Blog do Márcio d'Ávila

Desde o início deste ano eu não atualizava meu artigo Scam – A fraude inunda o correio eletrônico.

Depois de dois anos coletando e categorizando fraudes que circulam por correio eletrônico, os mais de 350 exemplos contidos no artigo já são referência suficiente para ilustrar e esclarecer, de forma muito clara, a todos sobre a verdadeira indústria das fraudes pega-bobos que circulam aos montes no Brasil e no mundo.

No caso do Brasil, praticamente todas essas fraudes têm sempre o mesmo objetivo: roubar dados pessoais da vítima, especialmente senhas bancárias. O que muda basicamente são só os temas de mentiras usados para atrair a vítima e fazer com baixe/execute um programa espião (“roubador” de senhas) ou mesmo forneça diretamente os dados em um formulário.

Hoje porém resolvi adicionar dois exemplos de fraude detectadas recentemente, por se tratar de marcas amplamente conhecidas: cartões Credicard Citi + Itaucard e Caixa Econômica Federal (FGTS).

A primeira fraude leva a um formulário na web que solicita diversos dados pessoais e bancários da vítima, fingindo tratar-se de um recadastro. As imagens (cópia de tela) de exemplo estão as rotuladas com “Credicard” e “Web: Credicard”, na seção Exemplos: Formulário – Nacionais da página principal.

Na página de exemplos sobre Notificações Financeiras e Cadastrais foi adicionado o da fraude “Caixa FGTS”, do tipo download de programa cavalo-de-Tróia espião, que usa a mentira de um suposto crédito de FGTS na Caixa para levar ao programa Trojan-Downloader.Win32.Banload.esq (classificação Kaspersky Lab, 2007-11-03).

Tranqüilizo o leitor que as imagens de exemplo aqui e no artigo são inofensivas, apenas cópias de tela (printscreen) das fraudes reais, sem apontar para os programas ou formulários maliciosos originais. Os links das minuaturas acima levam à respectiva página do artigo com mais exemplos. Nas páginas do artigo, clicar em uma miniatura apenas abre a imagem ilustrativa em tamanho real.

A empresa de segurança Symantec divulgou em setembro seu XII Relatório de Ameaças à Segurança na Internet, publicação semestral que fornece uma atualização do cenário mundial de ameaças virtuais. Ele inclui a análise de ataques em redes, um resumo das vulnerabilidades conhecidas e de códigos maliciosos. Também avalia tendências nas atividades de phishing scam (fraudes “pega-bobos”) e spam (mala-direta/lixo em massa por e-mail).

Informações e resumos sobre o relatório estão disponíveis em Inglês, Português e Espanhol, mas o relatório completo é só em inglês. Essa é a décima-segunda edição semestral do relatório, publicado pela Symantec desde 2002. Na página Internet Security Threat Report (em inglês) estão disponíveis mais informações e todas as edições anteriores do relatório.

Eis os pontos de destaque do XII Relatório Symantec, disponíveis em documentos de resumo em português:

• Introdução
• Dados mundiais:
  • Crescente profissionalização e comercialização de atividades maliciosas
  • Ameaças cada vez mais feitas sob medida para certas regiões
  • Número crescente de ataques em múltiplos estágios
  • Criminosos exploram sites confiáveis para atingir vítimas
  • Convergência dos métodos de ataque
• América Latina:
  • Principais ataques
  • Principais países-fonte
  • Número de computadores infectados por Bot em cada país
  • As 10 principais amostras de códigos maliciosos
  • Spam

Outra empresa de segurança que divulga relatórios periódicos similares é a Modulo Security, principal empresa brasileira especializada em gestão de riscos e segurança da informação. Desde 1994, a Modulo realiza anualmente Pesquisas Nacionais sobre Segurança da Informação, focadas no Brasil.

Para saber mais:

• Referências em Informação sobre Segurança, por Márcio d’Ávila.

