Categoria: Pragas virtuais

Keyloggers em foco

by

29 de março de 2007

15:00

Leave a comment on Keyloggers em foco

Pragas virtuais, Segurança

Kaspersky Lab — renomada empresa russa especializada em ferramentas de segurança digital, como o excelente Kaspersky Antivírus, para proteção contra a pragas virtuais ou software malicioso (malware) — publicou hoje um artigo esclarecedor sobre os keyloggers. Keylogger é um programa gravador de digitação/mouse, usado para capturar dados introduzidos pelo usuário de um computador. Este tipo de programa pode ser usado para fins legítimos como monitoramento de segurança, mas na maioria das vezes é utilizado de forma maliciosa e mesmo criminosa.

Keyloggers representam grande ameaça aos usuários de Internet, sendo em geral proliferados por spam com mensagens fraudulentas (phishing scam). O objetivo dessas fraudes é instalar furtivamente programas keylogger, para capturar dados pessoais digitados pelos usuários, que são enviados para malfeitores pela Internet. No Brasil, fraudes utilizando keyloggers, visando roubar contas e senhas de bancos brasileiros daqueles que acessam bancos pela Internet, têm sido largamente aplicadas.

Em linguagem clara voltada ao entendimento do público geral, o texto apresenta os keyloggers, explica porque eles são uma ameaça, como os criminosos cibernéticos os utilizam, como eles se proliferam e como se proteger contra keyloggers.

O artigo conclui (tradução livre):

Atualmente, keyloggers — junto com técnicas de phishing e engenharia social — são um dos métodos de fraude cibernética mais utilizados. Empresas de segurança de TI têm registrado um firme crescimento no número de programas maliciosos que têm funcionalidade de gravação de digitação/mouse.

Fraude do dia: Saddam

by

4 de janeiro de 2007

10:47

4 comentários em Fraude do dia: Saddam

E-mail, Internet, Pragas virtuais, Segurança, Web

Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.

Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.

A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.

[photopress:scam_saddam_web.png,full,centered]

Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.

[photopress:scam_saddam_web2.png,full,centered]

Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.

Fraude do dia: CVRD

by

30 de dezembro de 2006

0:13

Leave a comment on Fraude do dia: CVRD

E-mail, Internet, Pragas virtuais, Segurança

Mais uma fraude, para fechar o ano. Não, não estou falando de “maracutaias” políticas ou de empresários inescrupulosos. Assim como no mundo concreto, a Internet brasileira está cheia de fraudes e é de mais uma dessas que estou falando.

O tema da vez nesta fraude é a Companhia Vale do Rio Doce (CVRD). Fingindo oferecer um formulário de cadastro de fornecedor, a fraude leva ao download de um programa malicioso, mais um “pegador de senhas” bancárias.

[photopress:scam_cvrd3.png,full,centered]

Milhares de variantes de fraudes do tipo phishing scam se proliferaram por e-mail este ano, praticamente todas objetivando fazer com que o usuário baixe e instale um programa malicioso que visa capturar dados bancários no computador infestado.

A técnica é manjada: Uma mentira qualquer tenta convencer você a clicar em um link para baixar um arquivo executável. A extensão do arquivo varia — EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK, SHS e outras — mas todas têm o mesmo efeito. São interpretadas como um tipo de programa, de forma que se o arquivo é aberto, o Windows executa e ativa o programa malicioso.

Aparentemente, o programa se executado não faz nada, mas na verdade se instala para iniciar sua execução junto com o Windows, vigiando permanentemente se o usuário acessar o home banking de algum banco (em geral os brasileiros), para capturar os dados (conta e senha) e enviá-los pela Internet ao fraudador.

A fraude exemplificada aqui tenta dissimular o link para o destino (clique na imagem para ampliar e observe o endereço na parte inferior), que é o arquivo fornecedor.exe, adicionando ao final do endereço uma âncora chamada #fornecedor.pdf, que nada afeta o download, mas pode confundir o usuário desavisado, que olhando rapidamente o endereço pode achar que realmente se trata de um arquivo PDF. Não se engane: se fosse um arquivo PDF, o navegador normalmente exibiria o documento na tela (usando o plug-in Adobe Reader/Acrobat, que a maioria das pessoas possui instalado). Mas neste caso, como na verdade é um arquivo executável, o navegador deve informar e alertar sobre a real operação de download.

