Blog do Márcio d'Ávila

Tweet

O que bingamanga.com tem a ver com a Ordem dos Advogados do Brasil? Em comum, só a hospedagem do programa roubador de senhas Trojan-Downloader.Win32.VB.ji em uma fraude se passando por um boletim eletrônico da OAB.

Veja a imagem reproduzindo a janela com o e-mail de fraude:

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Tweet

Tweet

Após 17 dias acompanhando a detecção de três exemplos de malware (ameaça) pelos 27 antivírus disponíveis no serviço VirusTotal, dou por finalizado os resultados. Hoje o antivírus Avast passou a detectar a primeira ameaça e o Norman a terceira.

Resumo: 10 antivírus detectam atualmente as três ameaças, dois detectam duas; e 7, só uma. 8 antivírus continuaram sem detectar nenhuma das ameaças; são eles: Authentium, eTrust-InoculateIT, F-Prot, Ikarus, Panda, Sophos, TheHacker, VirusBuster.

A relação alfabética atualizada (exclusos os antivírus que não detectaram nenhuma ameaça) fica assim:

• [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
• [2] Avast = Win32:Downloader-DD; Win32:Banker-ARH; não
• [3] AVG = Downloader.Generic2.LOK; PSW.Banker2.KYQ; Downloader.Generic2.LNX
• [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
• [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
• [1] ClamAV = não; Trojan.Spy.Banker-3994; não
• [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
• [1] eTrust-Vet = não; Win32/Bancos.EVO; não
• [3] Ewido = Downloader.VB.ji; Logger.Banker.bsh; Downloader.Banload.ln
• [3] Fortinet = W32/VB.JI!tr.dldr; Banker.T!tr.pws; W32/Banload.LN!tr.dldr
• [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
• [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
• [1] McAfee = não; PWS-Banker.gen.t; não
• [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
• [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
• [3*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; W32/Banload.GCB
• [1] Symantec = não; Infostealer.Bancos; não
• [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
• [3] VBA32 = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln

O asterisco (*) indica um antivírus que detectou vagamente alguma ameaça (apenas como suspeita ou provável).

Tweet

Tweet

Desde meu artigo de 2 dias atrás, continua melhorando a detecção dos três artefatos que tomei como exemplo pelos diversos antivírus.

Agora, mais quatro antivírus identificaram o primeiro e o terceiro programas malware: AVG, Ewido, Fortinet e VBA32. No caso do Fortinet, ele antes já reportava estes arquivos como “suspeito”, mas agora o antivírus classifica cada ameaça com um nome específico.

Como AVG, Ewido e VBA32 já haviam detectado o segundo artefato, o número de antivírus que detectam as três ameaças passou de 6 para 9, dentre os 27 analisados.

Tweet

Tweet

Em meu artigo 2 semanas atrás, iniciei o acompanhamento da evolução de 3 exemplos de malware (programas maléficos) utilizados em fraudes circulantes no Brasil.

Naquele dia, do total de 27 mecanismos antivírus testados pelo serviço VirusTotal, eram 10 antívirus detectando 1 ou mais das amaças, sendo que apenas 4 haviam dectado todas as três.

Hoje, transcorridas duas semanas (14 dias), a situação está assim:

A primeira triste constatação é que todos os três artefatos continuavam acessíveis (disponíveis para download) na Internet.

Dos 27 antivírus analisados, 6 detectaram as três ameaças, 2 detectaram duas delas, 11 detectaram apenas uma e os outros 8 antivírus continuaram não detectando nenhuma delas. Ou seja, o número de antivírus detectando pelo menos uma das ameaças aumentou de 10 para 19, após duas semanas.

Alguns detectam de forma imprecisa as ameaças (*), apresentando para uma ou mais delas vereditos vagos como “suspeito”, “ameaça desconhecida” ou “provável ameaça”.
O segundo artefato foi o de detecção mais ampla, identificado por 17 antivírus (eram só 5 no primeiro dia), sendo por sinal aquele reconhecido por 10 dos 11 antivírus que só detectaram uma ameaça.

• [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
• [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
• [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
• [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
• [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
• [3*] Fortinet = suspicious; Banker.T!tr.pws; suspicious
• [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
• [2*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; não
• [1] Avast = não; Win32:Banker-ARH; não
• [1] AVG = não; PSW.Banker2.KYQ; não
• [1] ClamAV = não; Trojan.Spy.Banker-3994; não
• [1] Ewido = não; Logger.Banker.bsh; não
• [1] eTrust-Vet = não; Win32/Bancos.EVO; não
• [1] McAfee = não; PWS-Banker.gen.t; não
• [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
• [1] Symantec = não; Infostealer.Bancos; não
• [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
• [1] VBA32 = não; Trojan-Spy.Win32.Banker.bsh; não
• [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
• [0] Authentium
• [0] eTrust-InoculateIT
• [0] F-Prot
• [0] Ikarus
• [0] Panda
• [0] Sophos
• [0] TheHacker
• [0] VirusBuster

É claro que a pequena amostragem de artefatos não serve de avaliação criteriosa dos 27 antivírus existentes no serviço VirusTotal, mas serve pelo menos como indicativo concreto de que boa parte dos antivírus atuais ainda não está lidando de forma eficaz contra as pragas envolvidas em fraudes on-line do Brasil, incluindo os três antivírus mais populares no mercado brasileiro: AVG, McAfee e Symantec.