Em 2004, a agência de publicidade Foote Cone & Belding (FCB) de Lisboa, Portugal, fez uma campanha publicitária fantástica para a revista portuguesa Grande Reportagem. A campanha, intitulada “Bandeiras”, apresentava bandeiras de algumas nações, usando a proporção das cores que preenchem a bandeira como infográfico de algum dado estatístico — uma mazela social — local, acrescido do slogan “Conheça o mundo em que vive.”

A campanha foi tão bem sucedida que levou a FCB a ser premiada com um Leão de Ouro no Festival Internacional de Publicidade de Cannes em 2005.

Eis a peça publicitária que tem a bandeira do Brasil como tema (clique na imagem para ampilar):

Legenda: Verde – Pessoas que vivem com menos de 10 dólares por mês
Amarelo – Pessoas que vivem com menos de 100 dólares por mês
Azul – Pessoas que vivem com menos de 1000 dólares por mês
Branco – Pessoas que vivem com mais de 100.000 dólares por mês

O conjunto de oito bandeiras que compõem a campanha publicitária pode ser visto em Consciência.Net, 2004. As mesmas imagens estão também reproduzidas com legenda em texto no blog Issamu, em O mundo em que vivemos, Maringá, Brasil, 2007-05-21. Eis a lista de bandeiras e o respectivo fato ilustrado:

• Angola (endemias/saúde)
• Brasil (má distribuição de renda)
• Burkina Faso (mortalidade infantil)
• China (trabalho infantil)
• Colômbia (tráfico de drogas)
• Estados Unidos (guerra no Iraque)
• Somália (mutilação genital feminina)
• União Européia (escassez de petróleo)

Como não podia deixar de ser, as imagens das bandeiras começaram a circular em correntes por e-mail, na forma de uma lenda urbana, no seguinte boato, obviamente inventado e falso:

O diplomata norueguês Charung Gollar foi incumbido de apresentar, na ONU, um gráfico mostrando os principais problemas que preocuparam o mundo no decorrer de 2005.

Apresentou oito gráficos, intitulado ‘O Poder das Estrelas’. Foi aplaudido de pé! E seu trabalho foi indicado a concorrer para o prêmio Nobel em Marketing político… Vejam os gráficos!

As duas coisas são incríveis pela sua criatividade: a campanha publicitária da FCB e a lorota mirabolante do boato!

Para saber mais:

• Revista ‘Grande Reportagem’ brilha em Cannes com ‘Bandeiras’, Diário de Notícias Online, Lisboa, Portugal, 2005-06-22.
• FCB “Bandeiras” o único Leão português, SEE-Lions 2005 Cannes Especial.
• Flags as Infographics (em inglês), NewsDesigner.com, EUA, 2005-04-27.
• Grande Reportagem – Realidade em cores, blog Brainstorm #9, Brasil, 2005-01-04.
• Lo mejor del 2005: Bandeiras (em espanhol), blog Llámame Lola, 2005-12-17.
• O Poder das Estrelas, blog Caixa Preta, Brasil, fevereiro 2007.

O meu xará e leitor assíduo Márcio Rodrigues se sensibilizou pelo artigo que postei em 24 de novembro de 2006 sobre o boato envolvendo o “Criança Esperança”, e continuou interessado pelo assunto. Em uma postagem de 25 de março passado no seu blog, ele chamou a atenção para o comunicado que a UNESCO fez com esclarecimentos sobre a campanha Criança Esperança e as calúnias contidas no boato.

É triste ver que boatos como este, que agora se propagam com a velocidade e a abrangência da Internet, possam existir. Criado aparentemente para atingir a Rede Globo, o boato afirma que a emissora teria vantagens no Imposto de Renda com o Criança Esperança, uma mentira que pode acabar prejudicando o apoio e a confiança em uma campanha tão séria e positiva!

Como eu sempre digo, o boato e a fofoca são uma praga, seja ao vivo ou via Internet.

