Blog do Márcio d'Ávila

Decorridas duas semanas desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com, iniciada dia 9, fiz novo balanço dos testes.

Eis novos resultados, desde a atualização do dia 14, para cada programa de fraude:

1. Norman (agora detecta todas) e UNA passaram a detectar a fraude. VBA32 evoluiu da suspeita para uma classificação precisa.
2. McAfee passou a detectar. VBA32 deu diagnóstico mais preciso.
3. DrWeb passou a detectar.
4. VirusBuster, saindo do zero, passou a detectar esta fraude. Fortinet deu diagnóstico mais preciso.
5. Authentium e F-Prot passaram a detectar.

Resumo: Pequena evolução, com 7 novas detecções. 7 antivírus agora detectam as cinco ameaças, 6 detectam quatro ameaças, 2 detectam três, 1 detecta duas, 5 detectam só uma e 6 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos e Symantec).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
• [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [5] Norman – W32/Banker.AWVT / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [5] VBA32 – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [4] McAfee – PWS-Banker.gen.b / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [4] UNA – Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [3*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / W32/Downloader.AGOW
• [3*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / security risk named W32/Downloader.AGOW
• [2] DrWeb – BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
• [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [1] VirusBuster – não / não / não / TrojanSpy.Bancos.AKV / não
• [0] Avast
• [0] ClamAV
• [0] eTrust-InoculateIT
• [0] eTrust-Vet
• [0] Sophos
• [0] Symantec (Norton)

Uma nova fraude quer te conhecer. O interessante desta fraude é o local onde o malware, identificado pelo antivírus Kaspersky como Trojan-Downloader.Win32.Banload.bcl — típico roubador de senhas bancárias, está hospedado. O endereço é mail.langao.gov.cn/perfil_de_usuario_foto,jpg.exe, um domínio governamental da China!

Em tempos de eleição, mais uma fraude dentro do tema. Esta se passa por reportagem de denúncia envolvendo o presidente e candidato a reeleição.

Veja a reprodução a a seguir, mostrando o link para download do programa malicioso reportagem.cmd. CMD é uma das várias extensões de arquivo executáveis do Windows, assim como EXE, COM, SCR, CPL, BAT.

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Iniciei dia 9 uma nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com.

Eis a atualização dos resultados, decorridos 5 dias, para cada programa de fraude:

1. Kaspersky mudou a classificação da fraude; Ewido passou a detectá-la.
2. AntiVir, AVG, Fortinet, Norman e UNA passaram a detectar a fraude.
3. AntiVir, AVG, Ewido, Fortinet, Kaspersky, UNA e VBA32 passaram a detectar; Norman deu uma classificação mais precisa.
4. McAfee e Norman passaram a detectar.
5. AntiVir, AVG, Fortinet, McAfee, Norman e UNA passaram a detectar; Panda e VBA32 deram um diagnóstico mais preciso.

Resumo: Boa evolução geral. 6 antivírus passaram a detectar as cinco ameaças (era só 1 no primeiro dia), 5 detectam quatro ameaças, 2 detectam três, 2 detectaram duas, 5 detectaram só uma e 7 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos, Symantec e VirusBuster).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

• [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
• [2*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / não
• [0] Avast – não / não / não / não / não
• [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [0] ClamAV – não / não / não / não / não
• [1] DrWeb – BACKDOOR.Trojan / não / não / não / não
• [0] eTrust-InoculateIT – não / não / não / não / não
• [0] eTrust-Vet – não / não / não / não / não
• [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos / W32/Banker.DLI!tr.dldr
• [2*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
• [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [3] McAfee – PWS-Banker.gen.b / não / não / PWS-Banker.gen.i / PWS-Banker.bj
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [4] Norman – não / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
• [0] Sophos – não / não / não / não / não
• [0] Symantec – não / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [3] UNA – não / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
• [5*] VBA32 – suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [0] VirusBuster – não / não / não / não / não

Inicio hoje uma nova rodada de acompanhamento da evolução de detecção de programas de fraude no serviço VirusTotal.com. Desta vez, acompanho 5 artefatos maliciosos (malware) apontados por mensagens de fraude recebidas recentemente por e-mail.

