Todos os posts tagados antivirus

Fraude UPS – Delivery problem # Error ID9287

Fraude UPS - Delivery problem # Error ID9287

Tenho recebido imensos emails deste género e cujo ficheiros malware apresentam um baixo rácio de deteção por parte dos antivirus.

O ficheiro compactado em zip é detetado apenas por 2 em 44 antivirus no VT e descompactado, o ficheiro Copy_of_UPS_Label.exe não é detetado por nenhum antivirus no VT. Algo fora de vulgar neste tipo de spam com conteúdo malicioso.
O mesmo ficheiro executável foi submetido por mim nas sandboxes públicas Malwr e Anubis.

O email em si, tem o seguinte cabeçalho:

Return-Path: personal-information@upss.com
Received: from upss.com (OSHWON95-2925431600.sdsl.bell.ca. [174.94.139.48])
by mx.google.com with SMTP id uh5si1598234vec.13.2012.10.19.06.55.56;
Fri, 19 Oct 2012 06:55:57 -0700 (PDT)
Received-SPF: neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of personal-information@upss.com) client-ip=174.94.139.48;
Authentication-Results: mx.google.com; spf=neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of personal-information@upss.com) smtp.mail=personal-information@upss.com
Message-ID: 001201cdae01$7640b991$6502a8c0@upstairsback2
From: “UPS Express” personal-information@upss.com
To: xxxxxx
Subject: Delivery problem # Error ID9287
Date: Fri, 19 Oct 2012 A.D. 09:55:56 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_000C_01CDADDF.EF2E3EB0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

O malware efetua as seguintes operações num sistema operativo infetado:

  • Executa novos processos na memória
  • Destrói ficheiros do sistema
  • Modifica definições de segurança do Internet Explorer
  • Cria entrada no registo do sistema

A própria empresa UPS atualizou a sua página de combate a emails fraudulentos com este novo spam que está a circular por toda a web.

Fraude – AVISO! Policia de Seguranca Publica

AVISO! Policia de Seguranca Publica

Este email fraudulento já anda a circular pelas caixas correio algum tempo e como o número de contactos sobre este assunto é muito, fica aqui no WebSegura.net o alerta.

O remetente ragabesh@terra.com.br, como devem saber (ou deviam saber) não é nenhuma entidade representativa da PSP.

Se o utilizador clicar no link que acompanha este email, vai abrir a página e-sopoong.com, provavelmente comprometida para o efeito, e ser apresentado com uma nova janela para fazer o download de… malware (Processo_1769.exe). Se o utilizador não clicar, a página maliciosa automaticamente requisita o pedido de download.

Submeti a amostra para as sandboxes públicas, que podem consultar:

O malware é detectado, segundo o VirusTotal, numa taxa de 53,5% de sucesso pelos antivírus.

Se por algum motivo instalou este software malicioso, é altamente recomendando instalar software de remoção de malware, como por exemplo o Malwarebytes.

Antivírus gratuitos falham teste no Android

Segundo o estudo realizado pelo AV Test, os antivírus gratuitos não têm o desempenho adequado em comparação com os antivírus pagos.

Contudo, o software Zoner AntiVirus Free teve um desempenho superior em relação aos outros AV gratuitos.

De facto, penso que os actuais valores para a compra de software AV são compensados com a possibilidade de perda de informação. Mas esta é a minha opinião…

Portugal sobe ao 20º país mais infectado

Hoje numa press note da Panda Security:

O recentemente publicado Relatório Trimestral do PandaLabs referente ao terceiro trimestre de 2011, deu a conhecer o ranking dos países mais infectados, cujos dados agora actualizados mostram um ligeiro aumento mas voltam a confirmar a liderança da China (62,6%), seguindo-se Taiwan (53,75%) e Turquia (50,6%), todos acima da média de 43,10% dos PCs infectados conforme mencionado. O seguinte gráfico demonstra os 20 países com maiores níveis de infecção nos últimos nove meses do ano, com Portugal precisamente em 20º lugar (34,92%), subindo da 24ª posição verificada no final de Setembro (30,26%).

(…)

Na minha opinião, não me surpreende esta posição. Pouco ou nada se faz para informar das boas práticas de segurança em Portugal.

VampCrypt – um crypter que ultrapassa a protecção dos antivírus

No blogue Abysssec foi publicado um artigo sobre como ultrapassar a maioria dos antivírus. Utilizando um simples algoritmo de encriptação e desencriptação, os autores conseguiram alcançar o objectivo de criar um crypter, intitulado de VampCrypt, que consegue tornar  software malicioso FUD (Fully UnDetectable).

Esperemos que seja um alerta para as empresas de software antivírus.