Um recurso bastante interessante e um pouco conhecido dos usuários domésticos, porém adotado por muitos administradores de sistemas pelo mundo é o uso de arquivos Proxy-auto-config (pac) em navegadores. Trata-se de um recurso legítimo, existente em todos os navegadores modernos. A função permite direcionar sua conexão para determinado site à um servidor de proxy específico.  Um exemplo: isso te permite digitar na barra do navegador “webmail” e o proxy te leva para o IP legitimo do seu webmail.

Infelizmente este recurso simples e inteligente de direcionamento nos navegadores está sendo largamente usado pelos criadores de vírus brasileiros para enganar usuários, que uma vez infectados, são direcionados para servidores maliciosos com páginas falsas de bancos e operadoras de cartão de crédito. Uma URL apontando para um arquivo .pac, .js ou até mesmo um .txt é inserida nas configurações do navegador, no campo “Usar Script de configuração automática”:

Vemos aqui um exemplo de uma URL com um script de proxy-auto config:

Depois de ser infectado por um Trojan banker, se um usuário tentar acessar alguns dos sites listados no script, ele será direcionado para páginas falsas hospedadas no servidor do proxy malicioso, ou em algum outro host configurado no script.

Negociado entre cibercriminosos
Obtivemos acesso ao código fonte de vários trojans brasileiros que possuem essa característica de mudar o proxy no navegador do usuário. Essa técnica maliciosa foi primeiramente noticiada pelo site de segurança Linha Defensiva em julho do ano passado, e até então era restrita a alguns poucos trojans de origem brasileira. Porém temos visto nos últimos dias um aumento considerável no número de usuários infectados e hoje boa parte do malware produzido no país possui essa característica.

Não somente usuários do Internet Explorer são afetados: esse código malicioso possui uma função que também altera as configurações de proxy do Firefox, mudando o arquivo prefs.js

E finalmente, para tornar a infecção persistente e fazer com que o proxy não seja removido manualmente pelo usuário, uma DLL maliciosa é registrada na inicialização do sistema infectado. Ela irá reescrever o proxy caso seja removido:

Dessa forma, mesmo que você remova o proxy malicioso da configuração do seu navegador, a DLL maliciosa se encarregará de reescrever esse proxy. Para que seu sistema seja limpo, é necessário removê-la, caso seu programa antivírus não o faça.

Para removê-la manualmente, vá até a pasta %UserProfile% (Iniciar > Executar > %UserProfile%) e procure por algum arquivo com um dos nomes listados abaixo:
internetmodule.dll
networkmap.dll
sysquery.dll
systemmap.dll
undersystem.dll
userprofile.dll
winprocess32.dll
winupdate32.dll

Caso não consiga deletá-las, entre em Modo Seguro e delete o arquivo.