Tweet

O leitor de e-mail Mozilla Thunderbird 2 e o webmail GMail (Google Mail) têm em comum um recurso que agrega segurança, eficiência e praticidade. O bloqueio e a exibição seletiva de imagens externas dentro de mensagens de e-mail.

Imagens externas ou remotas são referências a imagens na web dentro de uma mensagem formatada, para compor o conteúdo. Em termos simples, é quando o remetente escreveu a mensagem formatada e usou para diagramação ou ilustração uma ou mais imagens mantidas na internet. Em termos técnicos: existe uma ou mais tags IMG no HTML da mensagem, cujo atributo fonte (SRC) aponta para uma imagem na internet.

Neste caso, o programa de e-mail, depois de baixar a mensagem, terá de acessar a internet novamente e baixar cada imagem remota referenciada, para que seja exibida a apresentação visual completa da mensagem recebida.

Tal uso de imagens pode ser usado de forma legítima e “inocente”, para compor uma mensagem formatada e ilustrada. É inclusive muito comum nas malas diretas de empresas, que usam imagens para ilustrar os produtos divulgados. Assim, as imagens não são incluídas no corpo de cada mensagem enviada — o que efetivamente reduz o tamanho da mensagem e o tráfego de envio — mas sim acessadas da web quando cada destinatário visualiza.

Pode ser prático para quem envia, mas é perigoso para quem recebe.

Os riscos

Para começar, podem me chamar de antiquado, mas eu particularmente sou favorável do correio eletrônico para mensagens de texto puro, sem formatação, como foi originalmente concebido. Formatação HTML (fontes, cores, tamanhos… etc.) aumenta muito o tamanho da mensagem trafegada, em comparação a se fosse enviado apenas o texto puro de seu conteúdo. Considerando que em geral os programas de e-mail, ao enviar uma mensagem formatada, enviam junto também uma versão alternativa em texto puro e que as informações de formatação ocupam “espaço”, o tamanho de uma mensagem formatada é mais de duas vezes maior que o tamanho do texto puro.

Mas mesmo que você considere essencial trazer para o correio eletrônico a riqueza visual que existe na web, com seus negritos, centralizados etc., existem riscos concretos nas mensagens formatadas com imagens.

Primeiro, tráfego de rede. Imagens em geral são muito maiores do que texto e, para exibir plenamente uma mensagem com diversas imagens, seu programa de e-mail terá que baixar todas as imagens remotas usadas. Porém, você pode ter uma boa banda larga e isso gasta poucos segundos.

Em seguida vêm os ricos sérios.

Segundo, a quebra de privacidade. Quando seu programa leitor de e-mail (mesmo que seja um webmail) baixa uma imagem remota para exibir em uma mensagem, ele tem que acessar o servidor web onde a imagem está. Este acesso fica registrado. Ou seja, o servidor web “sabe” que você (seu computador) buscou a imagem naquele momento. Algumas empresas utilizam imagens (às vezes “invisíveis”, com tamanho zero ou transparentes) em malas diretas exatamente para controlar quantos, quando e quem recebeu as mensagens, com base no registro de imagens acessadas em seu servidor.

Por fim, o risco de segurança. Fraudes, spams e outras incursões maliciosas freqüentemente utilizam o mecanismo de inserção de imagens remotas na mensagem formatada para explorar alguma vulnerabilidade de segurança, de forma a exibir conteúdo impróprio, introduzir no computador destino um arquivo maléfico, abrir uma brecha para invasão ou outro dano qualquer.

A precaução e as facilidades

É por esses riscos que o Thunderbird e o GMail — e outras aplicações de e-mail que seguirem o bom exemplo — bloqueiam por padrão a exibição de imagens externas nas mensagens recebidas. É oferecida uma opção para Carregar/Exibir as imagens, que pode ser acionada pelo usuário caso ele realmente deseje.

Na ilustração seguinte, você vê parte de uma mensagem formatada recebida pelo Thunderbird. No alto, há um aviso informando que as imagens externas foram bloqueadas (ou seja, ainda não foram baixadas) e um botão com a opção “Carregar imagens”. Na mensagem, pode-se perceber os espaços reservados para as imagens, não exibidas. Se, após conferir remetente, assunto e conteúdo textual, quiser exibir as imagens nesta mensagem específica, pressione o botão.

Porém, existem casos em que você confia bastante no remetente, sabe que ele comumente envia mensagens formatadas contendo imagens e quer que elas sejam sempre exibidas, de forma automática, sem que você tenha que solicitar a exibição de imagens a cada mensagem recebida. Para estes casos, também existe uma opção.

No Thunderbird 2, é o link “Sempre carregar imagens externas de email-remetente”.

