Top10: Janeiro/2006

O ano de 2006 começa com um aumento preocupante no número de infecções de Bankers (trojans que roubam senhas de banco), mas com os bots ainda liderando a lista. O trojan WinFixer, que é semelhante ao Smitfraud, também aparece entre os top 10. Nas fraudes é possível perceber mais agressividade e diversificação nos e-mails falsos.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

Top 10

1. 20,9%: Bots

   No topo da lista desde que a Linha Defensiva publica as estatísticas, esses são os famosos programas que formam as redes ‘zumbi’. Bots se espalham usando falhas remotas do Windows, que já possuem correção há muito tempo. Para ter idéia de como um bot funciona, veja a descrição do Agobot.

   Para se proteger, atualize o Windows ou instale um firewall. A recomendação é fazer as duas coisas.

2. 10,9%: Smitfraud

   O SmitFraud é a infecção que instala anti-spywares maliciosos no computador. SpySheriff, PestTrap, PSGuard, SpyAxe, SpyTrooper e, mais recentemente, o SpywareStrike. A principal características da praga é um “X” vermelho perto do relógio do Windows que mostra a mensagem “Your system is infected”.

   A Linha Defensiva possui um tutorial de remoção para essa praga e também um tutorial separado para o SpyAxe/SpywareStrike.

3. 7,4%: Banker

   O Banker é o cavalo-de-tróia que rouba as senhas usadas em bancos e, mais recentemente, Orkut e MSN. Ele foi responsável por um prejuízo de 300 milhões aos bancos. O Banker apareceu pela primeira vez no top 10 em outubro, em sexto lugar, com apenas 2,5% das infecções. Apesar de ter subido para 2,9% em novembro, ele só conseguiu o oitavo lugar. Em dezembro, ele apareceu em sétimo lugar com 2,6% das infecções.

   Nesse mês, com um aumento de 308% nas ocorrências em relação a dezembro, o Banker aparece em terceiro lugar. Principalmente no início do mês, o número de infecções com a versão system32.exe do Banker foi preocupante. É possível dizer que isso é resultado do enorme número de e-mails fraudulentos enviados e do aumento na qualidade desses e-mails.

4. 5,6%: CoolWebSearch

   CoolWebSearch é o nome genérido dado para diversos hijackers — cavalos-de-tróia que modificam a página inicial. Para detalhes, veja o artigo Crônicas do CoolWebSearch, onde várias variantes desse malware são detalhadas. A maioria das variantes da praga podem ser removidas com o CWShredder.

5. 5,6%: C2.lop

   O C2.LOP (também conhecido como LOP.COM) redireciona a página inicial e exibe barras de anúncios. É instalado pelo Messenger Plus! 3 e Warez P2P, entre outros softwares. Geralmente é possível instalar o programa sem que o LOP o acompanhe. Se você ganhou o LOP.COM instalando um software como o Messenger Plus!, o mesmo deve ser removido. Para mais detalhes veja o tópico no fórum sobre praga.

6. 3,2%: Adware Genérico

   Esse mês também teve um aumento no número de “adwares genéricos”. A maioria dos adwares são bem conhecidos (como 180Solutions e IST), mas alguns raramente aparecem ou sequer possuem um nome. Esses “adwares sem nome” foram classificados como adwares genéricos.

   A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox.

7. 2,6%: 180Solutions

   Os produtos da 180Solutions continuam causando problemas para os usuários devido aos pop-ups incessantes e a diminuição de performance causada pelo aparecimento de tais pop-ups. Esse mês a 180Solutions está sendo processada pelo CDT por práticas ilegais de instalação do seu software.

   A maioria dos programas da 180 Solutions podem ser removidos usando-se o Adicionar/Remover Programas do Painel de Controle. Procure por “Media Access”, “WindUpdates”, “Media Gateway”, “Zango” ou “180Search Assistant” no Adicionar/Remover Programas. Se você encontrar, se trata de um software da 180 Solutions que deve ser desinstalado.

8. 2,4%: IST

   A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

9. 2%: WinFixer

   O WinFixer é um programa que deveria “consertar o Windows”. O programa é feito pela mesma empresa que faz o “WinAntivirus 2005”, que é um programa que usa o nome da Symantec para aumentar suas vendas, tornando o produto uma fraude. O WinFixer é instalado sem o consentimento do usuário.

   Para remover, é necessário reiniciar o computador no Modo de Segurança e apagar a pasta “WinFixer 2005”, que fica em Arquivos de Programas.

10. 1,8%: RxToolBar

    O RxToolbar é uma barra instalada no IE. O RxToolbar é instalado pelo Kazaa, mas é possível que existam outros meios que o RxToolbar esteja usando para se instalar, já que vários usuários infectados com o RxToolbar não possuíam o Kazaa instalado.

    O RxToolbar, como muitos adwares, pode ser removido através do Adicionar/Remover Programas. Se você tem o Kazaa, é necesário desinstalar o Kazaa.

17,1% das infecções se tratavam de trojans genéricos que podem ser removidos simplesmente apagando os arquivos no Modo de Segurança. A maioria desses trojans são responsáveis pela instalação das infecções acima.

Sistemas Operacionais

Nesse mês a Linha Defensiva traz uma novidade: estatísticas dos sistemas operacionais. Qual a versão do Windows mais usada por aqueles que postaram logs infectados?

Windows XP SP2	53,27%
Windows XP SP1	16,15%
Windows XP Gold	13,1%
Windows 98/98SE	9,17%
Windows 2000 SP3/SP4	3,49%
Windows ME	1,74%
Windows 2000 Gold(sem SP)/SP1/SP2	2,62%
Windows 2003 SP1	0,43%

É interessante ver que o Windows XP SP2, que deveria ser mais seguro que os demais, está instalado em mais da metade das máquinas infectadas analisadas. Muitas das infecções se devem à falha no processamento de arquivos WMF, que atingia computadores com Windows XP SP2 da mesma forma que os que não tinham o Service Pack instalado.

Muitos usuários instalam o Windows já com o Service Pack 2 e depois esquecem de rodar o Windows Update para continuar com o sistema atualizado. Assim, os sistemas não estão protegidos contra as falhas mais novas. Como a maioria dos trojans sempre se utilizam das falhas mais recentes para infectar o sistema, esses sistemas com Service Pack 2 continuam vulneráveis.

Fraudes

Os e-mails fraudulentos estão sendo enviados com cada vez mais agressividade e diversidade.

Alguns dos e-mails novos esse mês se faziam passar pela Telemar convidando para o BBB, um alerta sobre um vírus inexistente, passaportes para a copa do mundo e até mesmo mensagens de amor. Todos os e-mails foram enviados diversas vezes com pequenas variações. E-mails falsos do site ParPerfeito e de promoções do Boticário também circularam esse mês.

Apesar dos golpes novos, os crackers ainda não desistiram dos truques velhos. Diversos e-mails prometendo cartões virtuais foram enviados, junto com mensagens “Você está sendo traído” e infinitas variações de um e-mail de uma “suposta amiga que te ama” prometendo fotos.

Infelizmente, as ‘novidades’ nas tentativas de fraudes ainda continuam. Os criminosos digitais estão testando novos vetores para se infiltrar nos computadores dos usuários desatentos. Entre eles está o uso do AdWords, do Google, para criar anúncios que levam ao trojan.

A Linha Defensiva também recebeu notícias de que um novo worm estaria se espalhando por MSN. O worm, assim como o “Olha Minha Foto”, estaria relacionado com fraudes bancárias, mas o link para o download do worm estava inativo quando o recebemos.