Antivírus contra programas de fraude no Brasil (2)

Em meu artigo 2 semanas atrás, iniciei o acompanhamento da evolução de 3 exemplos de malware (programas maléficos) utilizados em fraudes circulantes no Brasil.

Naquele dia, do total de 27 mecanismos antivírus testados pelo serviço VirusTotal, eram 10 antívirus detectando 1 ou mais das amaças, sendo que apenas 4 haviam dectado todas as três.

Hoje, transcorridas duas semanas (14 dias), a situação está assim:

A primeira triste constatação é que todos os três artefatos continuavam acessíveis (disponíveis para download) na Internet.

Dos 27 antivírus analisados, 6 detectaram as três ameaças, 2 detectaram duas delas, 11 detectaram apenas uma e os outros 8 antivírus continuaram não detectando nenhuma delas. Ou seja, o número de antivírus detectando pelo menos uma das ameaças aumentou de 10 para 19, após duas semanas.

Alguns detectam de forma imprecisa as ameaças (*), apresentando para uma ou mais delas vereditos vagos como “suspeito”, “ameaça desconhecida” ou “provável ameaça”.
O segundo artefato foi o de detecção mais ampla, identificado por 17 antivírus (eram só 5 no primeiro dia), sendo por sinal aquele reconhecido por 10 dos 11 antivírus que só detectaram uma ameaça.

  • [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
  • [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
  • [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
  • [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
  • [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
  • [3*] Fortinet = suspicious; Banker.T!tr.pws; suspicious
  • [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
  • [2*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; não
  • [1] Avast = não; Win32:Banker-ARH; não
  • [1] AVG = não; PSW.Banker2.KYQ; não
  • [1] ClamAV = não; Trojan.Spy.Banker-3994; não
  • [1] Ewido = não; Logger.Banker.bsh; não
  • [1] eTrust-Vet = não; Win32/Bancos.EVO; não
  • [1] McAfee = não; PWS-Banker.gen.t; não
  • [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
  • [1] Symantec = não; Infostealer.Bancos; não
  • [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
  • [1] VBA32 = não; Trojan-Spy.Win32.Banker.bsh; não
  • [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
  • [0] Authentium
  • [0] eTrust-InoculateIT
  • [0] F-Prot
  • [0] Ikarus
  • [0] Panda
  • [0] Sophos
  • [0] TheHacker
  • [0] VirusBuster

É claro que a pequena amostragem de artefatos não serve de avaliação criteriosa dos 27 antivírus existentes no serviço VirusTotal, mas serve pelo menos como indicativo concreto de que boa parte dos antivírus atuais ainda não está lidando de forma eficaz contra as pragas envolvidas em fraudes on-line do Brasil, incluindo os três antivírus mais populares no mercado brasileiro: AVG, McAfee e Symantec.

Por enquanto, honra ao mérito dos antivírus DrWeb e Kaspersky, que identificaram mais rápida e precisamente as três amaeças tomadas como exemplo. Destaque também para a boa atuação dos antivírus AntiVir, BitDefender, NOD32, Fortinet, CAT-QuickHeal e Norman.