Ontem fiquei das 23:00 até as 3:00 da manhã para desativar e só hoje consegui resolver definitivamente a infecção que explorou a vulnerabilidade do Java no Firefox (figura 1), sendo que já estou com a versão 11.
Notei que ao entrar no site uma empresa de software legitima, apareceu o ícone do Java e instalou um falso antivírus que não me deixava abrir nem o prompt de comando, gerenciador de tarefas ou outras aplicações.
Alem disso ele desabilitou o McAfee e não permitia acesso para atualização das politicas e DATs por ter desabilitado os serviços, como mostra o gerenciador NAP de conexão a minha rede corporativa (figura 2).
E o pior é que o McAffee só enxergou o trojan (figura 1) depois que eu MANUALMENTE fiz o update do DAT (Daily DAT Update) e já tinha achado o vírus em Modo de Segurança, que é um arquivo com o nome VWTFRZIUZ.exe no diretório TEMP dentro do perfil do usuário.
O motivo é que o JRE 6.0.31 é o Java não vulnerável, mas não atualiza o Firefox que continua com a versão antiga (figura 3) porque o instalador do JRE 6.0.31 não remove o JRE 6.0.30 que é vulnerável, e com os dois instalados a vulnerabilidade continua ativa (figura 4).
Recomendo que vocês façam o que tive que fazer depois de já infectado:
- Verifiquem qual o JRE que o Firefox de vocês está utilizando
- Se for anterior ao JRE 6.0.31 removam manualmente o JRE pelo painel de controle do Windows
- Instalem o JRE 6.0.31 pelo link: http://java.com/en/download/inc/windows_new_xpi.jsp se precisa do Java
- Desabilite o plugin do Java nos navegadores e habilite apenas nos sites que realmente necessita
Figura 1 – Trojan instalado utilizando a vulnerabilidade do JRE 6.0.1
Figura 2 – Antivirus desativado pelo trojan
Figura 3 – Aviso do Firefox de que o JRE 6.0.3 ainda estava instalado
Figura 4 – Coexistencia dos JREs, sendo que o 6.0.3 é o vulnerável