Blog do Márcio d’Ávila

Inicio hoje uma nova rodada de acompanhamento da evolução de detecção de programas de fraude no serviço VirusTotal.com. Desta vez, acompanho 5 artefatos maliciosos (malware) apontados por mensagens de fraude recebidas recentemente por e-mail.

Resultado das primeiras análises hoje:

• [1] AntiVir - TR/Spy.Banker.BSU.12 / não / não / não / não
• [2*] Authentium - não / não / could be infected with an unknown virus / W32/Banker.WCI / não
• [0] Avast - não / não / não / não / não
• [2] AVG - PSW.Banker2.OKF / não / não / PSW.Banker2.NVW / não
• [5*] BitDefender - Trojan.Spy.Banker.BSU / BehavesLike:Trojan.Downloader / Trojan.Downloader.Delf.ZH / Generic.Banker.VB.ACE368E3 / BehavesLike:Trojan.Downloader
• [4*] CAT-QuickHeal - (Suspicious) - DNAScan / (Suspicious) - DNAScan / (Suspicious) - DNAScan / não / (Suspicious) - DNAScan
• [0] ClamAV - não / não / não / não / não
• [1] DrWeb - BACKDOOR.Trojan / não / não / não / não
• [0] eTrust-InoculateIT - não / não / não / não / não
• [0] eTrust-Vet - não / não / não / não / não
• [3] Ewido - não / Not-A-Virus.Exploit.Win32.DComII.a / não / Logger.Bancos.xc / Not-A-Virus.Exploit.Win32.DComII.a
• [2] Fortinet - Spy/Banker!08463 / não / não / Spy/Bancos / não
• [2*] F-Prot - não / não / could be infected with an unknown virus / security risk named W32/Banker.WCI / não
• [1] F-Prot4 - não / não / não / W32/Banker.WCI / não
• [1] Ikarus - não / não / não / Backdoor.Win32.Radmin.w / não
• [4] Kaspersky - Trojan-Spy.Win32.Banker.bsu / Trojan-Downloader.Win32.Small.dli / não / Trojan-Spy.Win32.Bancos.xc / Trojan-Downloader.Win32.Small.dli
• [1] McAfee - PWS-Banker.gen.b / não / não / não / não
• [1] Microsoft - TrojanSpy:Win32/Banker!F2E6 / não / não / não / não
• [4] NOD32v2 - a variant of Win32/Spy.Banker.ANV / Win32/TrojanDownloader.VB.NGD / Win32/TrojanDownloader.Banload.NIB / probably a variant of Win32/Spy.Bancos.U / Win32/TrojanDownloader.VB.NGQ
• [1] Norman - não / não / W32/Downloader / não / não
• [4*] Panda - Trj/Banker.EKM / Suspicious file / Suspicious file / não / Suspicious file
• [0] Sophos - não / não / não / não / não
• [0] Symantec - não / não / não / não / não
• [1] TheHacker - não / não / não / Trojan/Spy.KeyLogger.bp / não
• [0] UNA - não / não / não / não / não
• [4*] VBA32 - suspected of Trojan-Spy.Banker.140 / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics) / não / Trojan-Spy.Win32.Bancos.xc / suspected of Trojan-Dropper.Delf.34 (paranoid heuristics)
• [0] VirusBuster - não / não / não / não / não

Resumo: apenas 1 detectou as cinco ameaças (BitDefender), 5 detectaram quatro ameaças (CAT-QuickHeal, Kaspersky, NOD32v2, Panda e VBA32), 1 detectou três, 4 detectaram duas, 8 detectaram só uma e 8 não detectaram nenhuma das cinco ameaças.

Para ver a rodada anterior de 17 dias acompanhando a detecção de três programas malware, veja Antivírus contra programas de fraude no Brasil (2006-08-07) a Antivírus contra programas de fraude no Brasil (4) (2006-08-24).

Em época eleitoral retorna a circulação de mensagens com uma “tradicional” fraude: “seu título eleitoral foi cancelado”. E você é induzido a clicar no link para saber mais informações… sobre como instalar ingenuamente um programa espião de fraude bancária, certamente.