Por enquanto, honra ao mérito dos antivírus DrWeb e Kaspersky, que identificaram mais rápida e precisamente as três amaeças tomadas como exemplo. Destaque também para a boa atuação dos antivírus AntiVir, BitDefender, NOD32, Fortinet, CAT-QuickHeal e Norman.

Tweet

Tweet

Olhe aí o serviço YouSendIt.com usado mais uma vez para hospedar uma aplicação maliciosa de fraude.
Desta vez, o tema da fraude é uma suposta solicitação de orçamento comercial.

No serviço VirusTotal, 12 antivírus detectaram a ameaça:

• AntiVir = TR/Spy.Banker.Gen
• AVG = PSW.Banker2.LJJ
• DrWeb = BACKDOOR.Trojan
• eTrust-InoculateIT = Win32/Bancos.Variant!Trojan
• Ewido = Logger.Banbra.gl
• Fortinet = Spy/Banbra!0917
• Kaspersky = Trojan-Spy.Win32.Banbra.gl
• McAfee = PWS-Banker.gen.b
• NOD32v2 = probably a variant of Win32/Spy.Banker.BIG
• Norman = W32/Banker.AJYT
• Panda = Suspicious file
• UNA = Trojan.Spy.Win32.Banbra.899C

Tweet

Tweet

Em clima de Dia dos Pais (que será no próximo domingo dia 13), uma fraude — que já existe há algum tempo — usando o nome do Boticário foi reciclada para circular agora com o título (Assunto) “Promoção dia dos pais”.

No endereço real de destino, YouSendIt.com é um serviço público de envio e armazenamento de arquivos em geral. Sem oferecer grande controle ou segurança, este tipo de serviço é muito usado para hospedagem de malware usado em fraudes.

Resultado decepcionante da varredura em VirusTotal.com: do total de 27 antivírus, apenas os seguintes 2 detectaram alguma ameaça:

• Authentium: could be a corrupted executable file
• Fortinet: suspicious

Tweet

Tweet

Tem gente que te ama. Mas desconfie de quem manda uma aparente mensagem de amor anônima. É uma fraude típica, e quem manda na verdade deve te odiar: quer instalar um programa para fazer mal ao teu computador e aos teus dados pessoais.

Resultado da análise do programa, por 27 antivírus em VirusTotal.com:

• CAT-QuickHeal: (Suspicious) – DNAScan
• Fortinet: suspicious
• Kaspersky: Trojan-Spy.Win32.Bancos.mi
• NOD32v2: probably a variant of Win32/Spy.Bancos.U
• Panda: Suspicious file
• VBA32: suspected of Malware.VB.22

Os outros 21 antivírus não detectaram ameaça. A detecção mais precisa foi do Kaspersky AV, o antivírus que tem se mostrado mais eficaz contra keyloggers. Por sinal, trata-se de mais um programa que visa para roubar dados (keylogger) bancários, o que tem sido típico nas fraudes circulantes no Brasil.

Tweet

Tweet

Depois de mais de dois anos acompanhando fraudes, finalmente recebi hoje uma que usa o nome da loja virtual Submarino, o maior e mais sólido serviço de comércio eletrônico ao consumidor via Internet do Brasil:

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Tweet

Tweet

Ontem eu analisei um programa de fraude no serviço Virus Total e apenas 5 dos 27 antivírus utilizados (18,5%) tinham detectado o artefato como um programa fraude bancária. 24 horas depois, mais dois antivírus já detectavam a ameça, passando para 26% o índice de antivírus efetivos.

Considerando que o arquivo testado aparentemente começou a circular na madrugada de 4 de agosto de 2006 (data to arquivo no endereço web apontado pela fraude) e a data em que os arquivos de dados de cada antivírus foram atualizados pelo serviço VirusTotal, a evolução na eficácia dos antivírus foi razoável.

Tomei mais dois outros programa de fraude que recebi — um de 3 de agosto e outro de 6 de agosto — e avaliei também a detecção de ambos nos 27 antivírus usados no serviço VirusTotal. Veja os resultados:

Antivírus que detectaram pelo menos uma das três ameças (com data dos arquivos de dados usados):