O Thunderbird armazena esta opção com uma das informações de um contato (remetente), no Catálogo de Endereços. Quando se escolhe o link e o remetente da mensagem em questão ainda não está no seu catálogo de endereços, abre-se uma janela de diálogo para adicioná-lo.

Nessa janela, note a opção “Permitir imagens externas em mensagens com formatação HTML” marcada. Pronto. Com esta opção marcada em um contato adicionado a seu catálogo de endereços, o Thunderbird passa a baixar e exibir automaticamente as imagens nas mensagens formatadas recebidas deste remetente.

Para saber mais:

• Privacy basics – Thunderbird

Nota: uma mensagem do Submarino.com.br foi usada como exemplo nas ilustrações. A logomarca e o conteúdo ilustrativo exibidos são propriedade ou crédito do Submarino.

Tweet

Tweet

Hoje em dia só não tem e-mail (correio eletrônico) quem não quer. Há muitos anos já se popularizaram na Internet as mais variadas opções de e-mail gratuito.

Os primeiros e-mails gratuitos vieram com o advento do WebMail, usando apenas uma aplicação web para o acesso. A veiculação de propaganda no webmail viabilizava o retorno financeiro dos provedores para o serviço gratuito aos usuários. A maioria dos e-mails gratuitos atuais permite também o uso de programas clientes de e-mail comuns via POP.

Com o surgimento do GMail — o Google Mail — em abril de 2004, uma nova revolução foi introduzida na democratização do e-mail: ampo espaço. Enquanto os serviços gratuitos até então ofereciam poucos Megabytes de espaço máximo para o armazenamento de mensagens, o GMail inaugurou oferecendo 1 Gigabyte em seu e-mail gratuito, além de uma interface totalmente inovativa, rica em interação.

Com a estratégia agressiva de espaço da Google, que hoje já oferece 2,8 GB por conta de e-mail, outros provedores tiveram que reagir com grandes saltos no espaço oferecido. Atualmente gigantes globais como Yahoo Mail e MSN Hotmail, e até tupiniquins como BOL, oferecem 1 GB por conta gratuita.

Às vésperas do 10º aniversário do Yahoo Mail — que atualmente disponibiliza (ainda em Beta) uma ótima interface muito semelhante a programas de e-mail como Outlook ou Thunderbird — John Kremer, VP do Yahoo Mail, anunciou ontem em seu blog que o serviço oferecerá armazenamento ilimitado a partir de maio de 2007.

Especula-se alguma reação ao anúncio da Yahoo em breve pela Google, cujo revolucionário GMail completará 3 anos em 1º de abril próximo.

Fonte: Yahoo Mail Promises Unlimited Storage (em inglês), por Thomas Claburn, InformationWeek, 28 de março de 2007.

Tweet

Tweet

Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.

Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.

A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.

Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.

Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.

• Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, centenas de exemplos de fraudes, freqüentemente atualizado.
• US-CERT Technical Cyber Security Alert TA04-184A: Internet Explorer Update to Disable ADODB.Stream ActiveX Control, National Cyber Alert System, EUA, 2 de julho de 2004.
• Atualização crítica para Componentes do Microsoft Data Access – Desabilitar o objeto ADODB.Stream do Internet Explorer (KB870669), Base de Conhecimento do Suporte Microsoft, incluindo download da atualização crítica.
• Exploit.ADODB.Stream e Exploit.JS.ADODB.Stream.e, Counter Spy Research Center, Sun Belt.
• Trojan Exploit.JS.ADODB.Stream.e, Cyberoam Tech Updates.
• ADODB.Stream, F-Secure Trojan Information.
• Troj/Psyme-CY, Trojan – Sophos threat analysis.

Tweet

Tweet

Mais uma fraude, para fechar o ano. Não, não estou falando de “maracutaias” políticas ou de empresários inescrupulosos. Assim como no mundo concreto, a Internet brasileira está cheia de fraudes e é de mais uma dessas que estou falando.

O tema da vez nesta fraude é a Companhia Vale do Rio Doce (CVRD). Fingindo oferecer um formulário de cadastro de fornecedor, a fraude leva ao download de um programa malicioso, mais um “pegador de senhas” bancárias.

Milhares de variantes de fraudes do tipo phishing scam se proliferaram por e-mail este ano, praticamente todas objetivando fazer com que o usuário baixe e instale um programa malicioso que visa capturar dados bancários no computador infestado.

A técnica é manjada: Uma mentira qualquer tenta convencer você a clicar em um link para baixar um arquivo executável. A extensão do arquivo varia — EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK, SHS e outras — mas todas têm o mesmo efeito. São interpretadas como um tipo de programa, de forma que se o arquivo é aberto, o Windows executa e ativa o programa malicioso.

Aparentemente, o programa se executado não faz nada, mas na verdade se instala para iniciar sua execução junto com o Windows, vigiando permanentemente se o usuário acessar o home banking de algum banco (em geral os brasileiros), para capturar os dados (conta e senha) e enviá-los pela Internet ao fraudador.