A proteção contra essas fraudes são medidas simples e efetivas:

  1. Não acredite em mensagens não solicitadas que você receber, seja qual for o tema da fraude. Veja neste artigo os muitos temas diferentes que têm aparecido na Internet, para se prevenir: Scam – A fraude inunda o correio eletrônico.
  2. Nunca clique em links de mensagens suspeitas. Se possível, nunca clique em link de mensagem de e-mail nenhuma.
  3. E, principalmente, nunca nunca em hipótese nenhuma faça download nem abra/execute arquivos oferecidos a partir de um link em uma mensagem de correio eletrônico.

Pode ter certeza: seguindo estes passos simples, você não vai perder nenhuma oportunidade fantástica senão a de se meter em confusão à toa. O bom senso e a cautela ainda são um dos melhores e mais eficazes antivírus que você pode ter.

Fique esperto, evite as fraudes na Internet e Feliz Ano Novo!

Boato "Criança Esperança"

by

24 de novembro de 2006

0:19

27 comentários em Boato "Criança Esperança"

Cotidiano, Internet, Pragas virtuais

Tem circulado na Internet uma mensagem de boato falso, sem autor identificado, criticando um suposto benefício em imposto de renda da Rede Globo com o programa Criança Esperança. Os registros mais antigos que encontrei da mensagem são datados de 3 de novembro, em “O falácia”, e 6 de novembro, no blog “Alerta Total”.

O texto da mensagem é assim:

“Leão Esperança”
Criança Esperança – Você pagando o imposto da Rede Globo.

Quando a Rede Globo diz que a campanha Criança Esperança não gera lucro é mentira. Porque no mês de Abril do ano seguinte, ela (TV Globo) entrega o seu imposto de renda com o seguinte desconto: “Doação feita à Unicef no valor de (aqui vem o valor arrecadado no
Criança Esperança)“.

Ou seja, a Rede Globo já desconta pelo menos 20 e tantos milhões do imposto de renda graças aos babacas que fazem as doações! Agora vai você colocar no seu imposto de renda que doou 7, 15, 30 ou mais pro Criança Esperança. Não pode, sabe por quê? Porque Criança Esperança é uma marca somente e não uma entidade beneficente. Já a doação feita com o seu dinheiro para o Unicef é aceito.

E não há crime nenhum aí, você doou à Rede Globo um dinheiro que realmente foi entregue à Unicef, porém é descontado na Receita Federal como doação da Rede Globo e não sua.

Algumas variantes ainda acrescentam:

A UNICEF tem bons propósitos e realizações interessantes no Brasil e no exterior. Visite o site www.unicef.org.br, conheça-a e faça sua doação diretamente: [email protected].

Iniciando a pesquisar o boato, não encontrei nenhum fundamento a favor da veracidade do texto, mas logo vi sim uma inconsistência:

Desde 14 de abril de 2004, a responsável técnica pela gestão dos projetos e recursos (provenientes das doações arrecadas) do Criança Esperança é a Unesco — Organização das Nações Unidas para a Educação, a Ciência e a Cultura, e não a Unicef — Fundo das Nações Unidas para a Infância.

Segundo o portal Ajuda Brasil:

O Criança Esperança é um projeto da Rede Globo em parceria com a Unesco.
Rede Globo – é responsável pela campanha de divulgação e arrecadação de fundos.
Unesco – é responsável pela preparação do processo seletivo, seleção, repasse de recursos, coordenação e acompanhamento técnico dos projetos selecionados.

O boato continuou a repercutir tanto na Internet que, na edição 2007 do Criança Esperança, a Unesco e a Rede Globo resolveram fazer amplos e repetidos comunicados públicos de esclarecimento durante toda a divulgação da campanha, deixando claro que (destaques em negrito adicionados ao texto original):

1. As doações para o Criança Esperança são diretamente depositadas em conta administrada pela UNESCO, que destina esses recursos única e exclusivamente para projetos sociais implementados no Brasil. Nenhuma doação do Criança Esperança passa pela Rede Globo.

2. Por se tratar de uma agência das Nações Unidas, doações para a UNESCO não são dedutíveis no Imposto de Renda, que veta supressão de contribuições feitas a organismos internacionais. Dessa forma, é inverídica a suposição de que a Rede Globo obtém benefícios fiscais com a campanha Criança Esperança. A Rede Globo, assim como a UNESCO, não se beneficia de qualquer recurso de abatimento fiscal em função do Criança Esperança.

