Categoria: Pragas virtuais

Programas de fraude – nova rodada

by

9 de setembro de 2006

17:59

3 comentários em Programas de fraude – nova rodada

E-mail, Internet, Pragas virtuais, Segurança

Inicio hoje uma nova rodada de acompanhamento da evolução de detecção de programas de fraude no serviço VirusTotal.com. Desta vez, acompanho 5 artefatos maliciosos (malware) apontados por mensagens de fraude recebidas recentemente por e-mail.

Resultado das primeiras análises hoje:

  • [1] AntiVir – TR/Spy.Banker.BSU.12 / não / não / não / não
  • [2*] Authentium – não / não / could be infected with an unknown virus / W32/Banker.WCI / não
  • [0] Avast – não / não / não / não / não
  • [2] AVG – PSW.Banker2.OKF / não / não / PSW.Banker2.NVW / não
  • [5*] BitDefender – Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
  • [4*] CAT-QuickHeal – (Suspicious) – DNAScan / (Suspicious) – DNAScan / (Suspicious) – DNAScan / não / (Suspicious) – DNAScan
  • [0] ClamAV – não / não / não / não / não
  • [1] DrWeb – BACKDOOR.Trojan / não / não / não / não
  • [0] eTrust-InoculateIT – não / não / não / não / não
  • [0] eTrust-Vet – não / não / não / não / não
  • [3] Ewido – não / Not-A-Virus.Exploit.Win32.DComII.a / não / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
  • [2] Fortinet – Spy/Banker!08463 / não / não / Spy/Bancos / não
  • [2*] F-Prot – não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
  • [1] F-Prot4 – não / não / não / W32/Banker.WCI / não
  • [1] Ikarus – não / não / não / Backdoor.Win32.Radmin.w / não
  • [4] Kaspersky – Trojan-Spy.Win32.Banker.bsu / Trojan-Downloader.Win32.Small.dli / não / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
  • [1] McAfee – PWS-Banker.gen.b / não / não / não / não
  • [1] Microsoft – TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
  • [4] NOD32v2 – a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
  • [1] Norman – não / não / W32/Downloader / não / não
  • [4*] Panda – Trj/Banker.EKM / Suspicious file / Suspicious file / não / Suspicious file
  • [0] Sophos – não / não / não / não / não
  • [0] Symantec – não / não / não / não / não
  • [1] TheHacker – não / não / não / Trojan/Spy.KeyLogger.bp / não
  • [0] UNA – não / não / não / não / não
  • [4*] VBA32 – suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / não / Trojan-Spy.Win32.Bancos.xc / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics)
  • [0] VirusBuster – não / não / não / não / não

Resumo: apenas 1 detectou as cinco ameaças (BitDefender), 5 detectaram quatro ameaças (CAT-QuickHeal, Kaspersky, NOD32v2, Panda e VBA32), 1 detectou três, 4 detectaram duas, 8 detectaram só uma e 8 não detectaram nenhuma das cinco ameaças.

Para ver a rodada anterior de 17 dias acompanhando a detecção de três programas malware, veja Antivírus contra programas de fraude no Brasil (2006-08-07) a Antivírus contra programas de fraude no Brasil (4) (2006-08-24).

Fraude do dia: "TSE"

by

7 de setembro de 2006

15:37

1 comentário em Fraude do dia: "TSE"

E-mail, Internet, Pragas virtuais, Segurança, Web

Em época eleitoral retorna a circulação de mensagens com uma “tradicional” fraude: “seu título eleitoral foi cancelado”. E você é induzido a clicar no link para saber mais informações… sobre como instalar ingenuamente um programa espião de fraude bancária, certamente.

[photopress:scam_tse3.png,full,centered]

A boa notícia foi quando experimentei acessar o endereço web apontado pela fraude (www.tribunaleleitoral.pisem.net). A tentativa de abrir a página em meu Mozilla Firefox, que tem a Barra de ferramentas do Google instalada, colocou em ação o recurso de Navegação Segura do Google, que emitiu instantaneamente o aviso de fraude. Veja o alerta exibido:

[photopress:scam_tse3_web.png,full,centered]

Este recurso muito útil não está disponível na Barra do Google para Internet Explorer. Baixe agora o Firefox com Google Toolbar, incluindo o recurso de Navegação Segura e muito mais.

Fraude do dia: "Boletim OAB"

by

4 de setembro de 2006

15:29

Leave a comment on Fraude do dia: "Boletim OAB"

E-mail, Internet, Pragas virtuais, Segurança

O que bingamanga.com tem a ver com a Ordem dos Advogados do Brasil? Em comum, só a hospedagem do programa roubador de senhas Trojan-Downloader.Win32.VB.ji em uma fraude se passando por um boletim eletrônico da OAB.

