É um golpe bem construído, sob a ótica de que, você acaba ficando na dúvida se realmente tem um cliente com este nome.
Logicamente, se você não é vendedor, você na hora simplesmente vai deixar de lado o email, já que considerará que o mesmo veio por acidente para você. Se você for um vendedor, uma dúvida pairará no ar, e caso você não olhe bem o endereço irá cair novamente naqueles famosos golpes bancários.
COMERCIO E REPRESETACOES LIGEN LTDA . ENDEREÇO: RUA OLIVERIO PILAR, 66 CEP.18000-000 SP-SOROCABA ligen_representacoes@yahoo.com.br
Sorocaba- SP, 27 de Abril de 2006
Solicitamos através desta, orçamento para os itens descriminados no arquivo em anexo no link abaixo, assim como prazo e formas de pagamento, na certeza da mais alta colaboração e urgência, para cumprimento de todas as nossas obrigações.
Sem mais para o momento desde já agradecemos vossa colaboração.
Arquivos em Anexo(s): Lista para Orçamento. (15KB)
Atenciosamente,
Liger Mario Perucckin Diretor Administrativo
Normalmente, os golpes que circulam a internet, possuem uma variação do texto acima.
Lista_de_Orcamento.exe : O arquivo está hospedado em http://www.gratisweb.com/empresaslingen/Lista_de_Orcamento.exe , ou seja, já demonstra ser algo estranho. Nas outras muitas “análises” que fizemos por aqui, a gratisweb se mostrou um dos lugares onde a maioria dos Scammers deixam os arquivos para golpes.
Assim, o download foi efetuado. Coloquei o arquivo direto no site Jotti’s malware scan, para uma análise, e por sua vez, foi encontrado uma variação do trojan Downloader que efetua o download de um arquivo de um local específico. Assim, esperei que o Norman Virus Control me mostrasse o local onde o arquivo que seria feito o download estaria. Abaixo a mensagem que o antivírus mostrou :
Found Sandbox: W32/Downloader; [ General information ]
- File length: 41472 bytes.
[ Changes to filesystem ]
- Creates file C:\WINDOWS\SYSTEM32\imgrt.scr.
[ Network services ]
- Downloads file from http://pacotes02.ubbihp.com.br/real/meunovissimo.jpg as C:\WINDOWS\SYSTEM32\imgrt.scr.
[ Security issues ]
- Starting downloaded file - potential security problem.
Ou seja, é efetuado o download de um arquivo jpg que por sua vez, é renomeado como um arquivo scr assim que chega na máquina.
Para que a análise fosse melhor feita, acabei procurando o arquivo meunovissimo.jpg. O arquivo contém o trojan Win32/Spy.Banker.AWA, ou seja, nosso amigo Banker de novo mantendo presença. Fim das contas, é um golpe que quer levar o seu dinheiro.
Não efetue o download e nem a execução do arquivo :-)