Kaspersky Lab — renomada empresa russa especializada em ferramentas de segurança digital, como o excelente Kaspersky Antivírus, para proteção contra a pragas virtuais ou software malicioso (malware) — publicou hoje um artigo esclarecedor sobre os keyloggers. Keylogger é um programa gravador de digitação/mouse, usado para capturar dados introduzidos pelo usuário de um computador. Este tipo de programa pode ser usado para fins legítimos como monitoramento de segurança, mas na maioria das vezes é utilizado de forma maliciosa e mesmo criminosa.

Keyloggers representam grande ameaça aos usuários de Internet, sendo em geral proliferados por spam com mensagens fraudulentas (phishing scam). O objetivo dessas fraudes é instalar furtivamente programas keylogger, para capturar dados pessoais digitados pelos usuários, que são enviados para malfeitores pela Internet. No Brasil, fraudes utilizando keyloggers, visando roubar contas e senhas de bancos brasileiros daqueles que acessam bancos pela Internet, têm sido largamente aplicadas.

Em linguagem clara voltada ao entendimento do público geral, o texto apresenta os keyloggers, explica porque eles são uma ameaça, como os criminosos cibernéticos os utilizam, como eles se proliferam e como se proteger contra keyloggers.

O artigo conclui (tradução livre):

Atualmente, keyloggers — junto com técnicas de phishing e engenharia social — são um dos métodos de fraude cibernética mais utilizados. Empresas de segurança de TI têm registrado um firme crescimento no número de programas maliciosos que têm funcionalidade de gravação de digitação/mouse.

• Keyloggers: How they work and how to detect them (Part 1) (em inglês), por Nikolay Grebennikov, Kaspersky Labs, 29 de março de 2007.

Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.

Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.

A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.

Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.

Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.

• Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, centenas de exemplos de fraudes, freqüentemente atualizado.
• US-CERT Technical Cyber Security Alert TA04-184A: Internet Explorer Update to Disable ADODB.Stream ActiveX Control, National Cyber Alert System, EUA, 2 de julho de 2004.
• Atualização crítica para Componentes do Microsoft Data Access – Desabilitar o objeto ADODB.Stream do Internet Explorer (KB870669), Base de Conhecimento do Suporte Microsoft, incluindo download da atualização crítica.
• Exploit.ADODB.Stream e Exploit.JS.ADODB.Stream.e, Counter Spy Research Center, Sun Belt.
• Trojan Exploit.JS.ADODB.Stream.e, Cyberoam Tech Updates.
• ADODB.Stream, F-Secure Trojan Information.
• Troj/Psyme-CY, Trojan – Sophos threat analysis.

Mais uma fraude, para fechar o ano. Não, não estou falando de “maracutaias” políticas ou de empresários inescrupulosos. Assim como no mundo concreto, a Internet brasileira está cheia de fraudes e é de mais uma dessas que estou falando.

O tema da vez nesta fraude é a Companhia Vale do Rio Doce (CVRD). Fingindo oferecer um formulário de cadastro de fornecedor, a fraude leva ao download de um programa malicioso, mais um “pegador de senhas” bancárias.

Milhares de variantes de fraudes do tipo phishing scam se proliferaram por e-mail este ano, praticamente todas objetivando fazer com que o usuário baixe e instale um programa malicioso que visa capturar dados bancários no computador infestado.

A técnica é manjada: Uma mentira qualquer tenta convencer você a clicar em um link para baixar um arquivo executável. A extensão do arquivo varia — EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK, SHS e outras — mas todas têm o mesmo efeito. São interpretadas como um tipo de programa, de forma que se o arquivo é aberto, o Windows executa e ativa o programa malicioso.

Aparentemente, o programa se executado não faz nada, mas na verdade se instala para iniciar sua execução junto com o Windows, vigiando permanentemente se o usuário acessar o home banking de algum banco (em geral os brasileiros), para capturar os dados (conta e senha) e enviá-los pela Internet ao fraudador.

