O ano de 2005 termina com os bots ainda liderando as infecções, seguido de diversos adwares, hijackers e o mais novo na lista: spambots. O worm de MSN “Olha minha foto” também apareceu na lista, mostrando que o mais novo vetor de infecção — as mensagens instantâneas — é realmente efetivo contra usuários desinformados.

O mês de dezembro de 2005 será claramente lembrado pelo worm brasileiro que espalhou por MSN, conhecido como “Olha Minha Foto”. A ferramenta de remoção, disponibilizada pela Linha Defensiva, teve mais de 75 mil downloads, o que significa que milhares de pessoas foram infectadas e precisaram da ferramenta para remover o worm.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

Top 10

  1. 21,9%: Bots

    Variantes de bots. Esses programas formam redes zumbis. Os computadores infectados estavam sob o controle de um cracker. Sendo ela o número 1, isso significa que muitos computadores estavam sendo controlados remotamente por mais de um cracker. Para detalhes, veja a descrição do Agobot. É importante notar que vários Bots estavam se utilizando de componentes de rootkits para permanecer no sistema sem serem detectados pelos antivírus, tornando mesmo a remoção manual dos mesmos um pouco mais complicada.

  2. 8,3%: Smitfraud

    O Smitfraud se caracteriza pelo papel de parede trocado para um que diz que você está infectado por alguma praga e impossibilita a troca do mesmo. Ele também inclui anti-spywares fraudulentos (como SpyAxe, SpyTrooper, SpySheriff e PSGuard) que indicam infecções que não existem no computador, enganando o usuário para que o mesmo adquira um software que não detecta nem remove praga alguma. A Linha Defensiva possui um tutorial de remoção para essa praga.

  3. 5,2%: CoolWebSearch

    CoolWebSearch é o nome genérido dado para diversos hijackers — cavalos-de-tróia que modificam a página inicial. Para detalhes, veja o artigo Crônicas do CoolWebSearch, onde várias variantes desse malware são detalhadas. A maioria das variantes da praga podem ser removidas com o CWShredder.

  4. 4.6%: Olha minha foto

    O worm de MSN “Olha Minha Foto” só está em quarto lugar devido a ferramenta de remoção disponibilizada pela Linha Defensiva, que resolveu a grande maioria dos casos. Apenas os casos em que a ferramenta não funcionou é que foram parar no fórum para serem contabilizados nas estatísticas. A ferramenta de remoção teve mais de 75 000 downloads, somando-se as versões BAT e ZIP.

  5. 3,9%: C2.Lop

    O C2.LOP (também conhecido como LOP.COM) redireciona a página inicial e exibe barras de anúncios. É instalado pelo Messenger Plus! 3 e Warez P2P, entre outros softwares. Geralmente é possível instalar o programa sem que o LOP o acompanhe. Se você ganhou o LOP.COM instalando um software como o Messenger Plus!, o mesmo deve ser removido. Para mais detalhes veja o tópico no fórum sobre praga.

  6. 2,6%: Look2Me

    O Look2Me (também conhecido erroneamente como VX2.BetterInternet) é um adware que exibe pop-ups comerciais agressivamente. Ele sempre causou problemas para qualquer um que tentasse removê-lo, pois retira privilégios de debug (geralmente usados para analisar malwares) da conta administrativa e é inicializado pelo sistema em dois pontos diferentes do sistema que dificilmente são usados por malwares. O processo do Look2Me não é exibido no Gerenciador de Tarefas, pois ele usa somente DLLs carregadas por outros processos.

    A Linha Defensiva recomenda o uso do L2MFix em conjunto com o SpySweeper para removê-lo no Windows 2000/XP. No Windows 9x/ME, a ferramenta L29xMFix é geralmente suficiente. Se nada disso resolver, a ferramenta L2MRemover, da SimplyTech, pode ser usada.

  7. 2,6%: Banker

    O Banker é um cavalo-de-tróia que captura senhas usadas em sites de bancos. Ele está pela terceira vez no Top10, o que mostra que esses golpes podem ficar cada vez mais comuns se os usuários não tomarem cuidado. O Banker é comumente obtido quando você clica em links falsos em fraudes online. A presença do Banker significa que o usuário não toma os devidos cuidados para verificar se os links nas mensagens que recebe são verdadeiros ou não.

    O fato do Banker figurar pela terceira vez consecutiva no Top10 é preocupante, já que esses trojans são responsáveis pelo roubo de contas em vários bancos do país.

  8. 2,6%: Integrated Search Technologies

    A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

  9. 2,4%: 180Solutions

    A 180Solutions distribui e desenvolve três adwares: WindUpdates, Zango e 180Search Assistant. Esses três programas exibem pop-ups que podem irritar o usuário e diminuir o desempenho do computador. É possível remover qualquer um dos programas através do Adicionar/Remover Programas.

  10. 2,2%: SpamBot

    Spambots apareceram pela primeira vez no fórum. Spambots são “proxies” usados para spam. Basicamente, seu computador se torna um zumbi que serve apenas para enviar spam. A maioria dos usuários detectou o problema ao verificar atividade incessante na rede e programas firewall alertando sobre envio de e-mails.

    Os passos para remoção variam, pois como existem diversas variantes. Geralmente basta remover a chave de inicialização e depois apagar o arquivo do trojan. Alguns deles utilizam drivers de sistema e módulos, que dificultam o processo e podem necessitar de passos mais complicados para a remoção.

Fraudes

Variantes do e-mail “Você está sendo Traído” foram enviadas múltiplas vezes — às vezes 3 ou 4 vezes em apenas um dia.

E-mails falsos também tentaram se passar por Cartões UOL e notificações do Banco Central. Esses e-mails, como de costume, possuíam um link para um arquivo .EXE ou .SCR que instalava uma variante do trojan Banker, que apareceu em sétimo lugar nas estatísticas.

A Linha Defensiva registrou também e-mails falsos do Humor Tadela e falsas recomendações da Rádio Terra.

Note que as mensagens são enviadas com inúmeras variações, portanto o texto do e-mail falso pode ser sempre diferente. Tome cuidado!

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website