Começando em outubro, a Linha Defensiva vai publicar todo dia 27 um ranking mensal com as infecções mais comuns no fórum durante o mês, juntamente com uma lista das fraudes que circularam. As estatísticas coletadas através das análises de logs do fórum nos ajudam a saber quais os perigos que mais atormentam os usuários.

Esse mês foi interessante para área de segurança. Os primeiros cavalos-de-tróia atacando videogames quebraram um velho mito de que código malicioso não poderia destruir hardware: ambos os trojans transformam os consoles portáteis em belos tijolos, incapazes de rodar qualquer jogo.

Mesmo assim, os problemas em desktop não foram com vírus que danificam o hardware, mas sim com softwares comerciais que exibem propagandas indesejadas — os adwares: tivemos a volta do Look2Me, um dos adwares mais difíceis de remover e um dos mais agressivos. O CoolWebSearch redirecionou URLs e travou a página inicial de vários usuários.

Os bots — infecções que tornam o micro um zumbi para ser controlado por um cracker — no topo da lista mostra que os computadores dos usuários estão sendo usados cada vez mais pelos criadores de vírus para atividades maliciosas como spam e ataques de negação de serviço.

Nas fraudes, as táticas foram as mesmas de sempre, mas a presença do Banker — o trojan instalado pelas mensagens falsas — no Top 10 mostra que as técnicas, mesmo antigas, são usadas porque ainda funcionam.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

Top 10

  1. 21,6%: Bot

    Variantes de bots. Esses programas formam redes zumbis. Os computadores infectados estavam sob o controle de um cracker. Sendo ela o número 1, isso significa que muitos computadores estavam sendo controlados remotamente por mais de um cracker. Para detalhes, veja a descrição do Agobot. É importante notar que vários Bots estavam se utilizando de componentes de rootkits para permanecer no sistema sem serem detectados pelos antivírus, tornando mesmo a remoção manual dos mesmos um pouco mais complicada.

  2. 7,2%: CoolWebSearch

    Grande parte dos computadores estavam com a página inicial trocada, ou estavam sendo redirecionados para sites maliciosos. Para detalhes, veja o artigo Crônicas do CoolWebSearch, onde várias variantes desse malware são detalhadas. A maioria das variantes da praga podem ser removidas com o CWShredder.

  3. 3,2%: Integrated Search Technologies

    A Integrated Search Technologies no Top10 significa que os usuários estão aceitando instalações ActiveX e baixando cracks para piratear seus softwares. Os produtos da Integrated Search Technologies (ISTBar, XXXToolBar, YourSiteBar, entre outros) são comumente instalados via sites na Internet que prometem um “Plugin” para o navegador. Os produtos dela também podem ser obtidos em sites de pornografia e pirataria (inclusive nos próprios cracks, sendo um “Crack Extractor”).

    Os softwares da IST podem ser removidos através do Adicionar/Remover Programas, ou os arquivos podem ser removidos com o KillBox se isso não funcionar.

  4. 3,2%: Trojan.Repsamo

    Esse é um cavalo-de-tróia que faz o download de outros componentes. A Symantec possui uma descrição detalhada da praga. Para remover, basta seguir as instruções da Symantec, apagando os arquivos e a chave no registro.

  5. 2,9%: C2.LOP

    O C2.LOP (também conhecido como LOP.COM) redireciona a página inicial e exibe barras de anúncios. É instalado pelo Messenger Plus! 3 e Warez P2P, entre outros softwares. Geralmente é possível instalar o programa sem que o LOP o acompanhe. Se você ganhou o LOP.COM instalando um software como o Messenger Plus!, o mesmo deve ser removido. Para mais detalhes veja o tópico no fórum sobre praga.

  6. 2,5%: Banker

    Surpreendentemente, o Banker (cavalo-de-tróia nacional que rouba senhas de banco) foi encontrado nos sistemas dos usuários do nosso fórum. O Banker é comumente obtido quando você clica em links falsos em fraudes online. A presença do Banker significa que o usuário não toma os devidos cuidados para verificar se os links nas mensagens que recebe são verdadeiros ou não.

    Para remover o Banker é necessário apagar os arquivos e a chave no registro, que variam de variante para variante.

  7. 2,5%: Look2Me

    Um dos piores adwares existentes. O Look2Me (também conhecido erroneamente como VX2.BetterInternet) sempre causou problemas para qualquer um que tentasse removê-lo. Ele retira privilégios de debug (geralmente usados para analisar malwares) da conta administrativa, e é inicializado pelo sistema em dois pontos diferentes. O processo do Look2Me não é exibido no Gerenciador de Tarefas, pois ele usa somente DLLs carregadas por outros processos.

