Categoria: E-mail

Inicio hoje uma nova rodada de acompanhamento da evolução de detecção de programas de fraude no serviço VirusTotal.com. Desta vez, acompanho 5 artefatos maliciosos (malware) apontados por mensagens de fraude recebidas recentemente por e-mail.

Resultado das primeiras análises hoje:

• [1] AntiVir – TR/Spy.Banker.BSU.12 / não / não / não / não
• [2*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / não
• [0] Avast – não / não / não / não / não
• [2] AVG – PSW.Banker2.OKF / não / não / PSW.Banker2.NVW / não
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [0] ClamAV – não / não / não / não / não
• [1] DrWeb – BACKDOOR.Trojan / não / não / não / não
• [0] eTrust-InoculateIT – não / não / não / não / não
• [0] eTrust-Vet – não / não / não / não / não
• [3] Ewido – não / Not-A-Virus.Exploit.Win32.DComII.a / não / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [2] Fortinet – Spy/Banker!08463 / não / não / Spy/Bancos / não
• [2*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
• [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [4] Kaspersky – Trojan-Spy.Win32.Banker.bsu / Trojan-Downloader.Win32.Small.dli / não / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [1] McAfee – PWS-Banker.gen.b / não / não / não / não
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [1] Norman – não / não / W32/Downloader / não / não
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Suspicious file
• [0] Sophos – não / não / não / não / não
• [0] Symantec – não / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [0] UNA – não / não / não / não / não
• [4*] VBA32 – suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / não / Trojan-Spy.Win32.Bancos.xc / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics)
• [0] VirusBuster – não / não / não / não / não

Resumo: apenas 1 detectou as cinco ameaças (BitDefender), 5 detectaram quatro ameaças (CAT-QuickHeal, Kaspersky, NOD32v2, Panda e VBA32), 1 detectou três, 4 detectaram duas, 8 detectaram só uma e 8 não detectaram nenhuma das cinco ameaças.

Para ver a rodada anterior de 17 dias acompanhando a detecção de três programas malware, veja Antivírus contra programas de fraude no Brasil (2006-08-07) a Antivírus contra programas de fraude no Brasil (4) (2006-08-24).

O que bingamanga.com tem a ver com a Ordem dos Advogados do Brasil? Em comum, só a hospedagem do programa roubador de senhas Trojan-Downloader.Win32.VB.ji em uma fraude se passando por um boletim eletrônico da OAB.

Veja a imagem reproduzindo a janela com o e-mail de fraude:

[photopress:scam_oab.png,full,centered]

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Olhe aí o serviço YouSendIt.com usado mais uma vez para hospedar uma aplicação maliciosa de fraude.
Desta vez, o tema da fraude é uma suposta solicitação de orçamento comercial.

[photopress:fraude_orcamento.png,full,centered]

No serviço VirusTotal, 12 antivírus detectaram a ameaça:

• AntiVir = TR/Spy.Banker.Gen
• AVG = PSW.Banker2.LJJ
• DrWeb = BACKDOOR.Trojan
• eTrust-InoculateIT = Win32/Bancos.Variant!Trojan
• Ewido = Logger.Banbra.gl
• Fortinet = Spy/Banbra!0917
• Kaspersky = Trojan-Spy.Win32.Banbra.gl
• McAfee = PWS-Banker.gen.b
• NOD32v2 = probably a variant of Win32/Spy.Banker.BIG
• Norman = W32/Banker.AJYT
• Panda = Suspicious file
• UNA = Trojan.Spy.Win32.Banbra.899C

Em clima de Dia dos Pais (que será no próximo domingo dia 13), uma fraude — que já existe há algum tempo — usando o nome do Boticário foi reciclada para circular agora com o título (Assunto) “Promoção dia dos pais”.

[photopress:scam_boticario.png,full,centered]

No endereço real de destino, YouSendIt.com é um serviço público de envio e armazenamento de arquivos em geral. Sem oferecer grande controle ou segurança, este tipo de serviço é muito usado para hospedagem de malware usado em fraudes.

Resultado decepcionante da varredura em VirusTotal.com: do total de 27 antivírus, apenas os seguintes 2 detectaram alguma ameaça:

• Authentium: could be a corrupted executable file
• Fortinet: suspicious

Tem gente que te ama. Mas desconfie de quem manda uma aparente mensagem de amor anônima. É uma fraude típica, e quem manda na verdade deve te odiar: quer instalar um programa para fazer mal ao teu computador e aos teus dados pessoais.

