O lindo e maravilho site da caixa fazendo bitdefender gritar, agora saber se é um falso positivo.

Question

Bom dia!

Hoje resolvi verificar se tenho algo no FGTS. Acessando o site da caixa o bitdefender, Kaspersky em outro PC gritaram logo.

No whatsapp est&atilde;o circulando muitas mensagem para consultar o FGTS e muita gente cai.

No momento somente o Edge deu os alertas, mas o arquivo foi bloqueado e apagado. Fiz o mesmo teste no chrome e n&atilde;o grita!

[ATTACH=full]107163[/ATTACH]

Answer

Bom dia, [USER=1127]@PH[/USER] .

Copie esses arquivos js para um local seguro, retire qualquer atributo de execu&ccedil;&atilde;o e fa&ccedil;a uma an&aacute;lise pr&eacute;via no bloco de notas. 
Se forem maliciosos, os c&oacute;digos geralmente s&atilde;o curtos e fica mais f&aacute;cil de analisar. Sinceramente, deve ser alerta falso.

Answer

[QUOTE=Hosco Tecnologia, post: 8246785, member: 899992]Bom dia, [USER=1127]@PH[/USER] .

Copie esses arquivos js para um local seguro, retire qualquer atributo de execu&ccedil;&atilde;o e fa&ccedil;a uma an&aacute;lise pr&eacute;via no bloco de notas.
Se forem maliciosos, os c&oacute;digos geralmente s&atilde;o curtos e fica mais f&aacute;cil de analisar. Sinceramente, deve ser alerta falso.[/QUOTE]
Boa tarde.

Tentei abrir com notepad++, mas deu acesso negado, pois o antivirus estava fazendo algo no arquivo depois excluiu.

Com o bitdefender n&atilde;o consegui fazer nada, pois ele apagou. Assim que chegar em casa vou testar em uma VM reduzindo a prote&ccedil;&atilde;o do antiv&iacute;rus para n&atilde;o realizar a exclus&atilde;o, mais tarde dou noticias.

Lembrando que o site da caixa na sua p&aacute;gina inical n&atilde;o abre em https como os demais bancos! Aqui http://www.caixa.gov.br/Paginas/home-caixa.aspx, s&oacute; entra com seguran&ccedil;a no internet banking. https://internetbanking.caixa.gov.br/sinbc/#!nb/login

Edit.

No notebook n&atilde;o alertou nada mesmo entrando no site da caixa.

Conte&uacute;do do arquivo:

var _0xfwaeu=[\x68\x74\x74\x70\x73\x3A,\x70\x72\x6F\x74\x6F\x63\x6F\x6C,\x6C\x6F\x63\x61\x74\x69\x6F\x6E,\x68\x74\x74\x70\x73\x3A\x2F\x2F,\x68\x74\x74\x70\x3A\x2F\x2F,\x64\x65\x74\x65\x63\x74\x63\x61\x2E\x65\x61\x73\x79\x73\x6F\x6C\x2E\x6E\x65\x74\x2F\x64\x65\x74\x65\x63\x74\x63\x61\x2F\x73\x63\x72\x69\x70\x74\x73\x2F\x45\x39\x4E\x43\x4D\x6C\x6D\x77\x65\x6B\x36\x57\x43\x33\x4A\x52\x64\x6B\x43\x65\x34\x47\x38\x63\x55\x72\x6D\x5A\x7A\x72\x2F\x64\x65\x74\x65\x63\x74\x2E\x6A\x73,\x73\x63\x72\x69\x70\x74,\x73,\x64\x63\x61,\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65,\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74,\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65,\x69\x6E\x73\x65\x72\x74\x42\x65\x66\x6F\x72\x65,\x74\x79\x70\x65,\x73\x72\x63,\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74,\x61\x73\x79\x6E\x63];eval(_0xfwaeu[8]+=document.+[_0xfwaeu[10]]+('+_0xfwaeu[6]+'));window[_0xfwaeu[8]][_0xfwaeu[13]]=_0xfwaeu[15];window[_0xfwaeu[8]][_0xfwaeu[16]]=true;window[_0xfwaeu[8]][_0xfwaeu[14]]=((_0xfwaeu[0]==document[_0xfwaeu[2]][_0xfwaeu[1]])?_0xfwaeu[3]:_0xfwaeu[4])+_0xfwaeu[5];eval(_0xfwaeu[7]+=document.+_0xfwaeu[9]+('+_0xfwaeu[6]+')[0]);window[_0xfwaeu[7]][_0xfwaeu[11]][_0xfwaeu[12]](window[_0xfwaeu[8]],window[_0xfwaeu[7]]);

O local da pasta muda em rela&ccedil;&atilde;o a detectado no PC. HFMTS2ZG.

Agora tentar recuperar os arquivos que o bitdefender achou, mesmo que seja um falso positivo deve ser investigado.

V&iacute;rus Total deu o mesmo aviso quando mandei o arquivo, mas para apenas 9 antiv&iacute;rus, entre eles o BitDefender.