    O Look2Me não havia sido encontrado em grande escala anteriormente no fórum Linha Defensiva. Ele se caracteriza por redirecionados para sites terminados em yyy34.html ou yyy12.html nos domínios look2me.com e ad-w-a-r-e.com.

    O Look2Me pode ser removido com o uso do L2MFix, embora ele nem sempre funcione. Outras ferramentas que podem remover a praga são o Ewido e o SpySweeper.

  8. 2,2%: Internet Optimizer

    Um software instalado junto em “bundles” (como a Integrated Search Technologies, acima). Ele redireciona os sites que você exiba e mostra pop-ups, diminuindo a performance e a usabilidade do sistema. Os arquivos podem ser removidos com o KillBox e a chave no registro pode ser apagada manualmente ou com o uso do HijackThis.

  9. 2,2%: New.net

    Por muitos, o new.net não é considerado uma praga maliciosa. Entretanto, muitos usuários afetados por ele afirmam ter problemas em sua conexão, os quais são sanados assim que software é removido. Ele é instalado por diversos softwares de terceiros (Warez P2P, por exemplo) e possivelmente através de “bundles” como o Internet Optimizer.

    Ele pode ser removido através do Adicionar/Remover Programas, mas é necessário cuidado ao removê-lo, pois se houverem erros o computador ficará sem conexão com a Internet.

  10. 2,2%: 180Solutions

    Os programas da 180Solutions (Zango e Internet Search Assistant) exibem pop-ups, diminuindo a performance e a usabilidade do sistema. Ele é comumente instalado pelos mesmos meios que o New.net. Todos os softwares da 180Solutions podem ser seguramente removidos através do Adicionar/Remover Programas.

21,2% das pragas encontrados em logs não foram identificadas. Algumas delas são cavalos-de-tróia que “ajudam” as infecções acima, certificando que as mesmas não sejam removidas pelo usuário. Outras exibem pop-ups ou esperam um comando de um servidor para entrar em ação.

Outras Infecções

O cavalo-de-tróia Vundo (associado ao WinFixer) foi encontrado em alguns logs, o que geralmente não é comum. O HaxDoor (um backdoor que emprega técnicas de rootkit) também foi encontrado em alguns logs.

Tivemos também um único caso do SSA-Keylogger, que é o cavalo-de-tróia utilizado no esquema de roubo de identidade revelado há dois meses atrás.

Fraudes

As fraudes no mês de outubro foram parecidas com fraudes anteriores. A fraude nova mais interessante foi uma que revela uma aliança entre o Orkut e o MSN, que na verdade são concorrentes (o Orkut pertence ao Google).

O famoso e-mail que informa uma pendência com a TIM foi enviado mais de uma vez. Supostas pendências no Serasa e na Fininvest também foram tema de fraudes no mês de outubro.

Fraudes com conteúdo pornográfico também não faltaram. Uma nova variante do e-mail da Lidianny dos Santos também circulou, além de um e-mail divulgando fotos da Playboy e um filme adulto com a Carla Perez.

Em resumo, não houve muitos e-mails interessantes, mas sim uma reciclagem de velhas técnicas já usadas várias vezes antes.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

5 comentários

  1. Parabéns ao Linha Defensiva por mais esta iniciativa de orientar os usuários de computadores. Sou professor de Informática Educacional e sempre oriento os estudantes a fezerem uma visita a este site. Com certeza, esta matéria será também assunto discutido. Aos profissionais da área também é de grande utilidade. Continuem sempre prestativos!

    Curtir

  2. shirlei ferreira do vale 29/10/2005 às 08:49

    não sei como fazer pra que nunca mais apareça a página ADULT FRIEND na tela…não entendo nada e gostaria de obter a ajuda de alguem…é desagradável,pois tenho filha adolescente em casa e que acaba vendo tbm mesmo sem querer…obrigado..

    Curtir

  3. shirlei ferreira

    Por favor veja o nosso fórum. Você se registra e segue as instruções do tópico “Antes de Postar” na área “Remoção de Malware” para colocar um log do HijackThis para que alguém lhe ajude.

    Curtir

  4. edilton ferreira dias de araújo 29/10/2005 às 12:52

    Está de parabéns toda a equipe de Linha Defensiva. Cada palavra é esclarecedora, cada acesso a este site é recompensador. È um trabalho magnífico! Continuem e tenham em cada internauta que navega neste site um eterno visitante e propagador deste trabalho.Parabéns!!

    Curtir

  5. José Alves 29/10/2005 às 17:16

    Desejo parabenizar o autor destas notícias, no que se refere a clareza nas explicações e na disponibilidade dos antídotos para eliminar estas drogas eletrônicas.

    Curtir

Os comentários estão encerrados.