[photopress:scam_teamo.png,full,centered]

Resultado da análise do programa, por 27 antivírus em VirusTotal.com:

• CAT-QuickHeal: (Suspicious) – DNAScan
• Fortinet: suspicious
• Kaspersky: Trojan-Spy.Win32.Bancos.mi
• NOD32v2: probably a variant of Win32/Spy.Bancos.U
• Panda: Suspicious file
• VBA32: suspected of Malware.VB.22

Os outros 21 antivírus não detectaram ameaça. A detecção mais precisa foi do Kaspersky AV, o antivírus que tem se mostrado mais eficaz contra keyloggers. Por sinal, trata-se de mais um programa que visa para roubar dados (keylogger) bancários, o que tem sido típico nas fraudes circulantes no Brasil.

Depois de mais de dois anos acompanhando fraudes, finalmente recebi hoje uma que usa o nome da loja virtual Submarino, o maior e mais sólido serviço de comércio eletrônico ao consumidor via Internet do Brasil:

[photopress:scam_submarino.png,full,centered]

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Os indícios de fraude por e-mail sempre estão presentes. Reiterando as características que citei em meu artigo de alguns dias atrás, veja mais um exemplo recente.

[photopress:anatomia_scam_02.png,full,centered]

A mensagem diz ser do serviço “OCarteiro.com”, mas ao pousar o mouse sobre o link e observar o real endereço de destino, novamente os indícios de fraude ficam óbvios.

1. mensagem1288.exe: o link é para o download de um programa Windows (EXE), e não uma página de cartãoo virtual. Em geral, nenhum conteúdo “saudável” na Internet costuma ser distribuído como executável.
2. www.40drinks.net: este domínio de destino não tem nada a ver com OCarteiro.com.
3. O próprio texto da fraude indicava que o link seria para http://ocarteiro.com.br/lercartao.php?id=..., portanto não se parece nem um pouco com seu real destino. Além disso, o link exibido no texto apresenta um número de identificação para o cartão (59554A46821571) e logo adiante no texto é apresentado outro (1902667279A7383).
4. Outra característica comum em fraudes: o nome do remetente contém o assunto da mensagem, ao invés de conter um nome como se esperaria. Deve ser porque quem constrói essas fraudes sequer sabe a diferença entre “Subject” (Assunto) e “From” (Remetente) de um e-mail.

Detalhe: na fraude, está exibido um banner de publicidade que diz: “Proteja seu PC [computador] de intrusos, curiosos e invasores”. Será coincidência ou ironia?

E se apesar de tudo a pessoa ainda é trouxa o bastante para resolver clicar no link, olhe só o que o navegador Internet Explorer 6, por exemplo, alertaria:

[photopress:ie6_download_aviso.png,full,centered]

Download de Arquivo – Aviso de Segurança

(…) Este tipo de arquivo [executável] pode danificar seu computador. Se você não confiar em sua origem, não execute nem salve este software.

Note que a opção sugerida, portanto, é “Cancelar”. E o link “Qual é o risco?” ainda apresenta informações adicionais úteis, na Ajuda do Windows. Assim, não é por falta de aviso e informação que alguém vai dizer que deixou o programa nocivo entrar.

Por fim, utilizei o excelente serviço gratuito Virus Total para analisar o arquivo mensagem1288.exe simultaneamente em 27 sistemas antivírus atuais. Pelo menos 5 deles identificaram o arquivo como um malware (programa maléfico), do tipo spyware (programa espião), mais especificamente um típico keylogger (gravador de digitação) que visa roubar senhas de bancos brasileiros digitadas em páginas de Internet Banking.

Embora isso indique que ainda são poucos os antivírus que conseguem identificar prontamente as dezenas de variantes de spyware que surgem a cada dia (neste caso, 5 em 27, menos de 20%), mostra que ter um antivírus sempre atualizado ainda representa esperança de proteção.

Os antivírus tradicionalmente são preparados para — como o próprio nome diz — combater vírus e vermes; e em geral são muito eficientes contra estes inimigos. Spywares e Keyloggers, porém, são uma categoria diferente de programas nocivos, que tiveram sua incidência intensificada nos últimos tempos. Os antivírus estão adaptando seus mecanismos para serem eficientes também contra este tipo de mal.

Reconhecer fraudes recebidas por e-mail e não ser enganado por elas, na maioria dos casos, é muito fácil. Em primeiro lugar, poderia citar algumas “regras de ouro” simples que ajudam sempre:

• Não seja ingênuo! Desconfie, observe, avalie e critique o que você recebe por e-mail ou encontra na web.
• Na dúvida, não clique! Pense duas vezes e tenha certeza antes de clicar em qualquer link que vê pela frente.