[ATTACH=full]107203[/ATTACH]

Answer

Se o intuito &eacute; apenas consultar o FGTS pode fazer atraves do app espec&iacute;fico para Android na playstore.
(Supondo que tenha um smartphone)

Answer

[QUOTE=MadMax, post: 8255243, member: 1466]Se o intuito &eacute; apenas consultar o FGTS pode fazer atraves do app espec&iacute;fico para Android na playstore.
(Supondo que tenha um smartphone)[/QUOTE]
Bom dia.

O meu FGTS cai autom&aacute;tico, poos tenho poupan&ccedil;a na caixa desde 1980 e bolinhas.

Answer

No caso do Bitdefender, tem o modo de acesso pra banco. J&aacute; tentou acessar por ele?

Outra op&ccedil;&atilde;o &eacute; mandar um e-mail pro suporte da Caixa e do Bitdefender falando sobre o ocorrido. Certamente dar&atilde;o algum retorno. O suporte da Bitdefender com certeza dar&aacute;, pois eles tem um suporte excelente.

Answer

Para bancos, o ideal &eacute; usar uma VM dedicada a isso, caso fa&ccedil;a quest&atilde;o de rodar no PC.

Answer

[QUOTE=PH, post: 8246795, member: 1127]
var _0xfwaeu=[\x68\x74\x74\x70\x73\x3A,\x70\x72\x6F\x74\x6F\x63\x6F\x6C,\x6C\x6F\x63\x61\x74\x69\x6F\x6E,\x68\x74\x74\x70\x73\x3A\x2F\x2F,\x68\x74\x74\x70\x3A\x2F\x2F,\x64\x65\x74\x65\x63\x74\x63\x61\x2E\x65\x61\x73\x79\x73\x6F\x6C\x2E\x6E\x65\x74\x2F\x64\x65\x74\x65\x63\x74\x63\x61\x2F\x73\x63\x72\x69\x70\x74\x73\x2F\x45\x39\x4E\x43\x4D\x6C\x6D\x77\x65\x6B\x36\x57\x43\x33\x4A\x52\x64\x6B\x43\x65\x34\x47\x38\x63\x55\x72\x6D\x5A\x7A\x72\x2F\x64\x65\x74\x65\x63\x74\x2E\x6A\x73,\x73\x63\x72\x69\x70\x74,\x73,\x64\x63\x61,\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65,\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74,\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65,\x69\x6E\x73\x65\x72\x74\x42\x65\x66\x6F\x72\x65,\x74\x79\x70\x65,\x73\x72\x63,\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74,\x61\x73\x79\x6E\x63];eval(_0xfwaeu[8]+=document.+[_0xfwaeu[10]]+('+_0xfwaeu[6]+'));window[_0xfwaeu[8]][_0xfwaeu[13]]=_0xfwaeu[15];window[_0xfwaeu[8]][_0xfwaeu[16]]=true;window[_0xfwaeu[8]][_0xfwaeu[14]]=((_0xfwaeu[0]==document[_0xfwaeu[2]][_0xfwaeu[1]])?_0xfwaeu[3]:_0xfwaeu[4])+_0xfwaeu[5];eval(_0xfwaeu[7]+=document.+_0xfwaeu[9]+('+_0xfwaeu[6]+')[0]);window[_0xfwaeu[7]][_0xfwaeu[11]][_0xfwaeu[12]](window[_0xfwaeu[8]],window[_0xfwaeu[7]]);
[/QUOTE]
Boa tarde.

&Eacute; complicado analisar apenas um peda&ccedil;o de c&oacute;digo, mas segue a convers&atilde;o do endere&ccedil;o apontado pela vari&aacute;vel:

https: protocollocation https://
http://detectca.easysol.net/detectca/scripts/E9NCMlmwek6WC3JRdkCe4G8cUrmZzr/detect.jsscriptsdcagetElementsByTagNamecreateElementparentNodeinsertBeforetypesrctext/javascriptasync

&Eacute; uma empresa contra fraudes na internet.

Answer

Bom dia!

[QUOTE=JoaoNeto, post: 8255343, member: 380716]No caso do Bitdefender, tem o modo de acesso pra banco. J&aacute; tentou acessar por ele?

Outra op&ccedil;&atilde;o &eacute; mandar um e-mail pro suporte da Caixa e do Bitdefender falando sobre o ocorrido. Certamente dar&atilde;o algum retorno. O suporte da Bitdefender com certeza dar&aacute;, pois eles tem um suporte excelente.[/QUOTE]

Eu utilizo o Safemoney do Kaspersky

[QUOTE=MadMax, post: 8255449, member: 1466]Para bancos, o ideal &eacute; usar uma VM dedicada a isso, caso fa&ccedil;a quest&atilde;o de rodar no PC.[/QUOTE]

Por anos utilizei um VM com Slackware, mas depois que comprei o Suite do Kasparsky deixei mais de lado pelo Linux, at&eacute; meu pai usava, mesmo tendo DNS envenenado e ter o site do Bradesco direcionado.

Depois do relato deste erro o site da Caixa mudou, at&eacute; o EDGE passou aceitar o sistema de seguran&ccedil;a e parou com aquela mensagem que esbarrava em tecnologia web vintage. Estava mais que na hora!

Ferramentas

Mover Tópico