Março foi mais agitado que fevereiro e trouxe mais infecções dos cavalos-de-tróia que roubam senhas de Banco. Os bots continuando caindo, e, nas demais posições, adwares ainda continuam dominando o número de infecções presentes no fórum. No geral, março foi muito parecido com fevereiro, apesar do movimento maior.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

  1. 13,9%: Bots

    Bots formam as botnets ou “redes zumbi”. Os bots estão em primeiro lugar desde que a Linha Defensiva publica as estatísticas. Eles já causaram problemas até mesmo em hospitais. Surpreendentemente, o número de bots — pelo menos no fórum — continua caindo.

  2. 11,5%: Bankers

    Trojans que roubam senhas de banco. O número de infecções do Banker está subindo desde que a Linha Defensiva publica as estatísticas. O mais comum desses trojans é o Trojan-Spy.Win32.Banker.ahy, que exibe uma mensagem de erro ao ser iniciado, causa problemas no desligamento da máquina e rouba as senhas.

    A melhor maneira de evitar problemas com fraudes bancárias é não ser infectado por um desses trojans. Eles são distribuídos com o uso de diversos e-mails falsos, então a melhor maneira de se proteger é tomar cuidado com os links em mensagens de e-mail.

  3. 5,5%: Smitfraud

    Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados.

    A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon, Antivirus Gold e SpySheriff. O mais novo membro da família do Smitfraud é o “Spyware Quake”, que também pode ser removido com o tutorial do SpyAxe.

  4. 4,5%: Adware Genérico

    Diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

    A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

  5. 4,5%: Look2Me

    O Look2Me (também conhecido como AD-w-a-r-e e L2M)) é o pior adware da atualidade. Ele se instala com arquivos aleatórios e utiliza métodos pouco comuns para se inicializar com o sistema. Ele também retira permissões de debug da conta administrativa, dificultando o exame da máquina infectada. O Look2Me exibe propagandas de diversas tipos e, geralmente, o que faz o usuário pedir ajuda é a dificuldade de usar o PC devido a enorme quantidade de pop-ups.

    Remover o Look2Me sempre é um problema, pois novas versões do adware são lançadas periodicamente, o que torna as ferramentas de remoção inúteis. A ferramenta mais atual para removê-lo é o Look2Me-Destroyer.

  6. 4,5%: C2.LOP

    O C2.LOP ou Lop.com é o adware instalado pelo Messenger Plus. Ele exibe pop-ups, barras de anúncios e, em algumas versões, também troca a página inicial do usuário. Antigamente, C2.lop era conhecido por ser o único hijacker que modificava também a página inicial do Netscape, além do Internet Explorer.

    A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto. O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona.

  7. 4,3%: 180Solutions

    A 180Solutions é, atualmente, uma das empresas mais criticadas no meio anti-spyware. Diversas vezes, a ‘180’ acusou diversos defensores de privacidade como “fanáticos” e rejeitou as críticas feitas ao seu software. Recentemente, diversos anunciantes abandonaram a empresa quando descobriram sobre suas práticas pouco éticas para instalar o software no sistema do usuário.

    Felizmente, os softwares da 180Solutions (MediaGateway/Zango) podem ser desinstalados pelo Adicionar/Remover Programas. Ignore o aviso que lhe diz que alguns programas podem parar de funcionar caso você os desinstale, pois é mentira.

  8. 3,8%: CoolWebSearch

    CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. A versão mais comum do CoolWebSearch, atualmente, é a “Secure32”, que muda a página inicial do navegador para abrir o arquivo secure32.html, que diz que o computador está infectado. A versão Secure32 é instalada juntamente com algumas versões do Smitfraud.

    Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.

  9. 3,1%: Sua-Foto

    Praga encontrada no mês passado que se espalha via MSN Messenger com mensagens prometendo uma foto “sua”. Como a Linha Defensiva disponibilizou uma ferramenta de remoção, o número de casos no fórum (que são contados nas estatísticas) diminuíram. A ferramenta teve mais de 8000 downloads.

  10. 2,8%: Integrated Search Technologies

    A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

    Note que aqui também foram agrupados adwares da eXact Advertising, já que esses são comumente incluídos com os “produtos” da IST.

20% das infecções se tratavam de trojans genéricos que podem ser removidos simplesmente apagando os arquivos no Modo de Segurança. A maioria desses trojans são responsáveis pela instalação das infecções acima.

Sistemas Operacionais

A lista abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua inalterada desde a primeira vez que foi publicada, em janeiro.

Windows XP SP2 60,5%
Windows XP SP1 16,3%
Windows XP Gold (Sem SP) 10,2%
Windows 98/98SE 6,1%
Windows 2000 SP3/SP4 4%
Windows ME 1,4%
Windows 2000 Gold(sem SP)/SP1/SP2 0,5%
Windows 2003 SP1 0,5%
Windows 95 0,5%

Fraudes

Cartões virtuais falsos do VoxCards, HumorTadela, Flores e Orkut não faltaram, como é de costume. Mas circularam também “Fotos exclusivas do assassinato de Roberto Jefferson“, “passes livres para o Globo Media Center” e falsos avisos de que sua conta no Orkut será excluída.

Não faltaram também falsas declarações de amor, mensagens falsas que mostravam “fotos” provavando que você está traído, falsas notificações de débito na Embratel, SPC, Serasa e na Americanas, além de falsas ferramentas que prometiam instalar correções no sistema para parar o envio de spam.

É interessante notar que várias dessas fraudes já circularam anteriormente pela Internet e estão sendo enviadas novamente com pequenas modificações. Você não deve deixar de ficar atento e verificar todos os e-mails que você recebe pela possível presença de um link malicioso.

Descobrir se um link é malicioso não é uma tarefa difícil. Basta colocar o mouse sobre o link e verificar o canto inferior esquerdo da tela. Ali deve aparecer o endereço onde o link aponta. Se o endereço não pertencer ao site que você quer visitar ou o link terminar em “EXE, “SCR”, “CMD” ou “PIF”, é muito provável que se trate de um cavalo-de-tróia.

Alguns e-mails fraudulentos também estão incluindo códigos para forçar o navegador a carregar o arquivo malicioso automaticamente — mas ainda assim é necessário clicar em “Abrir” ou “Salvar”. Apenas um dos e-mails levava o usuário para um link de uma imagem “WMF” que poderia explorar uma falha no Internet Explorer, mas o link estava off-line quando a Linha Defensiva examinou o e-mail.

A Linha Defensiva agradece todos que enviam mensagens fraudulentas para análise através do AntiVirus Safe.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.