A fraude exemplificada aqui tenta dissimular o link para o destino (clique na imagem para ampliar e observe o endereço na parte inferior), que é o arquivo fornecedor.exe, adicionando ao final do endereço uma âncora chamada #fornecedor.pdf, que nada afeta o download, mas pode confundir o usuário desavisado, que olhando rapidamente o endereço pode achar que realmente se trata de um arquivo PDF. Não se engane: se fosse um arquivo PDF, o navegador normalmente exibiria o documento na tela (usando o plug-in Adobe Reader/Acrobat, que a maioria das pessoas possui instalado). Mas neste caso, como na verdade é um arquivo executável, o navegador deve informar e alertar sobre a real operação de download.

A proteção contra essas fraudes são medidas simples e efetivas:

1. Não acredite em mensagens não solicitadas que você receber, seja qual for o tema da fraude. Veja neste artigo os muitos temas diferentes que têm aparecido na Internet, para se prevenir: Scam – A fraude inunda o correio eletrônico.
2. Nunca clique em links de mensagens suspeitas. Se possível, nunca clique em link de mensagem de e-mail nenhuma.
3. E, principalmente, nunca nunca em hipótese nenhuma faça download nem abra/execute arquivos oferecidos a partir de um link em uma mensagem de correio eletrônico.

Pode ter certeza: seguindo estes passos simples, você não vai perder nenhuma oportunidade fantástica senão a de se meter em confusão à toa. O bom senso e a cautela ainda são um dos melhores e mais eficazes antivírus que você pode ter.

Fique esperto, evite as fraudes na Internet e Feliz Ano Novo!

Tweet

Tweet

A praga virtual (tecnicametne classificada como verme ou, em inglês, worm) Bagle continua a se proliferar, circulando como um anexo de e-mail. A característica que mais me impressiona é que, para tentar despistar os antivírus, o Bagle.GN vem compactado em um arquivo ZIP protegido por senha e anexa também na mensagem uma imagem GIF contendo a senha!

Um exemplo do texto da mensagem de e-mail do Bagle.GN é:

Assunto: Registration is accepted

Thanks for use of our software.
Use password [imagem] to open archive.

O usuário ingênuo praticamente tem que insistir para “conseguir” ter seu computador infectado com o Bagle, pois terá algum trabalho:

1. Deve abrir o arquivo ZIP anexo. No Windows XP, já existe o Assistente de Pastas Compactadas que já lida com arquivos ZIP. Em versões anteriores do Windows, o usuário teria que possuir instalado um programa à parte capaz de tratar arquivos ZIP, como PowerArchiver ou WinZip.
2. Ao extrair, é solicitada senha. O usuário teria que digitar a senha fornecida na imagem.
3. Ao descompactar o executável do programa maléfico, os bons antivírus detectariam o Bagle e o eliminariam. Para chegar até aqui, então, o otário, quero dizer, usuário deveria usar um antivírus ruim ou desatualizado, ou pior ainda: não manter nenhum antivírus ativo.
4. Por fim, o campeão da ingenuidade ainda tem que executar o programa malicioso extraído, para aí finalmente ativar o Bagle.GN.

Ufa! Hoje em dia é trabalhoso até para ser infectado por verme, hehe. E não é que ainda tem gente que cai numa dessa?

O Bagle.GN foi primeiramente detectado pela empresa de segurança antivírus Sophos. Ele se instala para execução automática ao iniciar o Windows, se replica por e-mail e permite que um invasor domine o computador infectado.

Para saber mais:

• W32/Bagle-GN Worm (em inglês), por Sophos. Também em espanhol.
• Bagle.GN. Oculta sus procesos, finaliza protecciones (em espanhol), por boletim VSantivirus.
• Email-Worm.Win32.Bagle.gm (em inglês), por Viruslist.com, Kaspersky Lab.

Tweet

Tweet

Eu não esperava novas detecções decorridos mais 4 dias, 18 desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando VirusTotal.com. Para minha feliz surpresa, novidades do front.

Eis as novidades destes 4 dias, para cada um dos cinco programas de fraude:

1. McAfee e Norman mudaram a classificação do artefato.
2. Avast passou a detectar.
3. Nenhuma novidade para a terceira fraude.
4. Avast e Symantec, ambos saindo do zero, passaram a detectar. Authentium, F-Prot e F-Prot4 mudaram a classificação.
5. Avast, F-Prot4 e Symantec passaram a detectar.