A fraude exemplificada aqui tenta dissimular o link para o destino (clique na imagem para ampliar e observe o endereço na parte inferior), que é o arquivo fornecedor.exe, adicionando ao final do endereço uma âncora chamada #fornecedor.pdf, que nada afeta o download, mas pode confundir o usuário desavisado, que olhando rapidamente o endereço pode achar que realmente se trata de um arquivo PDF. Não se engane: se fosse um arquivo PDF, o navegador normalmente exibiria o documento na tela (usando o plug-in Adobe Reader/Acrobat, que a maioria das pessoas possui instalado). Mas neste caso, como na verdade é um arquivo executável, o navegador deve informar e alertar sobre a real operação de download.

A proteção contra essas fraudes são medidas simples e efetivas:

1. Não acredite em mensagens não solicitadas que você receber, seja qual for o tema da fraude. Veja neste artigo os muitos temas diferentes que têm aparecido na Internet, para se prevenir: Scam – A fraude inunda o correio eletrônico.
2. Nunca clique em links de mensagens suspeitas. Se possível, nunca clique em link de mensagem de e-mail nenhuma.
3. E, principalmente, nunca nunca em hipótese nenhuma faça download nem abra/execute arquivos oferecidos a partir de um link em uma mensagem de correio eletrônico.

Pode ter certeza: seguindo estes passos simples, você não vai perder nenhuma oportunidade fantástica senão a de se meter em confusão à toa. O bom senso e a cautela ainda são um dos melhores e mais eficazes antivírus que você pode ter.

Fique esperto, evite as fraudes na Internet e Feliz Ano Novo!

Tem circulado na Internet uma mensagem de boato falso, sem autor identificado, criticando um suposto benefício em imposto de renda da Rede Globo com o programa Criança Esperança. Os registros mais antigos que encontrei da mensagem são datados de 3 de novembro, em “O falácia”, e 6 de novembro, no blog “Alerta Total”.

O texto da mensagem é assim:

“Leão Esperança”
Criança Esperança – Você pagando o imposto da Rede Globo.

Quando a Rede Globo diz que a campanha Criança Esperança não gera lucro é mentira. Porque no mês de Abril do ano seguinte, ela (TV Globo) entrega o seu imposto de renda com o seguinte desconto: “Doação feita à Unicef no valor de (aqui vem o valor arrecadado no
Criança Esperança)“.

Ou seja, a Rede Globo já desconta pelo menos 20 e tantos milhões do imposto de renda graças aos babacas que fazem as doações! Agora vai você colocar no seu imposto de renda que doou 7, 15, 30 ou mais pro Criança Esperança. Não pode, sabe por quê? Porque Criança Esperança é uma marca somente e não uma entidade beneficente. Já a doação feita com o seu dinheiro para o Unicef é aceito.

E não há crime nenhum aí, você doou à Rede Globo um dinheiro que realmente foi entregue à Unicef, porém é descontado na Receita Federal como doação da Rede Globo e não sua.

Algumas variantes ainda acrescentam:

A UNICEF tem bons propósitos e realizações interessantes no Brasil e no exterior. Visite o site www.unicef.org.br, conheça-a e faça sua doação diretamente: futurocrianca@unicef.org.

Iniciando a pesquisar o boato, não encontrei nenhum fundamento a favor da veracidade do texto, mas logo vi sim uma inconsistência:

Desde 14 de abril de 2004, a responsável técnica pela gestão dos projetos e recursos (provenientes das doações arrecadas) do Criança Esperança é a Unesco — Organização das Nações Unidas para a Educação, a Ciência e a Cultura, e não a Unicef — Fundo das Nações Unidas para a Infância.

Segundo o portal Ajuda Brasil:

O Criança Esperança é um projeto da Rede Globo em parceria com a Unesco.
Rede Globo – é responsável pela campanha de divulgação e arrecadação de fundos.
Unesco – é responsável pela preparação do processo seletivo, seleção, repasse de recursos, coordenação e acompanhamento técnico dos projetos selecionados.

