Antivírus contra programas de fraude no Brasil

Ontem eu analisei um programa de fraude no serviço Virus Total e apenas 5 dos 27 antivírus utilizados (18,5%) tinham detectado o artefato como um programa fraude bancária. 24 horas depois, mais dois antivírus já detectavam a ameça, passando para 26% o índice de antivírus efetivos.

Considerando que o arquivo testado aparentemente começou a circular na madrugada de 4 de agosto de 2006 (data to arquivo no endereço web apontado pela fraude) e a data em que os arquivos de dados de cada antivírus foram atualizados pelo serviço VirusTotal, a evolução na eficácia dos antivírus foi razoável.

Tomei mais dois outros programa de fraude que recebi — um de 3 de agosto e outro de 6 de agosto — e avaliei também a detecção de ambos nos 27 antivírus usados no serviço VirusTotal. Veja os resultados:

Antivírus que detectaram pelo menos uma das três ameças (com data dos arquivos de dados usados):

  • [3] BitDefender – (07/08/2006) Win32.Worm.VB.AR; (06/08/2006) – Generic.Banker.Delf.C095A38D; (07/08/2006) BehavesLike:Trojan.Downloader
  • [3] DrWeb – (06/08/2006) Trojan.DownLoader.3176; (06/08/2006) Trojan.PWS.Banker.4625; (06/08/2006) Trojan.DownLoader.5921
  • [3] Kaspersky – (07/08/2006) Trojan-Downloader.Win32.VB.ji; (06/08/2006) Trojan-Spy.Win32.Banker.bsh; (07/08/2006) Trojan-Downloader.Win32.Banload.ln
  • [3] NOD32v2 – (05/08/2006) a variant of Win32/TrojanDownloader.VB.LP; (05/08/2006) a variant of Win32/Spy.Banker.AXC; (05/08/2006) probably unknown NewHeur_PE virus
  • [2] AntiVir – (06/08/2006) TR/Dldr.VB.JI.560; (05/08/2006) TR/Banker.Delf.EC
  • [2] CAT-QuickHeal – (04/08/2006) Suspicious – DNAScan; (04/08/2006) Suspicious – DNAScan
  • [2] Fortinet – (07/08/2006) suspicious; (07/08/2006) suspicious
  • [2] F-Prot4 – (06/08/2006) Possibly a new unknown PE_Virus!Maximus; (06/08/2006) Possibly a new unknown PE_Virus!Maximus
  • [1] McAfee – (04/08/2006) New Malware.n
  • [1] Panda – (06/08/2006) Suspicious file

Antivírus que não detectaram nenhum dos três (com data dos arquivos de dados):

  • Authentium (06/08/2006)
  • Avast (04/08/2006)
  • AVG 386 (05/08/2006)
  • ClamAV (06/08/2006)
  • eTrust-InoculateIT (06/08/2006)
  • eTrust-Vet (04/08/2006)
  • Ewido (06/08/2006)
  • F-Prot (06/08/2006)
  • Ikarus (04/08/2006)
  • Microsoft (04/08/2006)
  • Norman (04/08/2006)
  • Sophos (06/08/2006)
  • Symantec (07/08/2006)
  • TheHacker (07/08/2006)
  • UNA (04/08/2006)
  • VBA32 (06/08/2006)
  • VirusBuster (06/08/2006)

Pretendo continuar acompanhando a evolução da detecções por mais alguns dias. Vejamos.

Anatomia de uma fraude (2)

Os indícios de fraude por e-mail sempre estão presentes. Reiterando as características que citei em meu artigo de alguns dias atrás, veja mais um exemplo recente.

[photopress:anatomia_scam_02.png,full,centered]

A mensagem diz ser do serviço “OCarteiro.com”, mas ao pousar o mouse sobre o link e observar o real endereço de destino, novamente os indícios de fraude ficam óbvios.

  1. mensagem1288.exe: o link é para o download de um programa Windows (EXE), e não uma página de cartãoo virtual. Em geral, nenhum conteúdo “saudável” na Internet costuma ser distribuído como executável.
  2. www.40drinks.net: este domínio de destino não tem nada a ver com OCarteiro.com.
  3. O próprio texto da fraude indicava que o link seria para http://ocarteiro.com.br/lercartao.php?id=..., portanto não se parece nem um pouco com seu real destino. Além disso, o link exibido no texto apresenta um número de identificação para o cartão (59554A46821571) e logo adiante no texto é apresentado outro (1902667279A7383).
  4. Outra característica comum em fraudes: o nome do remetente contém o assunto da mensagem, ao invés de conter um nome como se esperaria. Deve ser porque quem constrói essas fraudes sequer sabe a diferença entre “Subject” (Assunto) e “From” (Remetente) de um e-mail.

