Clube de Informática

Tag: segurança

  • GbpSv.exe – acesso ao Banco do Brasil entre outros bancos

    Banco do Brasil

    Quebra de página

    Os problemas de acesso aos Internet Bankings ainda são muitos. Um dos mais comuns é com o programa GbpSv.exe instalado pelos bancos nos computadores rodando Windows para alguns procedimentos de segurança.

    Será que isso ainda está sendo usado? É coisa velha? Está sendo aproveitado por mal-intencionados?

    Por vários motivos, este dispositivo começa a funcionar mal, causando problemas como o presentado na imagem a baixo ao inicializar a máquina.

     

    Error Screen

     

    Parece que dá problema durante o processo de boot. Este programa vem dando problema há muito tempo e consta de diversos foruns na internet.

    Uma das forma para remover este problema é o boot por live CD, renomear o arquivo de .exe para .lix (de lixo), e criar um arquivo vazio como nome .exe! E voltar ao boot normal…

    O programa GbpSv.exe é executado no momento de boot. No momento do Boot, uma série de programas são executados e de diversas formas. Veja aqui uma lista de lugares onde pode estar registrada a informação de quais programas executar. Aparentemente, existem cópias do programa em seu computador que são restauradas em caso de eliminação da versão em uso. O utilitários Autoruns da SysInternal pode ajudar a idenficar os programas marcados para iniciar no boot.

    Mas algumas duvidas ficam:

    • porque os bancos (entre eles o Banco do Brasil) instalam este programa? Eles continuam a fazer isso? Isso coloca em risco a nossa configuração??
    • se pararam de usar, porque continuamos correndo o risco?

  • um caso de virus.

    Esta manha estava lendo os meus eMails e percebi uma mensagem um tanto incomum. O meu amigo Armen me enviou algumas fotos. Bom… primeiro o Armen não é dos mais frequentes enviadores de mensagens com fotos. A lista de destinatários era grande. O texto do eMail era um tanto vago e seguramente não era do estilo do Armen.

    Ao invés de conter as fotos anexas, o eMail continha links para cada foto que citada. Passando o mouse sobre os links e observando a decodificação do link podia-se perceber um endereço bem estranho. Nada a ver com o Armen ou fotos que pudesse nos dizer respeito.

    Clicando no link, somos levados a um download de um arquivo com sufixo .com o que já era suspeito. Devemos considerar suspeitos os arquivos com as extensões .com, .exe, e .scr. Mas outras extensões também podem ser problema.  Neste caso, o navegador estava configurado para perguntar o que fazer com o arquivo! Se o navegador estivesse com a configuração de executar o arquivo, já teriamos sido infectados pelo virus.

    Claro que baixando o arquivo e observando com cuidado, os anti-virus conseguem perceber o código malicioso contido.

    No caso, era um virus somente para o Windows. Como eu estava em um ambiente Linux, o programa simplesmente dá um erro.

    No caso de permitir a execução do arquivo .com, mesmo havendo um antivirus ativo, ele pode não conseguir detectar pois foi comandada a execução.

    O antivirus em seu processo de varredura encontrou o vírus na máquina do Armen. Foi comandado que ele fosse movido para quarentena. Tarefa que o antivirus afirma ter completado com sucesso.

    Numa segunda execução da varredura, o virus foi encontrado novamente. Proceder com cautela para não danificar a configuração no processo de limpeza da configuração.

    Referencias :

    • Deletar virus manualmente –  Orientações especiais para quem quer tomar um pouco mais de controle de sua configuração.