Olá.

Recentemente eu recebi dois e-mails do tipo "Phishing Scam".
Os 2 e-mails possuem conteúdo idêntico, mas com "diferentes links" maliciosos e "diferentes arquivos" (*.com) supostamente perigosos.
Os e-mails são enviados em nome da "Petrobras" e oferecem inscrições para um concurso da empresa. Aqui está o cabeçalho de ambos os e-mails:


No final dos 2 e-mails existe o seguinte texto (idêntico nas duas mensagens) com diferentes links:
"Clique aqui para maiores informações e tirar o Edital"



OBS: No fórum não é permitida a postagem dos links completos para evitar a difusão e infecção acidental de arquivos maliciosos.

Aqui está o resultado das análises dos 2 arquivos sendo um de cada link:



Os laboratórios da Kaspersky afirmam que estes arquivos não são maliciosos.
A minha dúvida é a seguinte: se estes arquivos não são maliciosos, então qual é o intuito de se criar um email fraudulento "Phishing Scam" e distribuí-lo massivamente, fazendo com que os usuários comuns abaixem um arquivo "*.com" e o executem em suas máquinas?

Agradeço antecipadamente.
Clovis.

Cameiro, faça o seguinte:

Use um programa zip, coloque uma senha e envie esse arquivo para o e-mail: newvirus@kaspersky.com, detalhando o ocorrido e informando a senha deste arquivo.
Tão logo o pessoal do Kaspersky verifique esse arquivo, você receberá um e-mail informando o resultado da análise.
Nos mantenha informados.

Oi DonKid. Tudo bem?

Pois é exatamente isto que eu tenho feito há muito tempo (envio de arquivos para a Kaspersky Labs). Ou via Kaspersky ou via e-mail.

O problema é que os analistas da Kaspersky me informaram via email que os arquivos citados acima não são maliciosos.

Isto me deixou surpreso, por isso eu resolvi postar esta dúvida no fórum. E também na tentativa de buscar mais ajuda com novas ameaças.

Como eu sei que eles (os analistas) são super carregados de serviço, eu nem tentei argumentar, afinal eles não são pagos para bater papo.

Ademais, eu levo horas para conseguir escrever coisas em Inglês, o que dificultaria qualquer questionamento da minha parte.

Se não for te dar muito trabalho, eu poderia te mandar os arquivos e você dá uma conversada com o pessoal do laboratório, pois minhas tentativas de envio resultaram nisso:


Eu acho que pode ter alguma coisa errada com a análise. Ou o pessoal que dissemina vírus por aí se equivocou e está distribuindo arquivos inócuos.

Agradeço desde já a atenção dispensada.
Clovis.

Clovis, faça o seguinte:

Compacte esses arquivos com senha, coloque em um site como o rapidshare, e mande uma mensagem para mim, informando o link e a senha.

Mensagem enviada.

Muito obrigado,
Clovis.

Clovis,

Segue o email:

consultar_destino(1).com_,
consultar_destino.com_

No malicious code were found in these files.

consultar_destino(2).com_

This file has 0 bytes length.

consultar_destino(3).com_ - Trojan-Downloader.Win32.Banload.ynz

New malicious software was found in this file. It's detection will be included in the next update.


Algum dos arquivos tinha tamanho 0 byte, por isso era inofensivo e não era detectado.
A vacina será incluída na próxima atualização.

Eu já informei o Admin do site onde está hospedado o trojan.

Meus parabéns! Excelente trabalho DonKid.
Eu sabia que só precisava pedir ajuda para pessoa certa.

Os dois arquivos têm tamanhos idênticos, mas possuem diferentes conteúdos.
Talvez o 7-zip tenha feito alguma bobeira na hora de compactá-los.
De qualquer forma, ambos os arquivos foram detectados. Isto é o que importa!
Em todo caso, através de MP estou lhe passando o link para download dos dois arquivos novamente, só que desta vez, compactados separadamente.
A Kaspersky Lab, além de ter um ótimo produto, possui também um dos melhores fóruns de suporte que eu já vi.

Mais uma vez, muito obrigado.
Até a próxima.
Clovis.