Top10: Novembro/2005

A Linha Defensiva publica, pela segunda vez, as estatísticas de infecções e fraudes coletadas através do Fórum. As estatísticas de novembro mostram que os adwares dominam ainda mais a lista de problemas, mostrando que os programadores de código malicioso querem cada vez mais lucro com suas ações.

O mês de novembro será lembrado pela descontinuação de dois firewalls gratuitos e muito populares: Kerio e Sygate. A Kerio disse que o firewall não trazia retorno financeiro satisfatório, enquanto a Symantec — que adquiriu a Sygate — cancelou os produtos da Sygate provavelmente por serem concorrentes da família Norton.

Esse mês foi marcado também pelo fiasco da Sony e seu software DRM (proteção contra cópia). O uso de tecnologias rootkit para esconder o software do usuário gerou uma grande discussão em torno da linha que separa a proteção contra cópia e o direito do consumidor a ter um produto seguro. [Veja um resumo do episódio: O fiasco do software DRM da Sony]

Mesmo assim, o rootkit da Sony (e o cavalo-de-tróia que foi criado para usá-lo) não foram encontrados no fórum. Abaixo você confere o resumo do mês.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

Top 10

1. 12,7%: Bots

   Variantes de bots. Esses programas formam redes zumbis. Os computadores infectados estavam sob o controle de um cracker. Sendo ela o número 1, isso significa que muitos computadores estavam sendo controlados remotamente por mais de um cracker. Para detalhes, veja a descrição do Agobot. É importante notar que vários Bots estavam se utilizando de componentes de rootkits para permanecer no sistema sem serem detectados pelos antivírus, tornando mesmo a remoção manual dos mesmos um pouco mais complicada.

2. 11,7%: CoolWebSearch

   CoolWebSearch é o nome genérido dado para diversos hijackers — cavalos-de-tróia que modificam a página inicial. Para detalhes, veja o artigo Crônicas do CoolWebSearch, onde várias variantes desse malware são detalhadas. A maioria das variantes da praga podem ser removidas com o CWShredder.

3. 6,9%: Smitfraud

   O Smitfraud se caracteriza pelo papel de parede trocado para um que diz que você está infectado por alguma praga e impossibilita a troca do mesmo. Ele também inclui anti-spywares fraudulentos que indicam infecções que não existem no computador, enganando o usuário para que o mesmo adquira um software que não detecta nem remove praga alguma. A Linha Defensiva possui um tutorial de remoção para essa praga.

4. 4,7%: Integrated Search Technologies

   A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

5. 4,5%: Look2Me

   O Look2Me (também conhecido erroneamente como VX2.BetterInternet) é um adware que exibe pop-ups comerciais agressivamente. Ele sempre causou problemas para qualquer um que tentasse removê-lo, pois retira privilégios de debug (geralmente usados para analisar malwares) da conta administrativa e é inicializado pelo sistema em dois pontos diferentes do sistema que dificilmente são usados por malwares. O processo do Look2Me não é exibido no Gerenciador de Tarefas, pois ele usa somente DLLs carregadas por outros processos.

   A Linha Defensiva recomenda o uso do L2MFix em conjunto com o SpySweeper para removê-lo no Windows 2000/XP. No Windows 9x/ME, a ferramenta L29xMFix é geralmente suficiente.

6. 3,9%: Repsamo

   O cavalo-de-tróia Repsamo (também conhecido como Cimuz) é uma praga que funciona para instalar outras, ou seja, ele é responsável pela instalação de diversas pragas e também por reinstalá-las caso alguma seja removida. Geralmente o usuário nota a presença desse trojan quando o antivírus detecta um vírus no arquivo wincapi.dll. Você pode conferir um tutorial de remoção da praga.

7. 2,9%: C2.LOP

   O C2.LOP (também conhecido como LOP.COM) redireciona a página inicial e exibe barras de anúncios. É instalado pelo Messenger Plus! 3 e Warez P2P, entre outros softwares. Geralmente é possível instalar o programa sem que o LOP o acompanhe. Se você ganhou o LOP.COM instalando um software como o Messenger Plus!, o mesmo deve ser removido. Para mais detalhes veja o tópico no fórum sobre praga.

8. 2,9%: Banker

   O Banker é um cavalo-de-tróia que captura senhas usadas em sites de bancos. Ele está pela segunda vez no Top10, o que mostra que esses golpes podem ficar cada vez mais comuns se os usuários não tomarem cuidado. O Banker é comumente obtido quando você clica em links falsos em fraudes online. A presença do Banker significa que o usuário não toma os devidos cuidados para verificar se os links nas mensagens que recebe são verdadeiros ou não.

   Para remover o Banker é necessário apagar os arquivos e a chave no registro, que variam de variante para variante.

9. 2,9%: 180Solutions

   A 180Solutions distribui e desenvolve três adwares: WindUpdates, Zango e 180Search Assistant. Esses três programas exibem pop-ups que podem irritas o usuário e diminuir o desempenho do computador. É possível remover qualquer um dos programas através do Adicionar/Remover Programas.

10. 1,5%: Hotbar

    O Hotbar não é um software malicioso, mas muitos usuários não sabem o que ele faz nem como e quando foi instalado. Isso se deve ao fato que o Hotbar é instalado por websites através de ActiveX sem que o usuário tenha muitas informações sobre o que ele está instalando. Ele é, portanto, considerado um software indesejado, conhecidos como crapware ou foistware.

    O Hotbar pode ser facilmente removido através do Adicionar/Remover Programas ou usando-se o desinstalador disponibilizado pela própria Hotbar.

23,4% das pragas encontradas nos logs não foram identificadas. Algumas delas são cavalos-de-tróia que “ajudam” as infecções acima, certificando que as mesmas não sejam removidas pelo usuário. Outras exibem pop-ups ou esperam um comando de um servidor para entrar em ação (backdoors genéricos). Essas infecções são geralmente agrupadas pelas companhias de antivírus nas famílias Clicker, Small e Agent.

Outras Infecções

A Direct-Revenue, que transformou seu antigo Aurora no The Best Offers, teve 1,3% das infecções. Ao contrário do Aurora, que necessite um extenso processo de remoção, o The Best Offers pode ser removido facilmente apagando-se a pasta do programa.

Não tivemos nenhum caso do Sober, que está se espalhando agressivamente pela Internet de acordo com diversas companhias antivírus. O worm envia uma mensagem falsa do FBI ou da CIA e pede para que o usuário execute o arquivo anexado, que infecta o sistema com o worm. Embora nenhuma infecção foi registrada no nosso fórum, ainda vale o alerta: não abra o anexo de qualquer mensagem que diz ser do FBI ou da CIA.

Fraudes

As fraudes continuam usando os velhos truques de “Alguém enviou um cartão para você” e pendências no SPC, Serasa, entre outros, como o da Americanas.com, que pede confirmação de um pedido inexistente feito junto ao site de compras online Americanas.com. O link, como é de costume, leva ao código malicioso, que é uma variante do trojan Banker.

Fraudes usando falsos cartões MusicalCards e cartões Namorando também foram enviadas mais de uma vez com pequenas modificações no conteúdo do e-mail.

A fraude relacionada com uma falsa atualização do MSN Messenger foi enviada novamente (ela foi enviada pela primeira vez na metade do ano), mostrando que os crackers ainda acreditam em velhos truques para infectar os usuários.