O boato continuou a repercutir tanto na Internet que, na edição 2007 do Criança Esperança, a Unesco e a Rede Globo resolveram fazer amplos e repetidos comunicados públicos de esclarecimento durante toda a divulgação da campanha, deixando claro que (destaques em negrito adicionados ao texto original):

1. As doações para o Criança Esperança são diretamente depositadas em conta administrada pela UNESCO, que destina esses recursos única e exclusivamente para projetos sociais implementados no Brasil. Nenhuma doação do Criança Esperança passa pela Rede Globo.

2. Por se tratar de uma agência das Nações Unidas, doações para a UNESCO não são dedutíveis no Imposto de Renda, que veta supressão de contribuições feitas a organismos internacionais. Dessa forma, é inverídica a suposição de que a Rede Globo obtém benefícios fiscais com a campanha Criança Esperança. A Rede Globo, assim como a UNESCO, não se beneficia de qualquer recurso de abatimento fiscal em função do Criança Esperança.

O boato é falso. Os fatos reais são o trabalho de mobilização da sociedade realizado com o apoio da Rede Globo e o retorno social efetivo do projeto.

A maior parte das pessoas que doa dinheiro durante a campanha massiva de divulgação da emissora dificilmente teria a iniciativa espontânea de realizar uma doação para este ou qualquer outro projeto ou instituição assistencial. As pessoas o fazem por acreditarem na seriedade do projeto e das entidades envolvidas — inclusive a própria Rede Globo, claro. A empresa investe não só na divulgação e perpetuação do projeto, mas em associar sua marca institucional à iniciativa.

O Criança Esperança já dura 20 anos e tem reconhecimento internacional. O SBT adota idéia similar em parceria com a AACD — Associação de Assistência à Criança Deficiente — no projeto Teleton, desde 1998 no Brasil.

Cabe ainda uma reflexão sobre a “filosofia barata” por trás deste boato. Soa ridícula a crença de que seria ruim ou imoral empresas terem benefícios (diretos ou indiretos) em troca de apoiar ou investir em ações sociais. As melhores empresas são as que dão lucro como retorno a seus investidores e ainda têm responsabilidade social, ou seja, geram também retorno positivo a seus colaboradores, clientes, parceiros e à sociedade em geral. É um “capitalismo saudável” e sem hipocrisia.

Várias leis brasileiras inclusive incentivam o fomento a ações socio-culturais por empresas ou pessoas físicas, oferecendo benefício fiscal para certos investimentos em ações sociais, educação, cultura e esporte. A lógica é simples: Se uma instituição (pessoa ou empresa) participa em um papel social que deveria ser suprido pelo Estado, nada mais justo que o Estado ofereça uma compensação a quem investe. Que fique claro, porém, que esta não é a situação da Rede Globo nem da Unesco como sugerido no boato, conforme comprovações apresentadas neste artigo [e em seus comentários].

Para saber mais:

• Criança Esperança, portal oficial na Globo.com.
• Esclarecimentos sobre a campanha Criança Esperança, pela Representação da UNESCO no Brasil, março 2007, em virtude de mensagens que circulam na internet com falsas informações.
• Unesco e Rede Globo firmam parceria para programas sociais, no informativo Educação Notícias do MEC – Ministério da Educação.
• Deduções – Imposto Devido – Pessoa Física, gastos dedutíveis de imposto devido para Pessoa Física, Secretaria da Receita Federal (SRF), IRPF 2006.
• Declaração de Benefícios Fiscais (DBF) – Pessoa Jurídica, Instrução Normativa SRF nº 311, de 28 de março de 2003, Secretaria da Receita Federal (SRF).
• Benefícios Fiscais do Imposto de Renda de Pessoa Jurídica (IRPJ), manual gratuito para baixar, Portal Tributário Editora.

