Com mais de 700 casos, junho é o mês mais agitado da Linha Defensiva. Bankers continuam na primeira posição, que atingiram no mês passado, seguidos pela Zango, depois pelos Bots, Smitfraud, Adwares e worms de MSN brasileiros.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

  1. 26,2%: Banker

    Bankers são os trojans que roubam as senhas de banco para aplicar golpes. Neste mês, consolidaram a primeira posição com mais de 26% das infecções — ou 1 em cada 4. O meio mais comum de infecção é o Orkut, onde os criminosos enviam recados (scraps) maliciosos para os usuários e, quando a vítima clicar e executar o arquivo, ela é infectada. O trojan então tenta enviar a senha do Orkut ao seu criador, que a utiliza para enviar novos scraps maliciosos.

    Versões mais recentes enviam os scraps maliciosos automáticos e se espalham de forma extremamente agressiva, colaborando para que a praga atingisse o primeiro lugar.

  2. 10,1%: Bot

    Bots são pragas que permitem o controle remoto do computador infectado, formando as botnets ou “redes zumbi”. Bots se espalham pela rede automaticamente usando falhas do Windows e redes de troca de arquivos, como KaZaA, eMule e Gnutella. O número de infecções dos Bots diminuiu, mas mesmo assim eles ainda representam uma parte significativa dos problemas.

  3. 5,4%: Zango

    Zango é a nova empresa formada pela união da Hotbar com a 180Solutions. O número de computadores que possuem os programas das duas empresas, somados, garantem a terceira posição. Ambos são programas instalados geralmente sem que o usuário entenda o que realmente está acontecendo.

    O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina, como o WeatherOnTray e Shopper Reports. O Hotbar também exibe anúncios aos usuários, deixando a máquina lenta.

    O Hotbar é sempre instalado pelo usuário, mas nem sempre o usuário sabe que o instalou, pois ele é anunciado através de banners que oferecem novos emoticons, sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). Grandes portais da Internet costumam servir os banners da Hotbar, pois eles estão presentes em muitas agências de anúncios.

    Já o Zango propriamente dito (desenvolvido pela 180Solutions) é instalado por alguns sites como condição para baixar vídeos ou games online gratuitamente. Em algumas poucas ocasiões, o Zango também é instalado ilegalmente por Bots e os chamados “bundles”.

  4. 4,5%: Smitfraud

    Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, Brave Sentry, Ultimate Defender, entre outros) não devem ser confiados.

    A maioria das infecções por Smitfraud ocorre através da exploração da falha do WMF no Internet Explorer e resulta em um “X” ao lado do relógio que exibe mensagens dizendo “You are In Danger” que, ao clicadas, fazem com que o sistema instale imediatamente o anti-spyware falso.

    A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon/Spyware Quake, Antivirus Gold e SpySheriff. Outra ferramenta que vale a pena tentar para remover a praga — apenas em Windows 2000 e XP — é o SmitFraudFix.

  5. 4,3%: Adwares Genéricos

    Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

    A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

  6. 4,0%: Worm de MSN Brasileiro

    Conjunto que representa as pragas que, quando infectam a máquina, enviam automaticamente mensagens através do MSN Messenger. Muitas delas também roubam senhas de banco e têm funcionanamento parecido com os Bankers, que estão em primeiro lugar.

  7. 2,9%: RxToolbar

    Barra de anúncios instalada pelo KaZaA Media Desktop. O número de casos de RxToolbar, no entanto, é muito mais alto do que o de que dos outros programas instalados pelo KaZaA, o que nos faz crer que a desinstalação do RxToolBar não ocorre com êxito ou que ele está sendo instalado ilegalmente por sites na web que exploram falhas no navegador.

    Na maioria dos casos ele pode ser facilmente removido na opção Adicionar/Remover Programas do Painel de Controle.

  8. 2,9%: C2.LOP

    O C2.LOP, ou Lop.com, é o adware instalado pelo Messenger Plus. Ele exibe pop-ups, barras de anúncios e, em algumas versões, também troca a página inicial do usuário. Antigamente, C2.lop era conhecido por ser o único hijacker que modificava também a página inicial do Netscape, além do Internet Explorer.

    A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona.

  9. 2,6%: IST (Integrated Search Technologies)

    A Integrated Search Technologies (IST) é uma empresa de publicidade e propaganda canadense que distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.

    A IST também já distribuiu adwares como o Aurora (da Direct-Revenue) e diversos outros.

  10. 2,2%: CoolWebSearch

    CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. Atualmente, as páginas iniciais são trocadas principalmente para sites de busca e falsos sites de segurança que sugerem ao usuário a instalação de programas antivírus e anti-spyware que não funcionam.

    Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.

    O número de infecções do CoolWebSearch tem diminuído em favor de adwares genéricos que exibem pop-ups ao invés de mudar a página inicial do navegador.

Sistemas Operacionais

A lista abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. Este mês, o Windows 2000 SP3/SP4 recuperou a posição perdida ao Windows ME no mês passado, o que significa que a lista ainda continua estável, sem grandes modificações.

Windows XP SP2 70,6%
Windows XP SP1 12%
Windows XP Gold (Sem SP) 7,2%
Windows 98/98SE 5,2%
Windows 2000 SP3/SP4 2,8%
Windows ME 1,5%
Windows 2000 Gold(sem SP)/SP1/SP2 0,5%
Windows 2003 SP1 0,2%

Fraudes

Cada vez mais recebemos denúncias de mensagens maliciosas que se espalham pelo Orkut ao invés do e-mail. Desde promessas de vídeos de animais sendo violentados até as clássicas promessas de fotos e geradores de crédito, as mensagens sempre incluem o famoso link para um arquivo malicioso que é ou se encarrega de baixar um cavalo-de-tróia que rouba senhas de banco.

Foi pelo Orkut que também circularam mensagens falsas prometendo a ferramenta de remoção da Linha Defensiva.

Por e-mail, este mês circularam as conhecidas falsas pendências com diversas empresas (Embratel, Tim), declarações de amor (“abraços” e cartões virtuais também não faltaram), falsas mensagens da Polícia Federal e também uma utilizando notíciais atuais que, este mês, foi a morte do comediante Bussunda.

É importante que você tome tanto cuidado no Orkut como abrindo e-mails, pois todo o link pode ser malicioso ou falso. Confira em nosso blog algumas dicas para evitar cair nas mensagens falsas e, na dúvida, não clique!

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

2 comentários

  1. Eduardo Franco 30/06/2006 às 10:37

    Infelizmente, o maior facilitador da disseminação de pragas como estas é a ignorância do usuário comum.

    Essa falta de conhecimento não instiga no usuário o mínimo questionamento sobre o que está fazendo, qual site está entrando, grau de risco dos programas baixados ou de um simples click em um link chamativo.

    Um exemplo da falta de percepção do usuário de internet são e-mail’s que prometes cheques, celulares, tratamentos de saúde, caso o reenvie para zilhões de amigos. Como alguém pode acreditar que uma empresa como a Microsoft iria enviar um cheque pra sua casa, se você estivesse utilizando determinado sistema, ou divulgando determinada ferramenta da empresa?? Poupem-me!

    Precisa existir uma conscientização do usuário, urgente!!!

    Curtir

  2. Eduardo Valente 12/07/2006 às 10:33

    O usuário comum deverá agir de forma mais consiente para seu próprio benefício, pois, os vírus normalmente vem de maneira explícita, principalmente no Orkut onde hoje estamos sendo mais atacados. Então procuremos ser mais sugestivos e não cair em truques e falsetas.

    Curtir

Os comentários estão encerrados.