Veja a imagem reproduzindo a janela com o e-mail de fraude:

[photopress:scam_oab.png,full,centered]

Para saber mais:

Antivírus contra programas de fraude no Brasil (4)

by

24 de agosto de 2006

9:25

1 comentário em Antivírus contra programas de fraude no Brasil (4)

Internet, Pragas virtuais, Segurança

Após 17 dias acompanhando a detecção de três exemplos de malware (ameaça) pelos 27 antivírus disponíveis no serviço VirusTotal, dou por finalizado os resultados. Hoje o antivírus Avast passou a detectar a primeira ameaça e o Norman a terceira.

Resumo: 10 antivírus detectam atualmente as três ameaças, dois detectam duas; e 7, só uma. 8 antivírus continuaram sem detectar nenhuma das ameaças; são eles: Authentium, eTrust-InoculateIT, F-Prot, Ikarus, Panda, Sophos, TheHacker, VirusBuster.

A relação alfabética atualizada (exclusos os antivírus que não detectaram nenhuma ameaça) fica assim:

  • [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
  • [2] Avast = Win32:Downloader-DD; Win32:Banker-ARH; não
  • [3] AVG = Downloader.Generic2.LOK; PSW.Banker2.KYQ; Downloader.Generic2.LNX
  • [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
  • [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
  • [1] ClamAV = não; Trojan.Spy.Banker-3994; não
  • [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
  • [1] eTrust-Vet = não; Win32/Bancos.EVO; não
  • [3] Ewido = Downloader.VB.ji; Logger.Banker.bsh; Downloader.Banload.ln
  • [3] Fortinet = W32/VB.JI!tr.dldr; Banker.T!tr.pws; W32/Banload.LN!tr.dldr
  • [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
  • [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
  • [1] McAfee = não; PWS-Banker.gen.t; não
  • [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
  • [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
  • [3*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; W32/Banload.GCB
  • [1] Symantec = não; Infostealer.Bancos; não
  • [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
  • [3] VBA32 = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln

O asterisco (*) indica um antivírus que detectou vagamente alguma ameaça (apenas como suspeita ou provável).

Antivírus contra programas de fraude no Brasil (3)

by

23 de agosto de 2006

1:12

1 comentário em Antivírus contra programas de fraude no Brasil (3)

Internet, Pragas virtuais, Segurança

Desde meu artigo de 2 dias atrás, continua melhorando a detecção dos três artefatos que tomei como exemplo pelos diversos antivírus.

Agora, mais quatro antivírus identificaram o primeiro e o terceiro programas malware: AVG, Ewido, Fortinet e VBA32. No caso do Fortinet, ele antes já reportava estes arquivos como “suspeito”, mas agora o antivírus classifica cada ameaça com um nome específico.

Como AVG, Ewido e VBA32 já haviam detectado o segundo artefato, o número de antivírus que detectam as três ameaças passou de 6 para 9, dentre os 27 analisados.

Antivírus contra programas de fraude no Brasil (2)

by

21 de agosto de 2006

2:25

1 comentário em Antivírus contra programas de fraude no Brasil (2)

Internet, Pragas virtuais, Segurança

Em meu artigo 2 semanas atrás, iniciei o acompanhamento da evolução de 3 exemplos de malware (programas maléficos) utilizados em fraudes circulantes no Brasil.

Naquele dia, do total de 27 mecanismos antivírus testados pelo serviço VirusTotal, eram 10 antívirus detectando 1 ou mais das amaças, sendo que apenas 4 haviam dectado todas as três.

Hoje, transcorridas duas semanas (14 dias), a situação está assim:

A primeira triste constatação é que todos os três artefatos continuavam acessíveis (disponíveis para download) na Internet.

Dos 27 antivírus analisados, 6 detectaram as três ameaças, 2 detectaram duas delas, 11 detectaram apenas uma e os outros 8 antivírus continuaram não detectando nenhuma delas. Ou seja, o número de antivírus detectando pelo menos uma das ameaças aumentou de 10 para 19, após duas semanas.

Alguns detectam de forma imprecisa as ameaças (*), apresentando para uma ou mais delas vereditos vagos como “suspeito”, “ameaça desconhecida” ou “provável ameaça”.
O segundo artefato foi o de detecção mais ampla, identificado por 17 antivírus (eram só 5 no primeiro dia), sendo por sinal aquele reconhecido por 10 dos 11 antivírus que só detectaram uma ameaça.

