Blog do Márcio d’Ávila

Eu não esperava novas detecções decorridos mais 4 dias, 18 desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando VirusTotal.com. Para minha feliz surpresa, novidades do front.

Eis as novidades destes 4 dias, para cada um dos cinco programas de fraude:

1. McAfee e Norman mudaram a classificação do artefato.
2. Avast passou a detectar.
3. Nenhuma novidade para a terceira fraude.
4. Avast e Symantec, ambos saindo do zero, passaram a detectar. Authentium, F-Prot e F-Prot4 mudaram a classificação.
5. Avast, F-Prot4 e Symantec passaram a detectar.

Resumo: 6 novas detecções, 5 novas classificações. 7 antivírus detectam as cinco ameaças, 6 detectam quatro ameaças, 3 detectam três, 3 detectam duas, 4 detectam só uma e 4 continuam não detectando nenhuma das ameaças (ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [5] AVG - PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender - Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [5] Ewido - Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet - Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
• [5] Kaspersky - Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [5] Norman - W32/Banker.AMXQ / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [5] VBA32 - Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [4] AntiVir - TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [4*] CAT-QuickHeal - (Suspicious) - DNAScan / (Suspicious) - DNAScan / (Suspicious) - DNAScan / não / (Suspicious) - DNAScan
• [4] McAfee - PWS-Banker.gen.i / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
• [4] NOD32v2 - a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4*] Panda - Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [4] UNA - Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [3*] F-Prot - não / não / could be infected with an unknown virus / security risk named W32/Banker.XCA / security risk named W32/Downloader.AGOW
• [3*] Authentium - não / não / could be infected with an unknown virus / W32/Banker.XCA / W32/Downloader.AGOW
• [3] Avast - não / Win32:Small-BXK / não / Win32:Bancos-WD / Win32:Small-BXK
• [2] DrWeb - BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
• [2] F-Prot4 - não / não / não / W32/Banker.XCA / W32/Downloader.AGOW
• [2] Symantec (Norton) - não / não / não / Infostealer.Bancos / Downloader.Trojan
• [1] Ikarus - não / não / não / Backdoor.Win32.Radmin.w / não
• [1] Microsoft - TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [1] TheHacker - não / não / não / Trojan/Spy.KeyLogger.bp / não
• [1] VirusBuster - não / não / não / TrojanSpy.Bancos.AKV / não
• [0] ClamAV
• [0] eTrust-InoculateIT
• [0] eTrust-Vet
• [0] Sophos

Decorridas duas semanas desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com, iniciada dia 9, fiz novo balanço dos testes.

Eis novos resultados, desde a atualização do dia 14, para cada programa de fraude:

1. Norman (agora detecta todas) e UNA passaram a detectar a fraude. VBA32 evoluiu da suspeita para uma classificação precisa.
2. McAfee passou a detectar. VBA32 deu diagnóstico mais preciso.
3. DrWeb passou a detectar.
4. VirusBuster, saindo do zero, passou a detectar esta fraude. Fortinet deu diagnóstico mais preciso.
5. Authentium e F-Prot passaram a detectar.

Resumo: Pequena evolução, com 7 novas detecções. 7 antivírus agora detectam as cinco ameaças, 6 detectam quatro ameaças, 2 detectam três, 1 detecta duas, 5 detectam só uma e 6 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos e Symantec).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [5] AVG - PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender - Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [5] Ewido - Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet - Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
• [5] Kaspersky - Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [5] Norman - W32/Banker.AWVT / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [5] VBA32 - Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [4] AntiVir - TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [4*] CAT-QuickHeal - (Suspicious) - DNAScan / (Suspicious) - DNAScan / (Suspicious) - DNAScan / não / (Suspicious) - DNAScan
• [4] McAfee - PWS-Banker.gen.b / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
• [4] NOD32v2 - a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4*] Panda - Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [4] UNA - Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [3*] Authentium - não / não / could be infected with an unknown virus / W32/Banker.WCI / W32/Downloader.AGOW
• [3*] F-Prot - não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / security risk named W32/Downloader.AGOW
• [2] DrWeb - BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
• [1] F-Prot4 - não / não / não / W32/Banker.WCI / não
• [1] Ikarus - não / não / não / Backdoor.Win32.Radmin.w / não
• [1] Microsoft - TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [1] TheHacker - não / não / não / Trojan/Spy.KeyLogger.bp / não
• [1] VirusBuster - não / não / não / TrojanSpy.Bancos.AKV / não
• [0] Avast
• [0] ClamAV
• [0] eTrust-InoculateIT
• [0] eTrust-Vet
• [0] Sophos
• [0] Symantec (Norton)