A boa notícia foi quando experimentei acessar o endereço web apontado pela fraude (www.tribunaleleitoral.pisem.net). A tentativa de abrir a página em meu Mozilla Firefox, que tem a Barra de ferramentas do Google instalada, colocou em ação o recurso de Navegação Segura do Google, que emitiu instantaneamente o aviso de fraude. Veja o alerta exibido:

Este recurso muito útil não está disponível na Barra do Google para Internet Explorer. Baixe agora o Firefox com Google Toolbar, incluindo o recurso de Navegação Segura e muito mais.

O que bingamanga.com tem a ver com a Ordem dos Advogados do Brasil? Em comum, só a hospedagem do programa roubador de senhas Trojan-Downloader.Win32.VB.ji em uma fraude se passando por um boletim eletrônico da OAB.

Veja a imagem reproduzindo a janela com o e-mail de fraude:

Para saber mais:

• Scam - A fraude inunda o correio eletrônico

Após 17 dias acompanhando a detecção de três exemplos de malware (ameaça) pelos 27 antivírus disponíveis no serviço VirusTotal, dou por finalizado os resultados. Hoje o antivírus Avast passou a detectar a primeira ameaça e o Norman a terceira.

Resumo: 10 antivírus detectam atualmente as três ameaças, dois detectam duas; e 7, só uma. 8 antivírus continuaram sem detectar nenhuma das ameaças; são eles: Authentium, eTrust-InoculateIT, F-Prot, Ikarus, Panda, Sophos, TheHacker, VirusBuster.

A relação alfabética atualizada (exclusos os antivírus que não detectaram nenhuma ameaça) fica assim:

• [3] AntiVir = TR/VB.Downloader.Gen; TR/Banker.Delf.EC; TR/VB.Downloader.Gen
• [2] Avast = Win32:Downloader-DD; Win32:Banker-ARH; não
• [3] AVG = Downloader.Generic2.LOK; PSW.Banker2.KYQ; Downloader.Generic2.LNX
• [3*] BitDefender = Win32.Worm.VB.AR; Generic.Banker.Delf.C095A38D; BehavesLike:Trojan.Downloader
• [2*] CAT-QuickHeal = (Suspicious) - DNAScan; não; (Suspicious) - DNAScan
• [1] ClamAV = não; Trojan.Spy.Banker-3994; não
• [3] DrWeb = Trojan.DownLoader.3176; Trojan.PWS.Banker.4625; Trojan.DownLoader.5921
• [1] eTrust-Vet = não; Win32/Bancos.EVO; não
• [3] Ewido = Downloader.VB.ji; Logger.Banker.bsh; Downloader.Banload.ln
• [3] Fortinet = W32/VB.JI!tr.dldr; Banker.T!tr.pws; W32/Banload.LN!tr.dldr
• [1*] F-Prot4 = não; não; Possibly a new unknown PE_Virus!Maximus
• [3] Kaspersky = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln
• [1] McAfee = não; PWS-Banker.gen.t; não
• [1] Microsoft = não; TrojanSpy:Win32/Banker!A7F5; não
• [3*] NOD32v2 = a variant of Win32/TrojanDownloader.VB.LP; a variant of Win32/Spy.Banker.AXC; probably unknown NewHeur_PE virus
• [3*] Norman = W32/Suspicious_U.gen; W32/Banker.AIWR; W32/Banload.GCB
• [1] Symantec = não; Infostealer.Bancos; não
• [1] UNA = não; Trojan.Spy.Win32.Banker.501A; não
• [3] VBA32 = Trojan-Downloader.Win32.VB.ji; Trojan-Spy.Win32.Banker.bsh; Trojan-Downloader.Win32.Banload.ln

O asterisco (*) indica um antivírus que detectou vagamente alguma ameaça (apenas como suspeita ou provável).

Desde meu artigo de 2 dias atrás, continua melhorando a detecção dos três artefatos que tomei como exemplo pelos diversos antivírus.

Agora, mais quatro antivírus identificaram o primeiro e o terceiro programas malware: AVG, Ewido, Fortinet e VBA32. No caso do Fortinet, ele antes já reportava estes arquivos como “suspeito”, mas agora o antivírus classifica cada ameaça com um nome específico.

Como AVG, Ewido e VBA32 já haviam detectado o segundo artefato, o número de antivírus que detectam as três ameaças passou de 6 para 9, dentre os 27 analisados.