Resultado das primeiras análises hoje:

• [1] AntiVir – TR/Spy.Banker.BSU.12 / não / não / não / não
• [2*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / não
• [0] Avast – não / não / não / não / não
• [2] AVG – PSW.Banker2.OKF / não / não / PSW.Banker2.NVW / não
• [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
• [0] ClamAV – não / não / não / não / não
• [1] DrWeb – BACKDOOR.Trojan / não / não / não / não
• [0] eTrust-InoculateIT – não / não / não / não / não
• [0] eTrust-Vet – não / não / não / não / não
• [3] Ewido – não / Not-A-Virus.Exploit.Win32.DComII.a / não / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [2] Fortinet – Spy/Banker!08463 / não / não / Spy/Bancos / não
• [2*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
• [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
• [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
• [4] Kaspersky – Trojan-Spy.Win32.Banker.bsu / Trojan-Downloader.Win32.Small.dli / não / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [1] McAfee – PWS-Banker.gen.b / não / não / não / não
• [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [1] Norman – não / não / W32/Downloader / não / não
• [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Suspicious file
• [0] Sophos – não / não / não / não / não
• [0] Symantec – não / não / não / não / não
• [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
• [0] UNA – não / não / não / não / não
• [4*] VBA32 – suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / não / Trojan-Spy.Win32.Bancos.xc / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics)
• [0] VirusBuster – não / não / não / não / não

Resumo: apenas 1 detectou as cinco ameaças (BitDefender), 5 detectaram quatro ameaças (CAT-QuickHeal, Kaspersky, NOD32v2, Panda e VBA32), 1 detectou três, 4 detectaram duas, 8 detectaram só uma e 8 não detectaram nenhuma das cinco ameaças.

Para ver a rodada anterior de 17 dias acompanhando a detecção de três programas malware, veja Antivírus contra programas de fraude no Brasil (2006-08-07) a Antivírus contra programas de fraude no Brasil (4) (2006-08-24).

Em época eleitoral retorna a circulação de mensagens com uma “tradicional” fraude: “seu título eleitoral foi cancelado”. E você é induzido a clicar no link para saber mais informações… sobre como instalar ingenuamente um programa espião de fraude bancária, certamente.

A boa notícia foi quando experimentei acessar o endereço web apontado pela fraude (www.tribunaleleitoral.pisem.net). A tentativa de abrir a página em meu Mozilla Firefox, que tem a Barra de ferramentas do Google instalada, colocou em ação o recurso de Navegação Segura do Google, que emitiu instantaneamente o aviso de fraude. Veja o alerta exibido:

Este recurso muito útil não está disponível na Barra do Google para Internet Explorer. Baixe agora o Firefox com Google Toolbar, incluindo o recurso de Navegação Segura e muito mais.

O que bingamanga.com tem a ver com a Ordem dos Advogados do Brasil? Em comum, só a hospedagem do programa roubador de senhas Trojan-Downloader.Win32.VB.ji em uma fraude se passando por um boletim eletrônico da OAB.

Veja a imagem reproduzindo a janela com o e-mail de fraude:

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Após 17 dias acompanhando a detecção de três exemplos de malware (ameaça) pelos 27 antivírus disponíveis no serviço VirusTotal, dou por finalizado os resultados. Hoje o antivírus Avast passou a detectar a primeira ameaça e o Norman a terceira.

Resumo: 10 antivírus detectam atualmente as três ameaças, dois detectam duas; e 7, só uma. 8 antivírus continuaram sem detectar nenhuma das ameaças; são eles: Authentium, eTrust-InoculateIT, F-Prot, Ikarus, Panda, Sophos, TheHacker, VirusBuster.