O boato é falso. Os fatos reais são o trabalho de mobilização da sociedade realizado com o apoio da Rede Globo e o retorno social efetivo do projeto.

A maior parte das pessoas que doa dinheiro durante a campanha massiva de divulgação da emissora dificilmente teria a iniciativa espontânea de realizar uma doação para este ou qualquer outro projeto ou instituição assistencial. As pessoas o fazem por acreditarem na seriedade do projeto e das entidades envolvidas — inclusive a própria Rede Globo, claro. A empresa investe não só na divulgação e perpetuação do projeto, mas em associar sua marca institucional à iniciativa.

O Criança Esperança já dura 20 anos e tem reconhecimento internacional. O SBT adota idéia similar em parceria com a AACD — Associação de Assistência à Criança Deficiente — no projeto Teleton, desde 1998 no Brasil.

Cabe ainda uma reflexão sobre a “filosofia barata” por trás deste boato. Soa ridícula a crença de que seria ruim ou imoral empresas terem benefícios (diretos ou indiretos) em troca de apoiar ou investir em ações sociais. As melhores empresas são as que dão lucro como retorno a seus investidores e ainda têm responsabilidade social, ou seja, geram também retorno positivo a seus colaboradores, clientes, parceiros e à sociedade em geral. É um “capitalismo saudável” e sem hipocrisia.

Várias leis brasileiras inclusive incentivam o fomento a ações socio-culturais por empresas ou pessoas físicas, oferecendo benefício fiscal para certos investimentos em ações sociais, educação, cultura e esporte. A lógica é simples: Se uma instituição (pessoa ou empresa) participa em um papel social que deveria ser suprido pelo Estado, nada mais justo que o Estado ofereça uma compensação a quem investe. Que fique claro, porém, que esta não é a situação da Rede Globo nem da Unesco como sugerido no boato, conforme comprovações apresentadas neste artigo [e em seus comentários].

Para saber mais:

Fraude do dia: Bagle com senha

by

10 de outubro de 2006

22:48

1 comentário em Fraude do dia: Bagle com senha

E-mail, Internet, Pragas virtuais, Segurança

A praga virtual (tecnicametne classificada como verme ou, em inglês, worm) Bagle continua a se proliferar, circulando como um anexo de e-mail. A característica que mais me impressiona é que, para tentar despistar os antivírus, o Bagle.GN vem compactado em um arquivo ZIP protegido por senha e anexa também na mensagem uma imagem GIF contendo a senha!

Um exemplo do texto da mensagem de e-mail do Bagle.GN é:

Assunto: Registration is accepted

Thanks for use of our software.
Use password [imagem] to open archive.

O usuário ingênuo praticamente tem que insistir para “conseguir” ter seu computador infectado com o Bagle, pois terá algum trabalho:

  1. Deve abrir o arquivo ZIP anexo. No Windows XP, já existe o Assistente de Pastas Compactadas que já lida com arquivos ZIP. Em versões anteriores do Windows, o usuário teria que possuir instalado um programa à parte capaz de tratar arquivos ZIP, como PowerArchiver ou WinZip.
  2. Ao extrair, é solicitada senha. O usuário teria que digitar a senha fornecida na imagem.
  3. Ao descompactar o executável do programa maléfico, os bons antivírus detectariam o Bagle e o eliminariam. Para chegar até aqui, então, o otário, quero dizer, usuário deveria usar um antivírus ruim ou desatualizado, ou pior ainda: não manter nenhum antivírus ativo.
  4. Por fim, o campeão da ingenuidade ainda tem que executar o programa malicioso extraído, para aí finalmente ativar o Bagle.GN.

Ufa! Hoje em dia é trabalhoso até para ser infectado por verme, hehe. 🙂 E não é que ainda tem gente que cai numa dessa?

[photopress:bagle_senha.png,full,centered]

O Bagle.GN foi primeiramente detectado pela empresa de segurança antivírus Sophos. Ele se instala para execução automática ao iniciar o Windows, se replica por e-mail e permite que um invasor domine o computador infectado.

Para saber mais:

Programas de fraude – nova rodada (4)

by

27 de setembro de 2006

22:24

2 comentários em Programas de fraude – nova rodada (4)

E-mail, Internet, Pragas virtuais

Eu não esperava novas detecções decorridos mais 4 dias, 18 desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando VirusTotal.com. Para minha feliz surpresa, novidades do front.

