Top10: Maio/2006

Maio foi ainda mais agitado do que abril, com quase 600 casos analisados. Pela 1ª vez, Bankers superaram os Bots e atingiram o primeiro lugar, com mais de 23% das infecções registradas. Em terceiro, depois dos bots, encontram-se os adwares genéricos, seguidos de variantes do CoolWebSearch.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 23,5%: Banker

   Pragas digitais que roubam senhas de banco. São espalhadas por e-mails fraudulentos, mensagens no MSN e recados do Orkut. Pela primeira vez, atingiram a primeira posição, onde os Bots reinavam desde a primeira publicação das estatísticas, em outubro do ano passado.

   Parte do aumento se deve ao worm “Fotos da Festa”, que se espalhou pelo Orkut esse mês. A ferramenta disponibilizada pela Linha Defensiva teve, até a publicação desta matéria, mais de 380 mil downloads. Apesar de que esse número não é contado na estatística, o número de casos no fórum ainda foi grande o suficiente para garantir aos Bankers o primeiro lugar.

2. 11,5%: Bots

   Bots permitem o controle remoto do computador infectado, formando as botnets ou “redes zumbi”. Bots se espalham pela rede automaticamente usando falhas do Windows e redes de troca de arquivos, como KaZaA, eMule e Gnutella. Perderam a primeira posição para os Bankers, mas mesmo assim ainda foram responsáveis por mais de 11% das infecções presentes em máquinas infectadas.

3. 5,1%: Adwares Genéricos

   Diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

   A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

4. 4,3%: CoolWebSearch

   CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. Atualmente, as páginas iniciais são trocadas principalmente para sites de busca e falsos sites de segurança que sugerem ao usuário a instalação de programas antivírus e anti-spyware que não funcionam.

   Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.

5. 4,1%: Smitfraud

   Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados.

   A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon/Spyware Quake, Antivirus Gold e SpySheriff. Outra ferramenta que vale a pena tentar para remover a praga — apenas em Windows 2000 e XP — é o SmitFraudFix.

6. 3,5%: Worm de MSN Brasileiro

   O número de novas pragas brasileiras se espalhando pelo MSN continua aumentando, o que levou inclusive a Linha Defensiva a publicar uma ferramenta genérica, que remove várias infecções. Da mesma forma, as infecções de MSN agora são contadas de forma genérica nas estatísticas, aparecendo em sexto lugar.

7. 3,1%: C2.LOP

   O C2.LOP, ou Lop.com, é o adware instalado pelo Messenger Plus. Ele exibe pop-ups, barras de anúncios e, em algumas versões, também troca a página inicial do usuário. Antigamente, C2.lop era conhecido por ser o único hijacker que modificava também a página inicial do Netscape, além do Internet Explorer.

   A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona.

8. 3%: Hotbar

   O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina, como o WeatherOnTray e Shopper Reports. O Hotbar também exibe anúncios aos usuários, deixando a máquina lenta.

   O Hotbar é sempre instalado pelo usuário, mas nem sempre o usuário sabe que o instalou, pois ele é anunciado através de banners que oferecem novos emoticons, sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). Grandes portais da Internet costumam servir os banners da Hotbar, pois eles estão presentes em muitas agências de anúncios.

9. 2,2%: IST (Integrated Search Technologies)

   A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

10. 2,1%: 180Solutions/Fofocas Brasil

    Empatados na última posição do top 10, o worm Fofocas Brasil e os produtos adware da 180Solutions.

    O Fofocas Brasil é um worm que se espalha por MSN e forma uma rede zumbi, de forma similar aos bots. Começou a se espalhar na metade de abril. Sua ferramenta de remoção já teve mais de 30 mil downloads.

    Já a 180Solutions é, atualmente, uma das empresas mais criticadas no meio anti-spyware. Diversas vezes, a ‘180’ acusou diversos defensores de privacidade como “fanáticos” e rejeitou as críticas feitas ao seu software. Recentemente, diversos anunciantes abandonaram a empresa quando descobriram sobre suas práticas pouco éticas para instalar o software no sistema do usuário.

    Felizmente, os softwares da 180Solutions (MediaGateway/Zango) podem ser desinstalados pelo Adicionar/Remover Programas. Ignore o aviso que lhe diz que alguns programas podem parar de funcionar caso você os desinstale, pois é mentira.

11% dos arquivos infectados pertenciam à trojans genéricos e “downloaders”, cujo o objetivo é geralmente instalar uma das infecções acima.

Sistemas Operacionais

A lista abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. Este mês, o Windows ME superou, por uma pequena margem, o Windows 2000 SP3/SP4. Essa é a única alteração significativa que a lista sofreu desde sua primeira publicação, em janeiro.

Windows XP SP2	66,4%
Windows XP SP1	14,3%
Windows XP Gold (Sem SP)	7,2%
Windows 98/98SE	6%
Windows ME	2,8%
Windows 2000 SP3/SP4	2,3%
Windows 2000 Gold(sem SP)/SP1/SP2	0,6%
Windows 2003 SP1	0,2%
Windows NT 4.0	0,2%

Fraudes

Os e-mails fraudulentos que possuem links para cópias do Banker (1º lugar do top 10) continuam usando os mesmos assuntos de sempre: fotos de uma traição, cartões virtuais, cancelamento de contas do Orkut e pendências com SPC, Serasa, lojas, operadoras de telefonia e provedores de Internet (como o e-mail sobre falsas pendências com o UOL.)

O e-mail sobre a promoção da Coca-Cola circulou novamente, mas, em geral, nada de muito diferente foi visto no mês de maio, pois grande parte das mensagens fraudulentas agora circulam pelo Orkut, com temas muito mais variados e aparentemente vindas de pessoas que você conhece. Um exemplo é o falso gerador de crédito para celular chamado “Geraline”.

É importante que você tome tanto cuidado no Orkut como abrindo e-mails, pois todo o link pode ser malicioso ou falso.