A relação alfabética atualizada (exclusos os antivírus que não detectaram nenhuma ameaça) fica assim:

• [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
• [2] Avast = Win32:Downloader-DD; Win32:Banker-ARH; não
• [3] AVG = Downloader.Generic2.LOK; PSW.Banker2.KYQ; Downloader.Generic2.LNX
• [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
• [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
• [1] ClamAV = não; Trojan.Spy.Banker-3994; não
• [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
• [1] eTrust-Vet = não; Win32/Bancos.EVO; não
• [3] Ewido = Downloader.VB.ji; Logger.Banker.bsh; Downloader.Banload.ln
• [3] Fortinet = W32/VB.JI!tr.dldr; Banker.T!tr.pws; W32/Banload.LN!tr.dldr
• [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
• [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
• [1] McAfee = não; PWS-Banker.gen.t; não
• [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
• [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
• [3*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; W32/Banload.GCB
• [1] Symantec = não; Infostealer.Bancos; não
• [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
• [3] VBA32 = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln

O asterisco (*) indica um antivírus que detectou vagamente alguma ameaça (apenas como suspeita ou provável).

Desde meu artigo de 2 dias atrás, continua melhorando a detecção dos três artefatos que tomei como exemplo pelos diversos antivírus.

Agora, mais quatro antivírus identificaram o primeiro e o terceiro programas malware: AVG, Ewido, Fortinet e VBA32. No caso do Fortinet, ele antes já reportava estes arquivos como “suspeito”, mas agora o antivírus classifica cada ameaça com um nome específico.

Como AVG, Ewido e VBA32 já haviam detectado o segundo artefato, o número de antivírus que detectam as três ameaças passou de 6 para 9, dentre os 27 analisados.

Em meu artigo 2 semanas atrás, iniciei o acompanhamento da evolução de 3 exemplos de malware (programas maléficos) utilizados em fraudes circulantes no Brasil.

Naquele dia, do total de 27 mecanismos antivírus testados pelo serviço VirusTotal, eram 10 antívirus detectando 1 ou mais das amaças, sendo que apenas 4 haviam dectado todas as três.

Hoje, transcorridas duas semanas (14 dias), a situação está assim:

A primeira triste constatação é que todos os três artefatos continuavam acessíveis (disponíveis para download) na Internet.

Dos 27 antivírus analisados, 6 detectaram as três ameaças, 2 detectaram duas delas, 11 detectaram apenas uma e os outros 8 antivírus continuaram não detectando nenhuma delas. Ou seja, o número de antivírus detectando pelo menos uma das ameaças aumentou de 10 para 19, após duas semanas.

Alguns detectam de forma imprecisa as ameaças (*), apresentando para uma ou mais delas vereditos vagos como “suspeito”, “ameaça desconhecida” ou “provável ameaça”.
O segundo artefato foi o de detecção mais ampla, identificado por 17 antivírus (eram só 5 no primeiro dia), sendo por sinal aquele reconhecido por 10 dos 11 antivírus que só detectaram uma ameaça.

• [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
• [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
• [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
• [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
• [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
• [3*] Fortinet = suspicious; Banker.T!tr.pws; suspicious
• [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
• [2*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; não
• [1] Avast = não; Win32:Banker-ARH; não
• [1] AVG = não; PSW.Banker2.KYQ; não
• [1] ClamAV = não; Trojan.Spy.Banker-3994; não
• [1] Ewido = não; Logger.Banker.bsh; não
• [1] eTrust-Vet = não; Win32/Bancos.EVO; não
• [1] McAfee = não; PWS-Banker.gen.t; não
• [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
• [1] Symantec = não; Infostealer.Bancos; não
• [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
• [1] VBA32 = não; Trojan-Spy.Win32.Banker.bsh; não
• [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
• [0] Authentium
• [0] eTrust-InoculateIT
• [0] F-Prot
• [0] Ikarus
• [0] Panda
• [0] Sophos
• [0] TheHacker
• [0] VirusBuster

É claro que a pequena amostragem de artefatos não serve de avaliação criteriosa dos 27 antivírus existentes no serviço VirusTotal, mas serve pelo menos como indicativo concreto de que boa parte dos antivírus atuais ainda não está lidando de forma eficaz contra as pragas envolvidas em fraudes on-line do Brasil, incluindo os três antivírus mais populares no mercado brasileiro: AVG, McAfee e Symantec.

Por enquanto, honra ao mérito dos antivírus DrWeb e Kaspersky, que identificaram mais rápida e precisamente as três amaeças tomadas como exemplo. Destaque também para a boa atuação dos antivírus AntiVir, BitDefender, NOD32, Fortinet, CAT-QuickHeal e Norman.