Mas você poderia me perguntar: Desconfiar de quê? Observar o quê?

Então, vamos pegar um exemplo prático e identificar algumas características essenciais que se aplicam à maioria das fraudes enviadas por correio eletrônico. A imagem apresentada aqui é a reprodução de uma das muitas fraudes que recebo por e-mail diariamente. Este exemplo recente (24 de julho) é de uma fraude que supostamente oferece fotos de orgia em uma “festa na FGV”.

[photopress:anatomia_scam_01.png,full,centered]

Destaquei na reprodução da fraude alguns elementos principais. Veja:

1. Antes de clicar, passe o ponteiro do mouse sobre o link e observe o endereço de destino, exibido na barra de estado do cliente de e-mail ou navegador web.
2. Observe o endereço de destino; quase sempre ele aponta para domínios suspeitos e estranhos, sites de hospedagem gratuita/anônima, em países longínquos etc.
3. Uma informação crucial: preste atenção no nome do arquivo ao final do link, principalmente a extensão após o último ponto, que determina o tipo do arquivo. Neste caso, é .cmd. EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, MSI são extensões executáveis pelo sistema operacional Windows, o que significa que o arquivo trata-se de um programa, e não de imagem ou vídeo, como sugere a fraude. Este programa deve ser provavelmente um verme (causador de danos), um spyware (rouba-senhas), ou outro programa maléfico.
4. Fique atento às divergências que muitas vezes o próprio texto mal-elaborado da fraude deixa como pista. A mensagem diz que o arquivo deve se chamar facul.zip, quando o link indica que é na verdade fotos.cmd.
5. Por falar em texto mal elaborado, ortografia e gramática certamente não são o forte dos fraudadores. Erros de português são muito comuns em fraude e este exemplo não foi exceção: escreveram “poribido” ao invés de “Proibido”.

Pronto. Em poucos segundos, você consegue ver diversas pistas escancaradas que revelam que a mensagem se trata de uma fraude.

Vale saber que boa parte das fraudes que circulam no Brasil atualmente consiste em mensagens que inventam uma desculpa para atrair a curiosidade do ingênuo destinatário e fazê-lo clicar em um link, aceitar o download e executar um programa em Windows (se você usa Linux ou MacOS, você está a salvo destas ameaças). O exemplo apresentado é assim.

O que varia é o tema da mensagem de fraude: dívidas, traição, sexo, escândalo, promoção… sempre na esperança de algum desses temas atingir a atenção, curiosidade e ingenuidade de uma parte dos milhões de pessoas para as quais cada fraude é enviada.

Se você quiser ver mais centenas de exemplos de fraudes, organizados por grupos de tema, recomendo meu artigo Scam – A fraude inunda o correio eletrônico. Assuste-se ou divirta-se, mas, sempre: previna-se!

No fim de julho, recebi mais uma variante do boato do celular de graça:

Notebook Ericsson Gratis

A empresa Ericsson está distribuindo gratuitamente “lap tops” com o objetivo de se equilibrar com a Nokia, que está fazendo o mesmo. A Ericsson deseja assim aumentar sua popularidade. Por esse motivo, está distribuindo gratuitamente o novo Lap Top WAP.

Tudo o que é preciso fazer é enviar uma cópia deste e-mail para 8 (oito) conhecidos. Dentro de 2 (duas) semanas você receberá um Ericsson T18. Se a mensagem for enviada para 20 (vinte) ou mais pessoas, você poderá receber um Ericsson R320. Importante! É preciso enviar
uma cópia do e-mail para [email protected]

Não é trote. Funciona.
Boa Sorte!!!

Ericsson e Nokia têm que aguentar esse boato circulando há alguns anos, ressurgindo de tempos em tempos como aconteceu agora. Será que alguém realmente acredita que Nokia e Ericsson vão dar celular de graça, que a AmBev vai dar kit de cerveja, que Bill Gates vai dar dólares e por aí vai, tudo isso promovendo a condenável prática do spam (isto é, fazendo as pessoas enviarem dezenas de e-mails para seus contatos)? Francamente!…

Para mais informações:

• Quatro Cantos – Lenda Ericsson e Nokia
• Comunicado Ericsson do Brasil – E-mail Falso
• Terra Informática – E-mail que promete kit com cerveja da AmBev é trote
• Segurança de E-mail, veja Spam – E-mails Não-solicitados Indevidos
• Vírus e Pragas, veja Boatos e Lendas Urbanas

É, acredite nestes boatos, faça spam e ganhe prêmios, quem sabe um chapéu de trouxa.