Confusão causada por vírus e antivírus
Giordani Rodrigues
2/6/2004
A cara-de-pau dos scammers (golpistas da Internet) realmente não tem limites. Prova disso é o falso e-mail que foi detectado hoje, 2 de junho, circulando pela rede. Como se já não bastasse a confusão causada por worms, como Netsky e Bagle, e os avisos de contaminação enviados de programas antivírus para usuários inocentes, os golpistas criaram uma mensagem fraudulenta baseada num desses avisos. Quem cair na armadilha poderá ter sua conta bancária “zerada”.
Para entender o golpe, é preciso conhecer o funcionamento de alguns worms atuais e de softwares antivírus instalados em servidores. Um desses worms é o Netsky, cujo nome foi utilizado no esquema fraudulento. O Netsky consegue infectar uma máquina A e recolher quantos endereços de e-mail puder encontrar no sistema. Em seguida, cria uma mensagem infectada usando o endereço de e-mail de um usuário B e a envia para um usuário C. Ambos os endereços estavam presentes na máquina A.
Só isso já é suficiente para criar uma bela confusão, pois o usuário B pode jamais ter tido sua máquina infectada e mesmo assim seu endereço estará circulando como remetente de vírus pela Internet. Mas para piorar ainda mais a situação, alguns provedores instalaram antivírus no gateway de seus servidores e deixaram habilitada uma configuração que avisa o suposto remetente de uma mensagem contaminada, quando esta é detectada pelo sistema.
Acontece que, como o Netsky e outros worms semelhantes forjam o endereço dos remetentes destas mensagens, vários usuários receberão avisos de um provedor sem nunca ter enviado vírus a ninguém. Ou seja, o remédio se torna pior do que a doença, e muitos usuários têm ficado desesperados ao receberem os tais avisos.
Foi nesta brecha que os golpistas se infiltraram. Aproveitando um dos avisos em português, gerado pelo MAV Antivírus, criaram uma falsa mensagem com um link para “atualizar o antivírus” e “remover o vírus” do sistema. Mas o link, na verdade, leva a um trojan, que até o momento em que este texto foi ao ar ainda estava disponível no endereço //www.meumundo.americaonline.com.br/vacinas2004/MAV-Antivirus.exe.
O trojan foi identificado como Troj_Bancos.P, um programa projetado para simular teclados virtuais de vários bancos brasileiros, entre eles o Banco do Brasil, o Itaú e o Bradesco, roubar as senhas dos correntistas e enviar, por e-mail, as informações para os golpistas.
A falsa mensagem é um primor de cinismo. Os textos originais foram modificados, de tal forma a indicar que se trata de uma fraude, mas de maneira sutil o suficiente para enganar os usuários menos atentos. A frase “vírus enviado pelo seu computador”, por exemplo, foi substituída por “vírus enviado para seu computador”. Já a frase “a mensagem foi enviada para a(s) seguinte(s) pessoa(s)”, seguida do endereço de e-mail para onde o vírus teria sido enviado, foi substituída simplesmente por “esse vírus foi enviado para vária(s) pessoa(s)”.
Neste ponto, deve-se frisar também que o aviso legítimo do MAV Antivírus, comercializado no Brasil pela Mais Informática, é, por si só, uma pérola. Sem considerar as possibilidades de falsificação de remetentes empregadas por vários worms modernos, a mensagem declara categoricamente: “Nosso antivírus detectou que você mandou um e-mail contendo o(s) seguinte(s) vírus”. Logo depois, vem a indicação do vírus detectado. Quem recebe uma mensagem como esta e não tem noção das técnicas de disseminação dos worms atuais, sofre um verdadeiro choque, principalmente usuários novatos ou mais impressionáveis, que se assustam apenas com a menção da palavra “vírus”.
Vários outros produtos antivírus têm enviado avisos semelhantes a internautas inocentes, mas a mensagem do MAV Antivírus, ao afirmar que “você mandou um e-mail” contendo um vírus, é uma das mais ostensivas. Uma cópia da mensagem verdadeira pode ser vista aqui, e comparada com a mensagem falsa, aqui.
Fonte: InfoGuerra