Resumo: 6 novas detecções, 5 novas classificações. 7 antivírus detectam as cinco ameaças, 6 detectam quatro ameaças, 3 detectam três, 3 detectam duas, 4 detectam só uma e 4 continuam não detectando nenhuma das ameaças (ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
• [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [5] Norman – W32/Banker.AMXQ / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [5] VBA32 – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [4] McAfee – PWS-Banker.gen.i / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [4] UNA – Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [3*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.XCA / security risk named W32/Downloader.AGOW
• [3*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.XCA / W32/Downloader.AGOW
• [3] Avast – não / Win32:Small-BXK / não / Win32:Bancos-WD / Win32:Small-BXK
• [2] DrWeb – BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
• [2] F-Prot4 – não / não / não / W32/Banker.XCA / W32/Downloader.AGOW
• [2] Symantec (Norton) – não / não / não / Infostealer.Bancos / Downloader.Trojan
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [1] VirusBuster – não / não / não / TrojanSpy.Bancos.AKV / não
• [0] ClamAV
• [0] eTrust-InoculateIT
• [0] eTrust-Vet
• [0] Sophos

Tweet

Tweet

Decorridas duas semanas desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com, iniciada dia 9, fiz novo balanço dos testes.

Eis novos resultados, desde a atualização do dia 14, para cada programa de fraude:

1. Norman (agora detecta todas) e UNA passaram a detectar a fraude. VBA32 evoluiu da suspeita para uma classificação precisa.
2. McAfee passou a detectar. VBA32 deu diagnóstico mais preciso.
3. DrWeb passou a detectar.
4. VirusBuster, saindo do zero, passou a detectar esta fraude. Fortinet deu diagnóstico mais preciso.
5. Authentium e F-Prot passaram a detectar.

Resumo: Pequena evolução, com 7 novas detecções. 7 antivírus agora detectam as cinco ameaças, 6 detectam quatro ameaças, 2 detectam três, 1 detecta duas, 5 detectam só uma e 6 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos e Symantec).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
• [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [5] Norman – W32/Banker.AWVT / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [5] VBA32 – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [4] McAfee – PWS-Banker.gen.b / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [4] UNA – Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [3*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / W32/Downloader.AGOW
• [3*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / security risk named W32/Downloader.AGOW
• [2] DrWeb – BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
• [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [1] VirusBuster – não / não / não / TrojanSpy.Bancos.AKV / não
• [0] Avast
• [0] ClamAV
• [0] eTrust-InoculateIT
• [0] eTrust-Vet
• [0] Sophos
• [0] Symantec (Norton)

Tweet

Tweet

Uma nova fraude quer te conhecer. O interessante desta fraude é o local onde o malware, identificado pelo antivírus Kaspersky como Trojan-Downloader.Win32.Banload.bcl — típico roubador de senhas bancárias, está hospedado. O endereço é mail.langao.gov.cn/perfil_de_usuario_foto,jpg.exe, um domínio governamental da China!

Tweet

Tweet

Em tempos de eleição, mais uma fraude dentro do tema. Esta se passa por reportagem de denúncia envolvendo o presidente e candidato a reeleição.

Veja a reprodução a a seguir, mostrando o link para download do programa malicioso reportagem.cmd. CMD é uma das várias extensões de arquivo executáveis do Windows, assim como EXE, COM, SCR, CPL, BAT.

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Tweet

Tweet

Iniciei dia 9 uma nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com.

Eis a atualização dos resultados, decorridos 5 dias, para cada programa de fraude:

1. Kaspersky mudou a classificação da fraude; Ewido passou a detectá-la.
2. AntiVir, AVG, Fortinet, Norman e UNA passaram a detectar a fraude.
3. AntiVir, AVG, Ewido, Fortinet, Kaspersky, UNA e VBA32 passaram a detectar; Norman deu uma classificação mais precisa.
4. McAfee e Norman passaram a detectar.
5. AntiVir, AVG, Fortinet, McAfee, Norman e UNA passaram a detectar; Panda e VBA32 deram um diagnóstico mais preciso.

Resumo: Boa evolução geral. 6 antivírus passaram a detectar as cinco ameaças (era só 1 no primeiro dia), 5 detectam quatro ameaças, 2 detectam três, 2 detectaram duas, 5 detectaram só uma e 7 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos, Symantec e VirusBuster).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [2*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / não
• [0] Avast – não / não / não / não / não
• [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [0] ClamAV – não / não / não / não / não
• [1] DrWeb – BACKDOOR.Trojan / não / não / não / não
• [0] eTrust-InoculateIT – não / não / não / não / não
• [0] eTrust-Vet – não / não / não / não / não
• [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos / W32/Banker.DLI!tr.dldr
• [2*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
• [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [3] McAfee – PWS-Banker.gen.b / não / não / PWS-Banker.gen.i / PWS-Banker.bj
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4] Norman – não / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [0] Sophos – não / não / não / não / não
• [0] Symantec – não / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [3] UNA – não / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [5*] VBA32 – suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [0] VirusBuster – não / não / não / não / não

Tweet