Abril de 2006 foi o mês mais agitado da Linha Defensiva desde a sua criação, com quase 400 casos analisados pela equipe do fórum. Os bots continuam em primeiro — posição que seguram desde o início da publicação das estatísticas. Bankers continuam em segundo (marca que atingiram em março), seguidos de dois worms de MSN que se espalharam no mês, totalizando 3 códigos maliciosos brasileiros no top 10 de abril.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

  1. 12,89%: Bot

    Bots formam as botnets ou “redes zumbi”. Usuários infectados com bots são controlados remotamente pelo criador do vírus e são utilizados para diversos propósitos, incluindo ataques de negação de serviço (derrubar sites) e envio de e-mail não-solicitado (spam). Máquinas infectadas com bots podem apresentar uso agressivo e incessante da rede quando o bot ativa sua função de procurar por sistemas vulneráveis para infectar.

  2. 10,58%: Banker

    Banker é o grupo de cavalos-de-tróia que rouba senhas de banco. Essas senhas são depois usadas para transferências bancárias fraudulentas. Para roubar as senhas, os Bankers monitoram as teclas digitadas, capturam cliques e até mesmo filmam a atividade do usuário enquanto navega no site do banco. A informação coletada é enviada via e-mail, FTP ou HTTP.

    Trojans desse tipo são espalhados via e-mail, MSN Messenger e Orkut, mas é sempre necessário acessar um link malicioso (recebido através de uma mensagem ou scrap) para ser infectado. Eles também podem ser instalados através de falhas no Internet Explorer, portanto atualizar o navegador de Internet é importante para evitar essa (e outras) infecções.

    Veja mais sobre os Bankers em um texto no fórum.

  3. 6,64%: Fofocas Brasil

    Praga que se espalha via links no MSN Messenger e foi encontrada no dia 17 de abril. Na análise da Linha Defensiva, a praga não roubou nenhuma senha de banco. Ao invés disso, criou uma rede zumbi, de forma semelhante aos bots. Como o sistema de “bot” do vírus é muito limitado e o worm não se baseou em bots comuns (como Agobot, SdBot, Spybot, RBot, entre outros), ele não foi agrupado aos bots mais avançados (que estão em primeiro lugar). Para mais informações e instruções para remoção, veja o alerta publicado pela Linha Defensiva.

    Nota: A ferramenta de remoção disponibilizada pela Linha Defensiva teve 23 000 downloads, que não foram contados como hosts infectados para não desequilibrar as estatísticas. Nem todos que baixaram a ferramenta estavam infectados e muitos deles possuíam outras pragas na máquina, então somente as análises completas feitas no fórum foram contabilizadas.

  4. 6,24%: MSN Sapo Motoqueiro

    Outra praga que se espalhou via MSN. Essa foi encontrada no dia 11 e rouba senhas de banco. Recebeu o nome pelas mensagens prometendo um vídeo do “Sapo Motoqueiro”. Mais tarde, o worm foi reconfigurado e passou a enviar um vídeo do Michael Jackson. A Linha Defensiva publicou uma ferramenta de remoção para a praga, que pode ser obtida no informativo sobre o worm.

    Nota: As ferramentas de remoção disponibilizadas pela Linha Defensiva para remover este worm tiveram, em conjunto, mais de 100 000 downloads que não foram contados como hosts infectados para não desequilibrar as estatísticas. Nem todos que baixaram a ferramenta estavam infectados e muitos deles possuíam outras pragas na máquina, então somente as análises completas feitas no fórum foram contabilizadas.

  5. 5,69%: C2.LOP

    O C2.LOP ou Lop.com é o adware instalado pelo Messenger Plus. Ele exibe pop-ups, barras de anúncios e, em algumas versões, também troca a página inicial do usuário. Antigamente, C2.lop era conhecido por ser o único hijacker que modificava também a página inicial do Netscape, além do Internet Explorer.

    A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona.

  6. 5,29%: Adware Genérico

    Diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

    A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

  7. 4,21%: Smitfraud

    Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados.