Eis as novidades destes 4 dias, para cada um dos cinco programas de fraude:

  1. McAfee e Norman mudaram a classificação do artefato.
  2. Avast passou a detectar.
  3. Nenhuma novidade para a terceira fraude.
  4. Avast e Symantec, ambos saindo do zero, passaram a detectar. Authentium, F-Prot e F-Prot4 mudaram a classificação.
  5. Avast, F-Prot4 e Symantec passaram a detectar.

Resumo: 6 novas detecções, 5 novas classificações. 7 antivírus detectam as cinco ameaças, 6 detectam quatro ameaças, 3 detectam três, 3 detectam duas, 4 detectam só uma e 4 continuam não detectando nenhuma das ameaças (ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

  • [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
  • [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
  • [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
  • [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
  • [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [5] Norman – W32/Banker.AMXQ / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
  • [5] VBA32 – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
  • [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
  • [4] McAfee – PWS-Banker.gen.i / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
  • [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
  • [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
  • [4] UNA – Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
  • [3*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.XCA / security risk named W32/Downloader.AGOW
  • [3*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.XCA / W32/Downloader.AGOW
  • [3] Avast – não / Win32:Small-BXK / não / Win32:Bancos-WD / Win32:Small-BXK
  • [2] DrWeb – BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
  • [2] F-Prot4 – não / não / não / W32/Banker.XCA / W32/Downloader.AGOW
  • [2] Symantec (Norton) – não / não / não / Infostealer.Bancos / Downloader.Trojan
  • [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
  • [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
  • [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
  • [1] VirusBuster – não / não / não / TrojanSpy.Bancos.AKV / não
  • [0] ClamAV
  • [0] eTrust-InoculateIT
  • [0] eTrust-Vet
  • [0] Sophos

Programas de fraude – nova rodada (3)

by

23 de setembro de 2006

12:59

1 comentário em Programas de fraude – nova rodada (3)

E-mail, Internet, Pragas virtuais, Segurança

Decorridas duas semanas desde o início da nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com, iniciada dia 9, fiz novo balanço dos testes.

Eis novos resultados, desde a atualização do dia 14, para cada programa de fraude:

  1. Norman (agora detecta todas) e UNA passaram a detectar a fraude. VBA32 evoluiu da suspeita para uma classificação precisa.
  2. McAfee passou a detectar. VBA32 deu diagnóstico mais preciso.
  3. DrWeb passou a detectar.
  4. VirusBuster, saindo do zero, passou a detectar esta fraude. Fortinet deu diagnóstico mais preciso.
  5. Authentium e F-Prot passaram a detectar.

Resumo: Pequena evolução, com 7 novas detecções. 7 antivírus agora detectam as cinco ameaças, 6 detectam quatro ameaças, 2 detectam três, 1 detecta duas, 5 detectam só uma e 6 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos e Symantec).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

  • [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
  • [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
  • [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
  • [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos!04853 / W32/Banker.DLI!tr.dldr
  • [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [5] Norman – W32/Banker.AWVT / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
  • [5] VBA32 – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
  • [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
  • [4] McAfee – PWS-Banker.gen.b / PWS-Banker.dldr / não / PWS-Banker.gen.i / PWS-Banker.bj
  • [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
  • [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
  • [4] UNA – Trojan.Spy.Win32.Banbra.470A / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
  • [3*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / W32/Downloader.AGOW
  • [3*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / security risk named W32/Downloader.AGOW
  • [2] DrWeb – BACKDOOR.Trojan / não / Trojan.DownLoader.12831 / não / não
  • [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
  • [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
  • [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
  • [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
  • [1] VirusBuster – não / não / não / TrojanSpy.Bancos.AKV / não
  • [0] Avast
  • [0] ClamAV
  • [0] eTrust-InoculateIT
  • [0] eTrust-Vet
  • [0] Sophos
  • [0] Symantec (Norton)

Fraude do dia: "Querem te conhecer"

by

20 de setembro de 2006

14:03

Leave a comment on Fraude do dia: "Querem te conhecer"

E-mail, Internet, Pragas virtuais, Segurança

Uma nova fraude quer te conhecer. O interessante desta fraude é o local onde o malware, identificado pelo antivírus Kaspersky como Trojan-Downloader.Win32.Banload.bcl — típico roubador de senhas bancárias, está hospedado. O endereço é mail.langao.gov.cn/perfil_de_usuario_foto,jpg.exe, um domínio governamental da China!