Detalhe: na fraude, está exibido um banner de publicidade que diz: “Proteja seu PC [computador] de intrusos, curiosos e invasores”. Será coincidência ou ironia?

E se apesar de tudo a pessoa ainda é trouxa o bastante para resolver clicar no link, olhe só o que o navegador Internet Explorer 6, por exemplo, alertaria:

[photopress:ie6_download_aviso.png,full,centered]

Download de Arquivo – Aviso de Segurança

(…) Este tipo de arquivo [executável] pode danificar seu computador. Se você não confiar em sua origem, não execute nem salve este software.

Note que a opção sugerida, portanto, é “Cancelar”. E o link “Qual é o risco?” ainda apresenta informações adicionais úteis, na Ajuda do Windows. Assim, não é por falta de aviso e informação que alguém vai dizer que deixou o programa nocivo entrar.

Por fim, utilizei o excelente serviço gratuito Virus Total para analisar o arquivo mensagem1288.exe simultaneamente em 27 sistemas antivírus atuais. Pelo menos 5 deles identificaram o arquivo como um malware (programa maléfico), do tipo spyware (programa espião), mais especificamente um típico keylogger (gravador de digitação) que visa roubar senhas de bancos brasileiros digitadas em páginas de Internet Banking.

Embora isso indique que ainda são poucos os antivírus que conseguem identificar prontamente as dezenas de variantes de spyware que surgem a cada dia (neste caso, 5 em 27, menos de 20%), mostra que ter um antivírus sempre atualizado ainda representa esperança de proteção.

Os antivírus tradicionalmente são preparados para — como o próprio nome diz — combater vírus e vermes; e em geral são muito eficientes contra estes inimigos. Spywares e Keyloggers, porém, são uma categoria diferente de programas nocivos, que tiveram sua incidência intensificada nos últimos tempos. Os antivírus estão adaptando seus mecanismos para serem eficientes também contra este tipo de mal.

Mulheres e maçãs

Recebi de uma “maçã no topo da árvore” as seguintes citações, inspiradoras.

As melhores mulheres pertencem aos homens mais atrevidos.
(frase atribuída a Machado de Assis)

Mulheres são como maçãs em árvores. As melhores estão no topo.
Os homens não querem alcançar essas maçãs boas, porque têm medo de cair e se machucar. Preferem pegar as maçãs podres que ficam no chão, que não são boas como as do topo, mas são fáceis de se conseguir.
Assim, as maçãs boas que estão no topo da árvore pensam que há algo errado com elas, quando na verdade eles é que estão errados.
Elas têm que esperar um pouco para o homem certo chegar, aquele que é valente o bastante para escalar até o topo da árvore.

Aproveitei para ver quanto e desde quando este texto circula na Internet e recorri ao “pai de todos na Internet” — o Google — para pesquisar por citações. O texto foi encontrado em pelo menos 291 páginas, boa parte delas em blogs (como este).

Uma das referências mais interessantes foi a feita por Paulo Rebêlo no seu blog Hipopocaranga, em 7 de julho de 2004. Ele não se limitou a citar o texto, mas sim construiu uma crônica que comenta e critica o tópico.

Provavelmente, o texto começou a circular na Internet por e-mail. As citações mais antigas que encontrei na web foram: uma postagem na lista de discussão “Grupo do Tonel”, de 1º de dezembro de 2003; e no weblog “Idéias e poemas” em 3 de dezembro. Ou seja, este texto circula há mais de 2 anos e meio.

A redação às vezes varia ligeiramente, de uma citação para outra. Mas observei um fato curioso. Quando a citação é feita por mulheres, afirma que “eles estão errados” (em se contentarem com as maçãs do chão), mas o blog masculino de dezembro de 2003, por exemplo, escreve que “elas estão erradas” (em achar que há algo de errado consigo). Como não consegui confirmar o autor real das citações, não sei qual variante é a original. Mas creio que as duas versões circulantes têm razão em seus pontos de vista.

Enquanto isso, vou tentando escalar minha macieira… 😉

Anatomia de uma fraude

Reconhecer fraudes recebidas por e-mail e não ser enganado por elas, na maioria dos casos, é muito fácil. Em primeiro lugar, poderia citar algumas “regras de ouro” simples que ajudam sempre:

  • Não seja ingênuo! Desconfie, observe, avalie e critique o que você recebe por e-mail ou encontra na web.
  • Na dúvida, não clique! Pense duas vezes e tenha certeza antes de clicar em qualquer link que vê pela frente.

