| >
Na
semana passada recebi um scam cujo texto é o seguinte:
“Sou
um amigo seu esse é um aviso
Você
esta sendo traído, não tive coragem de te falar mas como
imagens falam mais que palavras faça o download das fotos e veja
com os seus próprios olhos
VEJA
AS FOTOS
Foi
a única maneira que encontrei para te avisar”
Clicar
em VEJA
AS FOTOS para
fazer o download conduz ao seguinte endereço:
http://paginas.aol.com.br/trwmar/cartao.exe
, de onde é baixado o arquivo cartão.exe.
A
mensagem me chegou com o Assunto: oi paixão!!! E Remetente
<lembrei de você>.
Até aí tudo certo, seria apenas mais um Phishing Scam entre tantos outros que rodam pela Internet. Estranho
para mim foi que ao submeter o arquivo cartão.exe para análise so site Vírus Total que se utiliza de nada
menos que onze Antivírus diferentes nada foi detectado:
Respuesta
del servidor
Resultado
del analisis de un archivo
Este
es el resultado de analizar el archivo "cartao.exe"
que VirusTotal ha procesado el dia 15/06/2004
a las
23:39:05.
|
Antivirus
|
Version
|
Actualización
|
Resultado
|
|
BitDefender
|
7.0
|
15.06.2004
|
-
|
|
eTrustAV-Inoc
|
4641
|
15.06.2004
|
-
|
|
F-Prot
|
3.14e
|
14.06.2004
|
-
|
|
Kaspersky
|
3.0
|
15.06.2004
|
-
|
|
McAfee
|
4.2.60
|
14.06.2004
|
-
|
|
NOD32v2
|
1.789
|
14.06.2004
|
-
|
|
Norman
|
5.70.01
|
12.05.2004
|
-
|
|
Panda
|
7.02.00
|
15.06.2004
|
-
|
|
Sybari
|
7.50.1138
|
15.06.2004
|
-
|
|
Symantec
|
8.0
|
15.06.2004
|
-
|
|
TrendMicro
|
1.00
|
13.06.2004
|
-
|
VirusTotal
es un servicio gratuito ofrecido por Hispasec Sistemas, que no
garantiza la disponibilidad y
continuidad
de funcionamiento de este. No responda a este mensaje, ha sido
enviado por un servicio
automatizado
que no atenderá a sus respuestas. Pese a que el indice de
detección ofrecido por el análisis
simultaneo
de múltiples motores antivirus es muy superior al de un solo
producto, los resultados NO pueden
garantizar
la inocuidad de un archivo. No existe solución que pueda ofrecer
un 100% de efectividad en el
reconocimiento
de virus y malware en general.
Intrigado com a resposta pois tinha certeza que tal arquivo não poderia ser inocente utilizei os Scans Online
da Symantec, Panda e Trend Micro e novamente nenhum deles detectou nenhum perigo...
Enviei o arquivo suspeito para a Webimmune da Macfee e o resultado do rastreamento online foi inconclusivo
mas depois recebi e-mail deles reportando que numa análise mais minuciosa efetuada por um especialista
foi detectado o elemento PWS-Bancos:
A.V.E.R.T. Sample Analysis
Issue Number: 889321
Virus Research Analyst - Hong Kong: V. Nguyen
Identified: PWS-Bancos
AVERT(tm) Labs, Hong Kong
Thank
you for submitting your suspicious file.
Constatei ainda que esse malware está catalogado nos sites da Mcafee, Trend Micro e Symantec, não é novo
e tem diversas variantes, é especializado em roubar dados para acessar contas bancárias de bancos
brasileiros. Entrei em contato com duas empresas de antivírus relatando o fato e pedindo esclarecimentos
mas não obtive nenhuma resposta.
Conclusão
Mesmo
com antivírus atualizados o risco de contaminação e
consequentes transtornos existe. É necessário
cuidado
extremo com mensagens que trazem links para arquivos a serem
baixados.
Links
relacionados:
Fraudes
online: antigos golpes ainda causam grandes prejuízos
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1085574277,86653,
Golpes
de "phishing" crescem 180% em abril
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1085780096,79824,
Virus
Total
www.virustotal.com
Infos
sobre o malware
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.bancos.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BANCOS.A
http://vil.nai.com/vil/content/v_100798.htm
|