A praga virtual (tecnicametne classificada como verme ou, em inglês, worm) Bagle continua a se proliferar, circulando como um anexo de e-mail. A característica que mais me impressiona é que, para tentar despistar os antivírus, o Bagle.GN vem compactado em um arquivo ZIP protegido por senha e anexa também na mensagem uma imagem GIF contendo a senha!

Um exemplo do texto da mensagem de e-mail do Bagle.GN é:

Assunto: Registration is accepted

Thanks for use of our software.
Use password [imagem] to open archive.

O usuário ingênuo praticamente tem que insistir para “conseguir” ter seu computador infectado com o Bagle, pois terá algum trabalho:

1. Deve abrir o arquivo ZIP anexo. No Windows XP, já existe o Assistente de Pastas Compactadas que já lida com arquivos ZIP. Em versões anteriores do Windows, o usuário teria que possuir instalado um programa à parte capaz de tratar arquivos ZIP, como PowerArchiver ou WinZip.
2. Ao extrair, é solicitada senha. O usuário teria que digitar a senha fornecida na imagem.
3. Ao descompactar o executável do programa maléfico, os bons antivírus detectariam o Bagle e o eliminariam. Para chegar até aqui, então, o otário, quero dizer, usuário deveria usar um antivírus ruim ou desatualizado, ou pior ainda: não manter nenhum antivírus ativo.
4. Por fim, o campeão da ingenuidade ainda tem que executar o programa malicioso extraído, para aí finalmente ativar o Bagle.GN.

Ufa! Hoje em dia é trabalhoso até para ser infectado por verme, hehe. E não é que ainda tem gente que cai numa dessa?

O Bagle.GN foi primeiramente detectado pela empresa de segurança antivírus Sophos. Ele se instala para execução automática ao iniciar o Windows, se replica por e-mail e permite que um invasor domine o computador infectado.

Para saber mais:

• W32/Bagle-GN Worm (em inglês), por Sophos. Também em espanhol.
• Bagle.GN. Oculta sus procesos, finaliza protecciones (em espanhol), por boletim VSantivirus.
• Email-Worm.Win32.Bagle.gm (em inglês), por Viruslist.com, Kaspersky Lab.

Eu não esperava novas detecções decorridos mais 4 dias, 18 desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando VirusTotal.com. Para minha feliz surpresa, novidades do front.

Eis as novidades destes 4 dias, para cada um dos cinco programas de fraude:

1. McAfee e Norman mudaram a classificação do artefato.
2. Avast passou a detectar.
3. Nenhuma novidade para a terceira fraude.
4. Avast e Symantec, ambos saindo do zero, passaram a detectar. Authentium, F-Prot e F-Prot4 mudaram a classificação.
5. Avast, F-Prot4 e Symantec passaram a detectar.

Resumo: 6 novas detecções, 5 novas classificações. 7 antivírus detectam as cinco ameaças, 6 detectam quatro ameaças, 3 detectam três, 3 detectam duas, 4 detectam só uma e 4 continuam não detectando nenhuma das ameaças (ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
• [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [5] Norman – W32/Banker.AMXQ / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [5] VBA32 – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [4] McAfee – PWS-Banker.gen.i / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [4] UNA – Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [3*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.XCA / security risk named W32/Downloader.AGOW
• [3*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.XCA / W32/Downloader.AGOW
• [3] Avast – não / Win32:Small-BXK / não / Win32:Bancos-WD / Win32:Small-BXK
• [2] DrWeb – BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
• [2] F-Prot4 – não / não / não / W32/Banker.XCA / W32/Downloader.AGOW
• [2] Symantec (Norton) – não / não / não / Infostealer.Bancos / Downloader.Trojan
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [1] VirusBuster – não / não / não / TrojanSpy.Bancos.AKV / não
• [0] ClamAV
• [0] eTrust-InoculateIT
• [0] eTrust-Vet
• [0] Sophos