Mas você poderia me perguntar: Desconfiar de quê? Observar o quê?

Então, vamos pegar um exemplo prático e identificar algumas características essenciais que se aplicam à maioria das fraudes enviadas por correio eletrônico. A imagem apresentada aqui é a reprodução de uma das muitas fraudes que recebo por e-mail diariamente. Este exemplo recente (24 de julho) é de uma fraude que supostamente oferece fotos de orgia em uma “festa na FGV”.

[photopress:anatomia_scam_01.png,full,centered]

Destaquei na reprodução da fraude alguns elementos principais. Veja:

  1. Antes de clicar, passe o ponteiro do mouse sobre o link e observe o endereço de destino, exibido na barra de estado do cliente de e-mail ou navegador web.
  2. Observe o endereço de destino; quase sempre ele aponta para domínios suspeitos e estranhos, sites de hospedagem gratuita/anônima, em países longínquos etc.
  3. Uma informação crucial: preste atenção no nome do arquivo ao final do link, principalmente a extensão após o último ponto, que determina o tipo do arquivo. Neste caso, é .cmd. EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, MSI são extensões executáveis pelo sistema operacional Windows, o que significa que o arquivo trata-se de um programa, e não de imagem ou vídeo, como sugere a fraude. Este programa deve ser provavelmente um verme (causador de danos), um spyware (rouba-senhas), ou outro programa maléfico.
  4. Fique atento às divergências que muitas vezes o próprio texto mal-elaborado da fraude deixa como pista. A mensagem diz que o arquivo deve se chamar facul.zip, quando o link indica que é na verdade fotos.cmd.
  5. Por falar em texto mal elaborado, ortografia e gramática certamente não são o forte dos fraudadores. Erros de português são muito comuns em fraude e este exemplo não foi exceção: escreveram “poribido” ao invés de “Proibido”.

Pronto. Em poucos segundos, você consegue ver diversas pistas escancaradas que revelam que a mensagem se trata de uma fraude.

Vale saber que boa parte das fraudes que circulam no Brasil atualmente consiste em mensagens que inventam uma desculpa para atrair a curiosidade do ingênuo destinatário e fazê-lo clicar em um link, aceitar o download e executar um programa em Windows (se você usa Linux ou MacOS, você está a salvo destas ameaças). O exemplo apresentado é assim.

O que varia é o tema da mensagem de fraude: dívidas, traição, sexo, escândalo, promoção… sempre na esperança de algum desses temas atingir a atenção, curiosidade e ingenuidade de uma parte dos milhões de pessoas para as quais cada fraude é enviada.

Se você quiser ver mais centenas de exemplos de fraudes, organizados por grupos de tema, recomendo meu artigo Scam – A fraude inunda o correio eletrônico. Assuste-se ou divirta-se, mas, sempre: previna-se!

Faça spam e ganhe prêmios?!

No fim de julho, recebi mais uma variante do boato do celular de graça:

Notebook Ericsson Gratis

A empresa Ericsson está distribuindo gratuitamente “lap tops” com o objetivo de se equilibrar com a Nokia, que está fazendo o mesmo. A Ericsson deseja assim aumentar sua popularidade. Por esse motivo, está distribuindo gratuitamente o novo Lap Top WAP.

Tudo o que é preciso fazer é enviar uma cópia deste e-mail para 8 (oito) conhecidos. Dentro de 2 (duas) semanas você receberá um Ericsson T18. Se a mensagem for enviada para 20 (vinte) ou mais pessoas, você poderá receber um Ericsson R320. Importante! É preciso enviar
uma cópia do e-mail para [email protected]

Não é trote. Funciona.
Boa Sorte!!!

Ericsson e Nokia têm que aguentar esse boato circulando há alguns anos, ressurgindo de tempos em tempos como aconteceu agora. Será que alguém realmente acredita que Nokia e Ericsson vão dar celular de graça, que a AmBev vai dar kit de cerveja, que Bill Gates vai dar dólares e por aí vai, tudo isso promovendo a condenável prática do spam (isto é, fazendo as pessoas enviarem dezenas de e-mails para seus contatos)? Francamente!…

Para mais informações:

É, acredite nestes boatos, faça spam e ganhe prêmios, quem sabe um chapéu de trouxa.