Como remover um espião

[Gva]

Boa noite!

Por favor, considerem a descrição:
Sou usuário do Ubuntu a mais de 06 anos e nunca tive problemas com vírus e trojans. No domingo passado fui surpreendido com a invasão do meu pc, apesar de ser o Ubuntu (com certeza foi um descuido meu, como por exemplo, algum PPA de origem duvidosa e assim por diante). Fui acessar o site do Banco do Brasil e tive os meus dados capturados. Uso o Ubuntu 14.04 e gostaria de saber se existe um programa que detecte o invasor e o elimine, ou talvez alguma sugestão, como,por exemplo, formatar (formatar eu não gostaria, pois quero tentar eliminar o arquivo invasor). A máquina continua infectada desde domingo.

Desde já agradeço.

[zekkerj]

Muitos desses problemas na verdade ocorrem por conta do roteador. De qq forma, o programa "rkhunter" pode detectar os pacotes de invasão do Linux mais comuns.

EDIT: Em tempo... como vc percebeu que a invasão aconteceu? Vc viu algo de estranho em sua máquina, ou foi avisado pela equipe de segurança do BB?

E como vc percebe que a máquina continua infectada?

[Gva]

Boa noite zekkerj!

Considerando que seja o roteador (pelo que acontecendo, acredito que você acertou na mosca), por favor, como faço para "arrumar" o roteador?

Grato.

[Gva]

Em tempo:

Percebi a invasão, devido a débito indevido em minha conta corrente minutos após a utilização de serviço da página do BB. A página está com um comportamento estranho: qualquer clique na página,  você é induzido a preencher a agência e conta corrente. Com a página do Santander isso não acontece (por segurança não acesso transações envolvendo valores).

Grato.

[zekkerj]

OK. Faça o seguinte: reinicie o seu roteador (desligar/ligar novamente) e limpe o cache do firefox. Verifique se após isso o comportamento estranho do site continua.

[garfo]

Parece ser site falso.   

[BrunoPT]

Aceda ao painel do Router e desactive todas as opções de port-forwarding e DMZ.
A coisa mais segura a se fazer é formatar o seu ubuntu, incluindo a /home se tiver separada (isto fica ao seu criterio, se tiver a certeza que o malware nao conseguiu permissões de root basta criar um novo utilizador)

Faça scan á sua rede a partir de fora, pegue em outro computador fora da sua rede e utilize o nmap/zenmap para procurar por portas abertas no seu IP público.
Faça scan ao seu computador dentro da rede, com outro computador dentro da rede faça o mesmo processo mas para o seu ip local.

Quando está em sites de bancos ou a aceder a outra informação importante verifique se está a utilizar https e utilize apenas em redes que confie, desta forma estará mais protegido contra ataques "man-in-the-middle".
É tambem boa ideia utilizar a conta de convidado ou um live-cd para aceder ao banco.

[Gva]

OK. Faça o seguinte: reinicie o seu roteador (desligar/ligar novamente) e limpe o cache do firefox. Verifique se após isso o comportamento estranho do site continua.

Boa tarde zekkerj e garfo!

Fiz o procedimento com o roteador e limpei o cache do firefox, mas não resolveu. O site do BB não mudou de aspecto (parece ser falso mesmo) e em qualquer link que você clica, te direciona para digitar a agência e a conta corrente, ou seja, continua induzindo a digitação dos dados para futura captura. Tentei a seguinte solução: Na sda1, mantive instalado o Ubuntu 14.04, que está atualizado e na sda2, após formatação, instalei o Mint 17.1 , atualizado e continuou dando o mesmo erro usando o firefox e posteriormente o chromium para acesso a página do BB, usando o MInt também. A página do Santander, por exemplo, continua com o acesso normal.  Alguma outra sugestão, por favor?

[zekkerj]

Inicie o Firefox em modo de segurança, para desativar todos os complementos dele.

Configure sua máquina para usar o servidor DNS do Google (8.8.8.8 ) ou do OpenDNS (208.67.220.220), ao invés do automático fornecido pelo seu roteador.

Outro teste bom é bootar um LiveCD aí, e acessar o banco a partir de lá.

[druidaobelix]

[...] na sda2, após formatação, instalei o Mint 17.1 , atualizado e continuou dando o mesmo erro [...]

Olá /Gva/,

Forneça o link desse site do BB aqui no fórum para que possamos verificar diretamente.

Copie e cole conforme aparece no seu navegador.

Se você formatou a sda2 e reinstalou tudo, evidentemente não há uma contaminação dessa instalação, então o problema está fora do seu computador, não nele.

[irtigor]

Forneça o link desse site do BB aqui no fórum para que possamos verificar diretamente.

Isso não é particularmente útil, porque o mais provável é que o nome esteja resolvendo pro ip errado. Um dig "site" mostra os dois.