  • [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
  • [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
  • [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
  • [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
  • [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
  • [3*] Fortinet = suspicious; Banker.T!tr.pws; suspicious
  • [2*] CAT-QuickHeal = (Suspicious) – DNAScan; não; (Suspicious) – DNAScan
  • [2*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; não
  • [1] Avast = não; Win32:Banker-ARH; não
  • [1] AVG = não; PSW.Banker2.KYQ; não
  • [1] ClamAV = não; Trojan.Spy.Banker-3994; não
  • [1] Ewido = não; Logger.Banker.bsh; não
  • [1] eTrust-Vet = não; Win32/Bancos.EVO; não
  • [1] McAfee = não; PWS-Banker.gen.t; não
  • [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
  • [1] Symantec = não; Infostealer.Bancos; não
  • [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
  • [1] VBA32 = não; Trojan-Spy.Win32.Banker.bsh; não
  • [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
  • [0] Authentium
  • [0] eTrust-InoculateIT
  • [0] F-Prot
  • [0] Ikarus
  • [0] Panda
  • [0] Sophos
  • [0] TheHacker
  • [0] VirusBuster

É claro que a pequena amostragem de artefatos não serve de avaliação criteriosa dos 27 antivírus existentes no serviço VirusTotal, mas serve pelo menos como indicativo concreto de que boa parte dos antivírus atuais ainda não está lidando de forma eficaz contra as pragas envolvidas em fraudes on-line do Brasil, incluindo os três antivírus mais populares no mercado brasileiro: AVG, McAfee e Symantec.

Por enquanto, honra ao mérito dos antivírus DrWeb e Kaspersky, que identificaram mais rápida e precisamente as três amaeças tomadas como exemplo. Destaque também para a boa atuação dos antivírus AntiVir, BitDefender, NOD32, Fortinet, CAT-QuickHeal e Norman.

Fraude do dia: "Orçamento"

by

20 de agosto de 2006

1:18

Leave a comment on Fraude do dia: "Orçamento"

E-mail, Internet, Pragas virtuais, Segurança

Olhe aí o serviço YouSendIt.com usado mais uma vez para hospedar uma aplicação maliciosa de fraude.
Desta vez, o tema da fraude é uma suposta solicitação de orçamento comercial.

[photopress:fraude_orcamento.png,full,centered]

No serviço VirusTotal, 12 antivírus detectaram a ameaça:

  • AntiVir = TR/Spy.Banker.Gen
  • AVG = PSW.Banker2.LJJ
  • DrWeb = BACKDOOR.Trojan
  • eTrust-InoculateIT = Win32/Bancos.Variant!Trojan
  • Ewido = Logger.Banbra.gl
  • Fortinet = Spy/Banbra!0917
  • Kaspersky = Trojan-Spy.Win32.Banbra.gl
  • McAfee = PWS-Banker.gen.b
  • NOD32v2 = probably a variant of Win32/Spy.Banker.BIG
  • Norman = W32/Banker.AJYT
  • Panda = Suspicious file
  • UNA = Trojan.Spy.Win32.Banbra.899C

Fraude do dia: "Boticário"

by

10 de agosto de 2006

1:28

Leave a comment on Fraude do dia: "Boticário"

E-mail, Internet, Pragas virtuais, Segurança

Em clima de Dia dos Pais (que será no próximo domingo dia 13), uma fraude — que já existe há algum tempo — usando o nome do Boticário foi reciclada para circular agora com o título (Assunto) “Promoção dia dos pais”.

[photopress:scam_boticario.png,full,centered]

No endereço real de destino, YouSendIt.com é um serviço público de envio e armazenamento de arquivos em geral. Sem oferecer grande controle ou segurança, este tipo de serviço é muito usado para hospedagem de malware usado em fraudes.

Resultado decepcionante da varredura em VirusTotal.com: do total de 27 antivírus, apenas os seguintes 2 detectaram alguma ameaça:

  • Authentium: could be a corrupted executable file
  • Fortinet: suspicious

Fraude do dia: "Te amo"

by

8 de agosto de 2006

1:44

Leave a comment on Fraude do dia: "Te amo"

E-mail, Internet, Pragas virtuais, Segurança

Tem gente que te ama. Mas desconfie de quem manda uma aparente mensagem de amor anônima. É uma fraude típica, e quem manda na verdade deve te odiar: quer instalar um programa para fazer mal ao teu computador e aos teus dados pessoais.

[photopress:scam_teamo.png,full,centered]

Resultado da análise do programa, por 27 antivírus em VirusTotal.com:

  • CAT-QuickHeal: (Suspicious) – DNAScan
  • Fortinet: suspicious
  • Kaspersky: Trojan-Spy.Win32.Bancos.mi
  • NOD32v2: probably a variant of Win32/Spy.Bancos.U
  • Panda: Suspicious file
  • VBA32: suspected of Malware.VB.22

Os outros 21 antivírus não detectaram ameaça. A detecção mais precisa foi do Kaspersky AV, o antivírus que tem se mostrado mais eficaz contra keyloggers. Por sinal, trata-se de mais um programa que visa para roubar dados (keylogger) bancários, o que tem sido típico nas fraudes circulantes no Brasil.