Um e-mail falso tenta se passar por um aviso da Symantec que possui um link para uma suposta ferramenta de remoção para o trojan Backdoor.Agent.B.

Note que o link exibido no e-mail para a ferramenta é verdadeiro se você copiar e colar o link no seu navegador. Por outro lado, se você clicar no link você será levado para outro arquivo também com o nome de FxAgentB.exe.

O arquivo é um trojan de banco e aparentemente o único antivírus que o detecta como tal é o AVG, detectando-o como PSW.Banker.27.S. Os demais antivírus o detectam como um Trojan-Dropper, principalmente relacionado com o SennaOne, um “juntador” de arquivos. Aparentemente a ferramenta de remoção está realmente dentro do arquivo, junto com o trojan, para que, quando você execute, a ferramenta de remoção seja exibida e o trojan também seja instalado, assim enganando o usuário.

Curiosidade

O Backdoor.Agent.B foi a primeira grande epidemia About:Blank relacionada com o CoolWebSearch. Este foi o nome dado pela Symantec para a variante RealYellowPage do CoolWebSearch.

Até hoje, a ferramenta da Symantec é a única capaz de remover essa infecção sem o auxílio de outros passos manuais. Até mesmo variantes mais novas do CoolWebSearch, como o HomeSearchAssistant (HSA) são removidas pelo CWShredder, enquanto a RealYellowPage, mesmo sendo antiga, não é.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.