Categorias
segurança Windows

GbpSv.exe – acesso ao Banco do Brasil entre outros bancos

Banco do Brasil

Quebra de página

Os problemas de acesso aos Internet Bankings ainda são muitos. Um dos mais comuns é com o programa GbpSv.exe instalado pelos bancos nos computadores rodando Windows para alguns procedimentos de segurança.

Será que isso ainda está sendo usado? É coisa velha? Está sendo aproveitado por mal-intencionados?

Por vários motivos, este dispositivo começa a funcionar mal, causando problemas como o presentado na imagem a baixo ao inicializar a máquina.

 

Error Screen

 

Parece que dá problema durante o processo de boot. Este programa vem dando problema há muito tempo e consta de diversos foruns na internet.

Uma das forma para remover este problema é o boot por live CD, renomear o arquivo de .exe para .lix (de lixo), e criar um arquivo vazio como nome .exe! E voltar ao boot normal…

O programa GbpSv.exe é executado no momento de boot. No momento do Boot, uma série de programas são executados e de diversas formas. Veja aqui uma lista de lugares onde pode estar registrada a informação de quais programas executar. Aparentemente, existem cópias do programa em seu computador que são restauradas em caso de eliminação da versão em uso. O utilitários Autoruns da SysInternal pode ajudar a idenficar os programas marcados para iniciar no boot.

Mas algumas duvidas ficam:

  • porque os bancos (entre eles o Banco do Brasil) instalam este programa? Eles continuam a fazer isso? Isso coloca em risco a nossa configuração??
  • se pararam de usar, porque continuamos correndo o risco?
Categorias
segurança

um caso de virus.

Esta manha estava lendo os meus eMails e percebi uma mensagem um tanto incomum. O meu amigo Armen me enviou algumas fotos. Bom… primeiro o Armen não é dos mais frequentes enviadores de mensagens com fotos. A lista de destinatários era grande. O texto do eMail era um tanto vago e seguramente não era do estilo do Armen.

Ao invés de conter as fotos anexas, o eMail continha links para cada foto que citada. Passando o mouse sobre os links e observando a decodificação do link podia-se perceber um endereço bem estranho. Nada a ver com o Armen ou fotos que pudesse nos dizer respeito.

Clicando no link, somos levados a um download de um arquivo com sufixo .com o que já era suspeito. Devemos considerar suspeitos os arquivos com as extensões .com, .exe, e .scr. Mas outras extensões também podem ser problema.  Neste caso, o navegador estava configurado para perguntar o que fazer com o arquivo! Se o navegador estivesse com a configuração de executar o arquivo, já teriamos sido infectados pelo virus.

Claro que baixando o arquivo e observando com cuidado, os anti-virus conseguem perceber o código malicioso contido.

No caso, era um virus somente para o Windows. Como eu estava em um ambiente Linux, o programa simplesmente dá um erro.

No caso de permitir a execução do arquivo .com, mesmo havendo um antivirus ativo, ele pode não conseguir detectar pois foi comandada a execução.

O antivirus em seu processo de varredura encontrou o vírus na máquina do Armen. Foi comandado que ele fosse movido para quarentena. Tarefa que o antivirus afirma ter completado com sucesso.

Numa segunda execução da varredura, o virus foi encontrado novamente. Proceder com cautela para não danificar a configuração no processo de limpeza da configuração.

Referencias :

  • Deletar virus manualmente –  Orientações especiais para quem quer tomar um pouco mais de controle de sua configuração.