Uma nova fraude quer te conhecer. O interessante desta fraude é o local onde o malware, identificado pelo antivírus Kaspersky como Trojan-Downloader.Win32.Banload.bcl — típico roubador de senhas bancárias, está hospedado. O endereço é mail.langao.gov.cn/perfil_de_usuario_foto,jpg.exe, um domínio governamental da China!

Em tempos de eleição, mais uma fraude dentro do tema. Esta se passa por reportagem de denúncia envolvendo o presidente e candidato a reeleição.

Veja a reprodução a a seguir, mostrando o link para download do programa malicioso reportagem.cmd. CMD é uma das várias extensões de arquivo executáveis do Windows, assim como EXE, COM, SCR, CPL, BAT.

Para saber mais:

• Scam - A fraude inunda o correio eletrônico

Iniciei dia 9 uma nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com.

Eis a atualização dos resultados, decorridos 5 dias, para cada programa de fraude:

1. Kaspersky mudou a classificação da fraude; Ewido passou a detectá-la.
2. AntiVir, AVG, Fortinet, Norman e UNA passaram a detectar a fraude.
3. AntiVir, AVG, Ewido, Fortinet, Kaspersky, UNA e VBA32 passaram a detectar; Norman deu uma classificação mais precisa.
4. McAfee e Norman passaram a detectar.
5. AntiVir, AVG, Fortinet, McAfee, Norman e UNA passaram a detectar; Panda e VBA32 deram um diagnóstico mais preciso.

Resumo: Boa evolução geral. 6 antivírus passaram a detectar as cinco ameaças (era só 1 no primeiro dia), 5 detectam quatro ameaças, 2 detectam três, 2 detectaram duas, 5 detectaram só uma e 7 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos, Symantec e VirusBuster).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [4] AntiVir - TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [2*] Authentium - não / não / could be infected with an unknown virus / W32/Banker.WCI / não
• [0] Avast - não / não / não / não / não
• [5] AVG - PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender - Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [4*] CAT-QuickHeal - (Suspicious) - DNAScan / (Suspicious) - DNAScan / (Suspicious) - DNAScan / não / (Suspicious) - DNAScan
• [0] ClamAV - não / não / não / não / não
• [1] DrWeb - BACKDOOR.Trojan / não / não / não / não
• [0] eTrust-InoculateIT - não / não / não / não / não
• [0] eTrust-Vet - não / não / não / não / não
• [5] Ewido - Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet - Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos / W32/Banker.DLI!tr.dldr
• [2*] F-Prot - não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
• [1] F-Prot4 - não / não / não / W32/Banker.WCI / não
• [1] Ikarus - não / não / não / Backdoor.Win32.Radmin.w / não
• [5] Kaspersky - Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [3] McAfee - PWS-Banker.gen.b / não / não / PWS-Banker.gen.i / PWS-Banker.bj
• [1] Microsoft - TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [4] NOD32v2 - a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4] Norman - não / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [4*] Panda - Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [0] Sophos - não / não / não / não / não
• [0] Symantec - não / não / não / não / não
• [1] TheHacker - não / não / não / Trojan/Spy.KeyLogger.bp / não
• [3] UNA - não / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [5*] VBA32 - suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [0] VirusBuster - não / não / não / não / não