Eu não costumo mexer nas escolhas de anti-virus dos clientes, mas neste caso eu achei melhor apagar o AVG e instalar o AVAST.
Aproveitei que estava de passagem pela oficina de um amigo que prefere o Karsperky Anti Virus e testei lá também. O Karspersky também ignorou o malware no meu pen drive, apesar de suas definições estarem atualizadas até 19/10/2007.
Em casa, usei uma cópia DOS (ScanPM) do Mcafee Anti Virus com definições atualizadas até 18/10/2007 para rastrear meu HDD. O Mcafee encontrou e apagou sem aviso outros vírus antigos que tenho (tinha!) guardados para teste, mas ignorou completamente o arquivo com o Banker-Bot.
Avast.com diz que se trata de uma "família" de vírus chamada Win32:Banker e cita explícitamente os bancos brasileiros, mas não diz desde quando o malware é conhecido. Mas se esta página da Sophos estiver correta, o coisa-ruim é conhecido pelo menos desde fevereiro!
Isso não quer dizer que o AVAST seja superior aos outros anti-virus. É apenas mais uma prova de que não adianta ter anti-virus instalado e atualizado. É preciso também ter bom-senso para não se infectar com essas coisas.
Para quem quiser testar com seu anti-virus, coloquei uma cópia do danado aqui. Cuidado, porque é um ladrão de senhas bancárias. Não tenha nenhuma dúvida quanto ao fato de ser um malware, não importa o quanto seu anti-virus ache que não, dado o comportamento do meliante na máquina do cliente antes de ser removido por mim.
[22/10] Resumo, incluindo testes feitos por leitores:
- NOD32 -
- Norton 2007 -
- AVAST -
- Avira Premium Security Suite -
- Karspersky -
- AVG -
- Mcafee -
- TrenMicro PC-Cilin (testado em 22/10) -
No momento em que eu escrevia este post, recebi mais um daqueles e-mails onde o remetente tenta passar por alguém que me conhece (mas óbviamente não conhece, porque nem sabe meu nome) e oferecendo links para supostas fotos que na verdade são arquivos .exe. Eu baixei um deles para guardar e testei com meu AVAST que, claro, não detectou nada de errado. Eu vou testar novamente daqui há alguns dias, quando o AVAST possivelmente (mas não certamente) saberá do que se trata.
O Nod32 atualizado também detectou!!! C:\Downloads\virus_parasita_malware_Banker-Bot.zip »ZIP »twunk_64.cmd - uma variante modificada de Win32/Spy.Banker.BIG trojan
ResponderExcluirBoa Tarde, Ryan.
ResponderExcluirAcabei de descomprimir o arquivo e o Norton 2007 avisou que havia virus.
Ryan, o Nod32 reconheceu o arquivo antes de terminar o download e nem deixou ser salvo.
ResponderExcluirAbraços
Eu uso o Kaspersky 7 e ele nem deixou o download concluir. Acusou "heur.trojan.generic(modification)".
ResponderExcluirPelo que eu entendi é uma variante de um virus existente pego pela analise heuristica do Kaspersky.
O meu Kaspersky detectou o virus como Heur.Trojan.Generic.
ResponderExcluirUma dica: qdo tiver algum arquivo supeito basta enviar para o site www.virustotal.com q ele verifica nos principais antivirus do mercado e lista o relatório.
Os "BanBra" realmente sempre passam reto pelos AV, a um ano e pouco até meio ano atras via direto, agora sumiram... acho que algum fishing pelo orkut que tinha deles, só pode pra ter tanto usuario pegando aquilo! (AV ou antispy reconhecia como banbra-qualquer-coisa mas não removia, ou só informava qualquer mensagem não preocupante e o usuario ignorava (Como sempre))
ResponderExcluirUsuario pindoramense não é gente lá fora :-)
(Tinha a impressão que o McAfee do Terra era o que tinha essa definição deles como vírus e removia, deve ter alguma info no site da mcafee)
De fato, o NOD32 detectou e colocou o arquivo na quarentena tão logo o zip foi descompactado. :D
ResponderExcluirPessoalmente..
ResponderExcluiro nod32 deixava muito a desejar..
ele é leve.. mas, em algumas versões anteriores, não excluia os vírus devidamente..
Jefferson, após uma atualização grande tanto o AVG FREE quanto o pago estão agora acusando o arquivo "Cavalo de Tróia PSW.Banker4.GIO" quando escaneam o arquivo "twunk_64.cmd". O pessoal do AVG deve ter se antenado a isso, né?
ResponderExcluirVR5,
ResponderExcluirQuando eu submeti uma amostra do malware para o VirusTotal, autorizei-os a submeter a amostra aos desenvolvedores de anti-virus. É de se esperar que de uma hora para outra o bicho passe a ser reconhecido por mais programas.
Com tantos anti-vírus no mercado, fica difícil escolher...
ResponderExcluirHoje um determinado anti-virus é considerado o melhor, amanhã já não é mais!
Ryan,
ResponderExcluirFiz o teste com o Norton Corporate 10.1.X - versões windows e vista funcionou perfeito ;)
Reconheceu o virus:
http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2003-071710-2826-99
Conisgo baixar mas não extrair ou executar ou ver o codigo nada !
o kaspersky7 reconheceu na hora nao deixou nem completar o dowload detectado: vírus Heur.Trojan.Generic URL: http://ryan.com.br/binaries/virus_parasita_malware_Banker-Bot.zip/twunk_64.cmd//PE_Patch//MewBundle//MEW
ResponderExcluir