[photopress:scam_conhecer.png,full,centered]

Fraude do dia: "Veja On-line"

by

15 de setembro de 2006

15:42

Leave a comment on Fraude do dia: "Veja On-line"

E-mail, Internet, Pragas virtuais, Segurança

Em tempos de eleição, mais uma fraude dentro do tema. Esta se passa por reportagem de denúncia envolvendo o presidente e candidato a reeleição.

Veja a reprodução a a seguir, mostrando o link para download do programa malicioso reportagem.cmd. CMD é uma das várias extensões de arquivo executáveis do Windows, assim como EXE, COM, SCR, CPL, BAT.

[photopress:scam_veja3.png,full,centered]

Para saber mais:

Programas de fraude – nova rodada (2)

by

14 de setembro de 2006

14:58

1 comentário em Programas de fraude – nova rodada (2)

E-mail, Internet, Pragas virtuais, Segurança

Iniciei dia 9 uma nova rodada de acompanhamento da detecção de 5 fraudes por antivírus, usando o serviço VirusTotal.com.

Eis a atualização dos resultados, decorridos 5 dias, para cada programa de fraude:

  1. Kaspersky mudou a classificação da fraude; Ewido passou a detectá-la.
  2. AntiVir, AVG, Fortinet, Norman e UNA passaram a detectar a fraude.
  3. AntiVir, AVG, Ewido, Fortinet, Kaspersky, UNA e VBA32 passaram a detectar; Norman deu uma classificação mais precisa.
  4. McAfee e Norman passaram a detectar.
  5. AntiVir, AVG, Fortinet, McAfee, Norman e UNA passaram a detectar; Panda e VBA32 deram um diagnóstico mais preciso.

Resumo: Boa evolução geral. 6 antivírus passaram a detectar as cinco ameaças (era só 1 no primeiro dia), 5 detectam quatro ameaças, 2 detectam três, 2 detectaram duas, 5 detectaram só uma e 7 continuam não detectando nenhuma das ameaças (Avast, ClamAV, eTrust-InoculateIT, eTrust-Vet, Sophos, Symantec e VirusBuster).

Listagem detalhada de detecções por antivírus, atualizada (* asterisco indica alguma detecção imprecisa):

  • [4] AntiVir – TR/Spy.Banker.BSU.12 / TR/Dldr.Small.dli.7 / TR/Dldr.Delf.ZH.10 / não / TR/Dldr.Small.dli.8
  • [2*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / não
  • [0] Avast – não / não / não / não / não
  • [5] AVG – PSW.Banker2.OKF / Downloader.Generic2.NZJ / Downloader.Generic2.OFA / PSW.Banker2.NVW / Downloader.Generic2.NXA
  • [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
  • [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
  • [0] ClamAV – não / não / não / não / não
  • [1] DrWeb – BACKDOOR.Trojan / não / não / não / não
  • [0] eTrust-InoculateIT – não / não / não / não / não
  • [0] eTrust-Vet – não / não / não / não / não
  • [5] Ewido – Logger.Banker.bsu / Not-A-Virus.Exploit.Win32.DComII.a / Downloader.Banload.bip / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
  • [5] Fortinet – Spy/Banker!08463 / W32/Small.DLI!tr.dldr / W32/Banload.BIP!tr.dldr / Spy/Bancos / W32/Banker.DLI!tr.dldr
  • [2*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
  • [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
  • [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
  • [5] Kaspersky – Trojan-Spy.Win32.Banbra.jp / Trojan-Downloader.Win32.Small.dli / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [3] McAfee – PWS-Banker.gen.b / não / não / PWS-Banker.gen.i / PWS-Banker.bj
  • [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
  • [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
  • [4] Norman – não / W32/DLoader.AVMB / W32/Banload.GOB / Bancos.KPU / W32/Banker.AMCT
  • [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Trj/Nabload.MK
  • [0] Sophos – não / não / não / não / não
  • [0] Symantec – não / não / não / não / não
  • [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
  • [3] UNA – não / TrojanDownloader.Win32.Small.7650 / TrojanDownloader.Win32.Banload.A0 / não / TrojanDownloader.Win32.Small.4550
  • [5*] VBA32 – suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / Trojan-Downloader.Win32.Banload.bip / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [0] VirusBuster – não / não / não / não / não