Top10: Julho/2006

Bankers representaram mais de 31% das infecções em julho, seguidos dos bots e variantes do Smitfraud. Pela primeira vez na lista, o Wareout aparece em quarto lugar . O mês foi agitado, com mais de 800 casos analisados pelo Serviço de Remoção de Malware da Linha Defensiva

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 31,9%: Bankers

   São cavalos de tróia brasileiros que roubam de senhas de banco, MSN, Orkut, Paypal e outros. O número de infecções da praga tem crescido de forma significativa nos últimos meses, até que ela adquirisse o primeiro lugar. O número de infecções ainda cresce, apesar da desaceleração no crescimento de fraudes, pois os Bankers também estão utilizando Orkut e MSN para se espalhar.

   Remover os Bankers geralmente é geralmente muito simples quando se conhece o nome dos arquivos utilizados. A Linha Defensiva disponibiliza uma ferramenta chamada BankerFIX para remover dezenas de variantes da praga digital.

   Nota: Worms de MSN brasileiros estão sendo contados junto com os Bankers. As variantes exatas são difíceis de se diferenciar, portanto não é possível ter um percentual exato do número de infecções específicas de MSN ou Orkut. Todas as infecções são chamadas de Banker.

2. 11,2%: Bots

   Bots são pragas que permitem o controle remoto do computador infectado, formando as botnets ou “redes zumbi”. Bots se espalham pela rede automaticamente usando falhas do Windows e redes de troca de arquivos, como KaZaA, eMule e Gnutella. O número de infecções dos Bots diminuiu, mas tem se mostrado estável nos últimos meses. Eles ainda representam uma parte significativa dos problemas enfrentados pelos usuários, principalmente porque são capazes de infectar máquinas desatualizadas pouco tempo depois que elas forem conectadas à Internet.

3. 6,2%: Smitfraud

   Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados. A variante mais comum do Smitfraud atualmente instala um anti-spyware falso chamado BraveSentry.

   Grande parte das infecções de Smitfraud ocorrem em PCs desatualizados, portanto é muito importante manter o Windows e o Internet Explorer atualizados para evitar ser infectado com essa praga.

   A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon/Spyware Quake, Antivirus Gold e SpySheriff. Outra ferramenta que vale a pena tentar para remover a praga — apenas em Windows 2000 e XP — é o SmitFraudFix.

4. 3,9%: Wareout

   Apesar de ser uma praga antiga, o Wareout aparece pela primeira vez no top 10. Wareout é o nome de um anti-spyware falso e infecções de Wareout são semelhantes ao Smitfraud, pois tentam convencer o usuário a instalar um anti-spyware ineficiente. Outra característica do Wareout é uma rede desconfigurada, com os servidores de DNS trocados para endereços IP localizados na Ucrânia. Na maioria dos casos, o próprio “anti-spyware” cria entradas no registro que parecem ter sido criadas por um vírus para que ele possa detectar essas entradas e afirmar ao usuário que ele está “infectado”.

   A variante inicial do Wareout, que instalava um anti-spyware falso de mesmo nome, já não está mais sendo distribuída. Entretanto, os mesmos responsáveis pelo Wareout desenvolveram outro “anti-spyware” chamado de UnSpyPC e, mais recentemente, o “Kill And Clean” ou Kill & Clean, que foi o responsável pelo aumento de infecções do Wareout e pela entrada da praga no top 10.

   O FixWareOut pode ser usado para remover o Wareout de uma máquina infectada, mas na maioria dos casos ainda será necessário remover um arquivo aleatório e reconfigurar o endereço dos servidores de DNS para o utilizar os servidores do provedor de Internet.

5. 3,8%: Adware Genérico

   Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

   A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

6. 3,2%: CoolWebSearch

   CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. Atualmente, as páginas iniciais são trocadas principalmente para sites de busca e falsos sites de segurança que sugerem ao usuário a instalação de programas antivírus e anti-spyware que não funcionam. As variantes mais comuns são a “Findthewebsite”. “SearchCentrix” e “ProSearching”.

   Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch. É interessante notar que a variante CWS.Winres, de fevereiro de 2004, foi responsável por alguns casos de CoolWebSearch vistos no mês.

7. 2,7%: C2.LOP

   O C2.LOP, ou Lop.com, é o adware instalado pelo Messenger Plus. Ele exibe pop-ups, barras de anúncios e, em algumas versões, também troca a página inicial do usuário. Antigamente, C2.lop era conhecido por ser o único hijacker que modificava também a página inicial do Netscape, além do Internet Explorer.

   A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona. Ainda é uma boa idéia tentar, no entanto.

   Nota: A maioria dos antivírus chama o C2.Lop de Swizzor.

8. 2,4%: MyWay

   Também pela primeira vez no top 10, o MyWay é uma barra de ferramentas do Internet Explorer criada pelo portal ask.com. Apesar de ser inofensivo na maioria das vezes, o MyWay é instalado em conjunto com softwares “gratuitos” distribuídos pela marca Fun Web Products. Algumas pessoas também reclamam de lentidão no computador e principalmente no navegador web quando o MyWay está instalado.

   É possível remover o MyWay e suas variantes (MyWebSearch, MySearchAssistant) através do Adicionar/Remover Programas, no Painel de Controle.

9. 2,2%: Hotbar

   O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina, como o WeatherOnTray e Shopper Reports. O Hotbar também exibe anúncios aos usuários, deixando a máquina lenta.

   O Hotbar é sempre instalado pelo usuário, mas nem sempre o usuário sabe que o instalou, pois ele é anunciado através de banners que oferecem novos emoticons, sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). Grandes portais da Internet costumam servir os banners da Hotbar, pois eles estão presentes em muitas agências de anúncios.

10. 2,0%: RxToolbar

    O RxToolbar é uma barra de ferramentas instalada com programas “gratuitos”. Ela sublinha palavras-chave nos textos de websites e torna essas palavras em links para anunciantes, dessa forma injentando de forma pouco ética anúncios em websites.

Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua estável.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções.