Por André Luna (*)
Todos os dias, centenas de novos malwares são lançados com o único objetivo de contaminar computadores de pessoas comuns para roubar seus dados, principalmente dados bancários. Os criminosos virtuais usam para isso botnets, que são uma forma simples e fácil de gerenciar computadores contaminados com vírus destinados ao roubo de dados. Periodicamente eu procuro por esse tipo de malware e dia 27 de agosto achei a Zeus Botnet hospedada em um site hackeado. Comecei a procurar por arquivos e pastas que ficam expostos, uma das falhas dessa e de diversas outras botnets.


Não é raro, uma vez que o criminoso tenha hackeado o site, ele deixe uma shell para servir de backdoor, para que ele possa voltar a acessar as pastas raízes do servidor para possíveis manutenções e coisas do tipo; acabei encontrando uma shell dentro desse site, conforme podemos verificar nas imagens acima. As pastas _reports, install, other, system, theme e os arquivos cfg.bin, cp.php, error.log, gate.php e index.php fazem parte dos elementos para o funcionamento da Zeus botnet. Observando o arquivo “config.php” que fica dentro da pasta “install” podemos verificar na imagem 01 as instruções para fazer a conexão do banco de dados do site para que a botnet tenha o controle e consiga armazenar ali os dados capturados de outros computadores infectados.

Usando um recurso da própria shell, selecionei toda a pasta relacionada com a botnet e deletei; não é a primeira vez que faço isso – sempre que tenho condições de deletar ou derrubar uma botnet eu faço, pois considero que as botnets sejam hoje o maior problema e o maior financiador do crime organizado na internet. O roubo de identidades, dados bancários ou cartões de crédito é o que move esse mercado bilionário pelo submundo do crime organizado.


Sei que não fiz muita coisa, isso não chega nem perto do trabalho que empresas como FireEye e Kaspersky têm diariamente para combater esse tipo de crime, mas se todos os estudantes de segurança da informação ou de técnicas hackers fizerem sua parte, podemos deixar a vida desses criminosos bem mais complicada.
(*) André Luna é pesquisador independente em segurança da informação em Minas Gerais e editor do site Shellzen (http://shellzen.net)