedor DNS. Existem alternativas bem melhores, como o OpenDNS e o Google DNS. E essa mudança, não afeta em nada a sua navegação. Pelo contrário, vai até te proteger de possíveis invasões e contaminações oriundas de ataques hackers. Portanto, nosso conselho é que você mude o quanto antes e, se você instalou recentemente os serviços destas duas empresas, mude também a senha de seu roteador.

sobre o autor
"Estudava Direito e trabalhava num órgão público. Para ele a área jurídica era a certa a seguir... até ter o seu primeiro computador. Após isso, estudava Direito Constitucional pensando em qual antivírus seria melhor e Direito Administrativo em qual sistema operacional deveria instalar. Não conseguiu conciliar os dois e decidiu largar as jurisprudências e adotar os bits. Hoje, é formado em Técnico em Informática e proprietário de um parrudo PC Frank e um mimado iPad. Trabalha como empreendedor da área tecnológica e agora é também editor do Guia do PC! E ele não se incomoda se você acompanhá-lo no Twitter: @Felipe__Alencar ou no seu blog pessoal."
  • ubuntuholic

    Já aconteceu comigo umas vezes, uso OI-Velox, mas .exe não se cria na “droga” do Ubuntu.

    Usando Firefox 7.0.1 Firefox 7.0.1 em GNU/Linux GNU/Linux
    • Paulo Cesar

      Temos essa vantagem, a qual também a utilizo para obter o vírus propositalmente, enviar ao VirusTotal para ver as soluções de AV que já detectam (muitas vezes nenhuma delas são tão pro-ativas). As empresas que possuem um sistema prático de envio para análise eu envio uma solicitação, na maioria das vezes (99%) dos casos eles adicionam ao BD de assinaturas em horas. Cuido de um pequeno parque de máquinas com Windows e reportar isso ajuda não só a mim quanto a todos.

      Usando Firefox 7.0.1 Firefox 7.0.1 em GNU/Linux GNU/Linux
    • Ramires

      Se serve de CONSOLO fã boy babaca, nem pra virus esse lixo serve.

      São imbecis como voce que queimam a imagem do Linux.

      Usando Chromium 14.0.835.202 Chromium 14.0.835.202 em Ubuntu 11.04 x64 Ubuntu 11.04 x64
      • ubuntuholic

        Senta lá, Cláudia.

        Usando Firefox 7.0.1 Firefox 7.0.1 em GNU/Linux GNU/Linux
      • MalarKeY

        Relaxa e não esquenta, não alimente o Troll. hauhauhauah

        Usando Google Chrome 15.0.874.106 Google Chrome 15.0.874.106 em Windows 7 Windows 7
  • Gérson Wálter

    Por que é que até hoje eu nunca vi nenhum malware com ortografia e/ou gramática corretas?
    Quanto ao DNS, mudei pro do Google faz um bom tempo, numa época em que deu algo estranho no DNS da Oi , e desde então nunca mais tive problema algum.

    Usando Firefox 9.0a2 Firefox 9.0a2 em Windows XP Windows XP
    • Felipe carvalho

      como vc conseguiu resolver seu problema amg? aqui o problema vai e volta, ta me atrapalhando mto, pois tenho que acessar meu email no bol, e nao consigo

      Usando Google Chrome 15.0.874.121 Google Chrome 15.0.874.121 em Windows 7 x64 Edition Windows 7 x64 Edition
  • mauro

    ainda bem q uso opendns

    Usando Firefox 8.0 Firefox 8.0 em Windows Server 2003 Windows Server 2003
  • MalarKeY

    Eu usava o OpenDNS, mas aquele redirecionamento de quando fazia a busca como explicou o fim da matéria enxia meu saco, aí o Google DNS surgiu e o uso desde então, sem contar que é mais fácil de digitar e lembrar né? 8.8.8.8 e 8.8.4.4 hehehehe

    Usando Google Chrome 15.0.874.106 Google Chrome 15.0.874.106 em Windows 7 Windows 7
    • Vitor

      Idem, e mudei pro Google DNS pelo mesmo motivo.

      Usando Firefox 7.0.1 Firefox 7.0.1 em Windows 7 x64 Edition Windows 7 x64 Edition
  • Pingback: Anônimo

  • Elder

    Cara, informação totalmente equivocada … pelo menos quanto a GVT. O DNS da GVT não poderia ter sido envenenado, por ser um Nominum, simplesmente o mais seguro que existe.

    Como alguém que se diz “consultor especialista em tecnologia” chuta tanta besteira sem juntar os pauzinhos? Deveria ter continuado só no direito …

    Verificando alguns sites sobre o problema foi fácil verificar que o problema ocorreu não com o DNS, mas com as CPEs dos usuários, principalmente os modelos da D-Link e Huawei. Eles aparentemente possuem uma falha onde a porta 80 fica aberta no lado WAN, mesmo que na interface esteja marcado como “fechado”. Como os usuários e senhas padrão de acesso aos modems normalmente não são alterados, bastou um SQL injection pelo lado WAN, alterando o servidor DNS configurado no modem, para um outro qualquer que estivesse envenenado.

    Quer solução? Troque o DNS no modem e a senha do administrador do modem.

    Ah, mas podem haver outras falhas … coincidência ou não os modelos que apresentam mais problemas são os com chipset Broadcom … provável falha então no chipset ou no Kernel do sistema operacional.

    melhor ainda seria trocar o modem por outro de uma marca mais confiável, como Intelbras (pode parecer brincadeira, mas são os melhores que já testei), Linksys, TP-Link.

    Fui …

    Usando Firefox 9.0 Firefox 9.0 em GNU/Linux x64 GNU/Linux x64
    • Eduardo

      Caro Elder,
      GOstaria de saber se vc pode me ajudar com a GVT. Passei a utilizar a GVT recentemente e eu utilizava o serviço do unblockUS para acessar conteúdo americano de sites como Netflix. Na GVT esse serviço não funciona. Qualquer mudança nos DNS primario e secundário que eu faça, tanto no roteador quanto nos aparelhos que utilizo são ignoradas. Existe algum meio de voltar a utilizar esse serviço?
      Abraços.

      Usando Google Chrome 17.0.963.46 Google Chrome 17.0.963.46 em Windows 7 x64 Edition Windows 7 x64 Edition
      • Marcel

        Utilizo o Unblock-US e tive o mesmo problema, seguem então os endereços funcionais até então:

        184.106.242.193
        67.23.7.56

        Usando Firefox 19.0 Firefox 19.0 em Windows 7 x64 Edition Windows 7 x64 Edition