Um e-mail falso tenta se passar por um aviso da Symantec que possui um link para uma suposta ferramenta de remoção para o trojan Backdoor.Agent.B.
Note que o link exibido no e-mail para a ferramenta é verdadeiro se você copiar e colar o link no seu navegador. Por outro lado, se você clicar no link você será levado para outro arquivo também com o nome de FxAgentB.exe.
O arquivo é um trojan de banco e aparentemente o único antivírus que o detecta como tal é o AVG, detectando-o como PSW.Banker.27.S. Os demais antivírus o detectam como um Trojan-Dropper, principalmente relacionado com o SennaOne, um “juntador” de arquivos. Aparentemente a ferramenta de remoção está realmente dentro do arquivo, junto com o trojan, para que, quando você execute, a ferramenta de remoção seja exibida e o trojan também seja instalado, assim enganando o usuário.
Curiosidade
O Backdoor.Agent.B foi a primeira grande epidemia About:Blank relacionada com o CoolWebSearch. Este foi o nome dado pela Symantec para a variante RealYellowPage do CoolWebSearch.
Até hoje, a ferramenta da Symantec é a única capaz de remover essa infecção sem o auxílio de outros passos manuais. Até mesmo variantes mais novas do CoolWebSearch, como o HomeSearchAssistant (HSA) são removidas pelo CWShredder, enquanto a RealYellowPage, mesmo sendo antiga, não é.
Linha Defensiva 