O mês de fevereiro foi mais tranqüilo que janeiro. Embora menos logs infectados tenham sido analisados pela Linha Defensiva, os Bankers — cavalos-de-tróia que roubam senhas de banco — conseguiram atingir a segunda colocação no top 10, subindo da terceira do mês passado. O worm de MSN ‘Sua foto’ também aparece, em 5º.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

Top 10

  1. 16,1%: Bots

    Bots formam as botnets ou “redes zumbi”. Os bots estão em primeiro lugar desde que a Linha Defensiva publica as estatísticas. Eles já causaram problemas até mesmo em hospitais. Nesse mês, houve uma redução no número de Bots, mas é bem provável que o número de infecções aumente novamente em março.

  2. 7,9%: Banker

    Bankers são os cavalos-de-tróia utilizados pelos responsáveis pelas fraudes bancárias pela Internet. O número de infecções com Banker aumentou muito recentemente. Em sua maioria, Bankers são vírus simples de serem removidos, mas o principal problema é que muitos antivírus não conseguem detectar os Bankers por atacarem computadores no Brasil.

    A melhor maneira de evitar as fraudes é não ser infectado por um desses trojans. Eles são distribuídos com o uso de diversos e-mails falsos, então a melhor maneira de se proteger é tomar cuidado com os links em mensagens de e-mail.

  3. 7,6%: Smitfraud

    Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados.

    A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon, Antivirus Gold e SpySheriff.

  4. 6,7%: CoolWebSearch

    CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. A versão mais comum do CoolWebSearch, atualmente, é a “Secure32”, que muda a página inicial do navegador para abrir o arquivo secure32.html, que diz que o computador está infectado. A versão Secure32 é instalada juntamente com algumas versões do Smitfraud.

    Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.

  5. 4,3%: Sua-Foto

    Praga que se espalhou esse mês no MSN Messenger com mensagens prometendo uma foto “sua”. Como a Linha Defensiva disponibilizou uma ferramenta de remoção, o número de casos no fórum (que são contados nas estatísticas) diminuíram. A ferramenta teve mais de 6500 downloads.

  6. 3,8%: Adware Genérico

    Diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

    A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox.

  7. 3,8%: Look2Me

    O Look2Me (também conhecido como “AD-w-a-r-e”) havia desaparecido do top 10. Em dezembro de 2005 ele estava na sexta posição, mas com apenas 2,6% das infecções. Apesar de um maior número de ocorrências do que no fim de 2005, ele conseguiu apenas a sétima posição esse mês.

    Remover o Look2Me sempre é um problema, pois novas versões do adware são lançadas periodicamente, o que torna as ferramentas de remoção inúteis. A ferramenta mais atual para removê-lo é o Look2Me-Destroyer.

  8. 3,8%: C2.lop

    O conhecido adware responsável pela “barra azul do Messenger Plus!”. Também conhecido como LOP.COM, ele redireciona a página inicial e exibe barras de anúncios. É instalado pelo Messenger Plus! 3 e Warez P2P, entre outros softwares. Geralmente é possível instalar o programa sem que o LOP o acompanhe. Se você conseguiu o LOP.COM instalando um software como o Messenger Plus!, o mesmo deve ser removido. Para mais detalhes veja o tópico no fórum sobre praga.

  9. 2,9%: 180Solutions

    Um dos desenvolvedores de adware mais conhecidos. A 180Solutions está atualmente tentando justificar seu modelo de negócios, mas organizações de defesa do consumidor continuam iniciando processos e reclamações com os órgãos do governo para impedir a empresa de instalar ilegamente seu adware “Zango”, que exibe pop-ups mesmo quando o usuário não está visitando nenhum dos sites patrocinados pelo programa.

  10. 2,9%: Integrated Search Technologies

    A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

21,1% das infecções se tratavam de trojans genéricos que podem ser removidos simplesmente apagando os arquivos no Modo de Segurança. A maioria desses trojans são responsáveis pela instalação das infecções acima.

Sistemas Operacionais

Os números abaixo são baseados apenas nos logs que possuíam pelo menos uma infecção. A ordem não mudou absolutamente nada em relação ao mês de janeiro.

Windows XP SP2 63,9%
Windows XP SP1 12,9%
Windows XP Gold (Sem SP) 12,9%
Windows 98/98SE 4,8%
Windows 2000 SP3/SP4 3,4%
Windows ME 0,7%
Windows 2000 Gold(sem SP)/SP1/SP2 0,7%
Windows 2003 SP1 0,7%

Os criadores de vírus adotaram o exploit do WMF como o “padrão” para infectar o Windows XP. A falha também afeta o SP2, então não faz muita diferença utilizar o SP2 ou um SP1 se eles não estiverem com os últimos patches instalados.

É interessante notar que esses números são influenciados pelo número de sistemas usados. Como o Windows 2000 é menos utilizado que o XP, é natural que haja um número maior de sistemas XP infectados.

Fraudes

Além dos já conhecidos truques como cartões virtuais e falsos alertas sobre inclusão no SPC, também circularam fraudes usando animações da Katilce e do Mundo Canibal. Os links, como sempre, levam o usuário até um arquivo .scr que possui o instalador de um Banker.

E-mails informando sobre falsos processos por danos morais, versões inexistente de um plugin do MSN e promoções da Copa de 2006 também circularam.

Todos os meses os criminosos digitais tentam novos truques para infectar cada vez mais usuários com os “Keyloggers” que roubam senhas de banco, os Bankers. Sempre que você receber um e-mail, desconfie de sua autenticidade.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

4 comentários

  1. Paulo Altoe 01/03/2006 às 20:05

    Depois de ler esse artigo, e como sempre achei, as pragas mais perigosas semprem requerem um “dedinho” do usuário. Portanto, nunca é demais avisar: mantenha seu sistema operacional atualizado, bem como o antivirus, tenha um antispy instalado e atualizado, e NAO abra emails q vc nao conheça a origem!!! hehehehe… parece obvio mas ainda acontece.. e como! seja paranoico com segurança… assim vc tem menos chance de ser infectado!!!

    Curtir

  2. Cadastre um usuário LIMITADO para o uso no dia-a-dia.

    Só use o “administrador” quando estritamente necessário

    Curtir

  3. Gostaria de alertar também as empresas que recebem propostas para orçamento..trabalho no segmentos de marmores e granitos e no mes passado recebi um e-mail solicitando orçamento da Cia. Vale do Rio Doce… ficam atentos.. essa empresa se trata de uma estatal, portanto, qualquer orçamento deve ser feito por meio de licitaçao..CUIDADO..sempre fiquem atentos quanto ao procedente dos e-mails na duvida não abra.. pois o remetente do e-mail, se realmente quiser virá confirmá-lo depois.

    Curtir

  4. Também qro alertar quanto aquela charger do Humortadela !!
    Constantemente recebo e-mails dessa charger e acredite e pura picaretage virus e mais virus !!
    Portanto qdo qzr realmente se divertir cm essa charge sem problemas desde que o usuário entre no link………… mais qdo receber qlqr tipo de e-mail dessa charge …………. normalmente vem assim: ALGUEM QUE NAO TINHA NADA O QUE FAZER SE LEMBROU DE VOCE !!
    Saio fora ………….. pura robada !!
    Abração a todos e fiquem espertos !!

    Curtir

Os comentários estão encerrados.