• [3] BitDefender – (07/08/2006) Win32.Worm.VB.AR; (06/08/2006) – Generic.Banker.Delf.C095A38D; (07/08/2006) BehavesLike:Trojan.Downloader
• [3] DrWeb – (06/08/2006) Trojan.DownLoader.3176; (06/08/2006) Trojan.PWS.Banker.4625; (06/08/2006) Trojan.DownLoader.5921
• [3] Kaspersky – (07/08/2006) Trojan-Downloader.Win32.VB.ji; (06/08/2006) Trojan-Spy.Win32.Banker.bsh; (07/08/2006) Trojan-Downloader.Win32.Banload.ln
• [3] NOD32v2 – (05/08/2006) a variant of Win32/TrojanDownloader.VB.LP; (05/08/2006) a variant of Win32/Spy.Banker.AXC; (05/08/2006) probably unknown NewHeur_PE virus
• [2] AntiVir – (06/08/2006) TR/Dldr.VB.JI.560; (05/08/2006) TR/Banker.Delf.EC
• [2] CAT-QuickHeal – (04/08/2006) Suspicious – DNAScan; (04/08/2006) Suspicious – DNAScan
• [2] Fortinet – (07/08/2006) suspicious; (07/08/2006) suspicious
• [2] F-Prot4 – (06/08/2006) Possibly a new unknown PE_Virus!Maximus; (06/08/2006) Possibly a new unknown PE_Virus!Maximus
• [1] McAfee – (04/08/2006) New Malware.n
• [1] Panda – (06/08/2006) Suspicious file

Antivírus que não detectaram nenhum dos três (com data dos arquivos de dados):

• Authentium (06/08/2006)
• Avast (04/08/2006)
• AVG 386 (05/08/2006)
• ClamAV (06/08/2006)
• eTrust-InoculateIT (06/08/2006)
• eTrust-Vet (04/08/2006)
• Ewido (06/08/2006)
• F-Prot (06/08/2006)
• Ikarus (04/08/2006)
• Microsoft (04/08/2006)
• Norman (04/08/2006)
• Sophos (06/08/2006)
• Symantec (07/08/2006)
• TheHacker (07/08/2006)
• UNA (04/08/2006)
• VBA32 (06/08/2006)
• VirusBuster (06/08/2006)

Pretendo continuar acompanhando a evolução da detecções por mais alguns dias. Vejamos.

Tweet

Tweet

Os indícios de fraude por e-mail sempre estão presentes. Reiterando as características que citei em meu artigo de alguns dias atrás, veja mais um exemplo recente.

A mensagem diz ser do serviço “OCarteiro.com”, mas ao pousar o mouse sobre o link e observar o real endereço de destino, novamente os indícios de fraude ficam óbvios.

1. mensagem1288.exe: o link é para o download de um programa Windows (EXE), e não uma página de cartãoo virtual. Em geral, nenhum conteúdo “saudável” na Internet costuma ser distribuído como executável.
2. www.40drinks.net: este domínio de destino não tem nada a ver com OCarteiro.com.
3. O próprio texto da fraude indicava que o link seria para http://ocarteiro.com.br/lercartao.php?id=..., portanto não se parece nem um pouco com seu real destino. Além disso, o link exibido no texto apresenta um número de identificação para o cartão (59554A46821571) e logo adiante no texto é apresentado outro (1902667279A7383).
4. Outra característica comum em fraudes: o nome do remetente contém o assunto da mensagem, ao invés de conter um nome como se esperaria. Deve ser porque quem constrói essas fraudes sequer sabe a diferença entre “Subject” (Assunto) e “From” (Remetente) de um e-mail.

Detalhe: na fraude, está exibido um banner de publicidade que diz: “Proteja seu PC [computador] de intrusos, curiosos e invasores”. Será coincidência ou ironia?

E se apesar de tudo a pessoa ainda é trouxa o bastante para resolver clicar no link, olhe só o que o navegador Internet Explorer 6, por exemplo, alertaria:

Download de Arquivo – Aviso de Segurança

(…) Este tipo de arquivo [executável] pode danificar seu computador. Se você não confiar em sua origem, não execute nem salve este software.

Note que a opção sugerida, portanto, é “Cancelar”. E o link “Qual é o risco?” ainda apresenta informações adicionais úteis, na Ajuda do Windows. Assim, não é por falta de aviso e informação que alguém vai dizer que deixou o programa nocivo entrar.

Por fim, utilizei o excelente serviço gratuito Virus Total para analisar o arquivo mensagem1288.exe simultaneamente em 27 sistemas antivírus atuais. Pelo menos 5 deles identificaram o arquivo como um malware (programa maléfico), do tipo spyware (programa espião), mais especificamente um típico keylogger (gravador de digitação) que visa roubar senhas de bancos brasileiros digitadas em páginas de Internet Banking.

Embora isso indique que ainda são poucos os antivírus que conseguem identificar prontamente as dezenas de variantes de spyware que surgem a cada dia (neste caso, 5 em 27, menos de 20%), mostra que ter um antivírus sempre atualizado ainda representa esperança de proteção.

Os antivírus tradicionalmente são preparados para — como o próprio nome diz — combater vírus e vermes; e em geral são muito eficientes contra estes inimigos. Spywares e Keyloggers, porém, são uma categoria diferente de programas nocivos, que tiveram sua incidência intensificada nos últimos tempos. Os antivírus estão adaptando seus mecanismos para serem eficientes também contra este tipo de mal.

Tweet