    A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon/Spyware Quake, Antivirus Gold e SpySheriff.

  8. 3,79%: New.net

    A classificação do New.net é difícil de determinar. Não é spyware, pois não coleta dados, nem é adware, porque não exibe propagandas. O new.net é um software que adiciona suporte a sites terminados em “.mp3”, “.shop”, “.gratis”, “.amor”, “.escola”, entre outros. O problema é que ter um site com um desses nomes (vendidos somente pela new.net) custa o mesmo que um site “.com”, por exemplo, mas somente os usuários do new.net é que podem acessá-los, o que significa grande parte dos internautas não podem chegar aos sites sem digitar “nomedosite.mp3.new.net”, por exemplo.

    A atividade da new.net também é considerada ruim para a Internet, já que, caso algum dia “.mp3” seja tornado um tipo de site “oficial”, haverá conflitos entre os sites vendidos pela new.net e os alocados pela ICANN, o que significa que usuários do new.net não poderão acessar os sites registrados legalmente.

    Por causar problemas na conexão da maioria dos usuários, o new.net é simplesmente chamado de “foistware” ou “crapware”: softwares ruins, que fazem algo ruim e que você não quer ter em seu micro, pois causa problemas pra você e para a Internet em geral. O new.net pode ser desinstalado pelo Adicionar/Remover Programas, mas em alguns casos a desinstalação pode quebrar a corrente/escada LSP do Windows, que deverá ser reconstruída para que a Internet funcione.

  9. 3,52%: CoolWebSearch

    CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. A versão mais comum do CoolWebSearch, atualmente, é a “findthewebsite”, que muda a página inicial do navegador para um site de busca. Ela é instalada juntamente com algumas versões do Smitfraud.

    Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.

  10. 2,57%: Look2Me

    O Look2Me (também conhecido como AD-w-a-r-e, ZestyFind e L2M) é um dos piore s adwares da atualidade, junto com o NaviPromo e Apropos. Ele se instala com arquivos aleatórios e utiliza métodos pouco comuns para se inicializar com o sistema. Ele também retira permissões de debug (SeDebugPrivilege) da conta administrativa, dificultando o exame da máquina infectada. O Look2Me exibe propagandas de diversas tipos e, geralmente, o que faz o usuário pedir ajuda é a dificuldade de usar o PC devido a enorme quantidade de pop-ups.

    Remover o Look2Me sempre é um problema, pois novas versões do adware são lançadas periodicamente, o que torna as ferramentas de remoção inúteis. A ferramenta mais atual para removê-lo é o Look2Me-Destroyer.

13,43% das infecções se tratavam de trojans genéricos que podem ser removidos simplesmente apagando os arquivos no Modo de Segurança. A maioria desses trojans são responsáveis pela instalação das infecções acima.

Sistemas Operacionais

A lista abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua praticamente inalterada desde a primeira vez que foi publicada, em janeiro.

Windows XP SP2 67%
Windows XP SP1 14,3%
Windows XP Gold (Sem SP) 8,1%
Windows 98/98SE 4,7%
Windows 2000 SP3/SP4 3,6%
Windows ME 1,3%
Windows 2000 Gold(sem SP)/SP1/SP2 0,8%
Windows 2003 SP1 0,2%

Fraudes

Os e-mails fraudulentos (carregando links para diversas versões do Banker) usaram, em geral, as mesmas táticas de sempre: VoxCards, O Carteiro, Charges do Humor Tadela, entre outras animações e recados.

O destaque vai para o e-mail fraudulento sobre o documentário Falcão, Meninos do Tráfico, que foi enviado ainda no fim de março, após a publicação das estatísticas do mês. Destaque também para os e-mails sobre promoções da Coca-Cola e da VIVO.

Notificações sobre exclusão de contas no Orkut e cancelamento do BradescoNet empresa também foram enviadas para internautas brasileiros, mas em geral, a grande maioria das fraudes utilizou velhas técnicas como cartões, notificações falsas de pendências da Americanas, SPC, Serasa, Tim, entre outros.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.