Bankers lideram pelo 4º mês consecutivo a lista de pragas mais comuns no mês, seguidos pelos Bots e Smitfraud. A novidade na lista deste mês são os Backdoors, responsáveis pelo controle remoto das máquinas infectadas. Apesar de receberem a última colocação, merecem atenção por aparecerem pela primeira vez na lista do top 10.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

  1. 37,1%: Bankers

    Pragas digitais brasileiras que roubam as senhas utilizadas em sites de internet banking do Brasil. Algumas ‘versões’ da praga também roubam senhas de MSN, Orkut, Paypal e até mesmo cartões de créditos utilizados em sites de e-commerce. A remoção é geralmente simples, desde que se saiba qual o arquivo malicioso.

    A Linha Defensiva mantém uma ferramenta chamada BankerFix capaz de remover muitas das variantes do Banker.

  2. 8,4%: Bots

    Bots são pragas que permitem o controle remoto do computador infectado, formando as botnets ou “redes zumbi”. Bots se espalham pela rede automaticamente usando falhas do Windows e redes de troca de arquivos, como KaZaA, eMule e Gnutella. O número de infecções dos Bots diminuiu, mas tem se mostrado estável nos últimos meses. Eles ainda representam uma parte significativa dos problemas enfrentados pelos usuários, principalmente porque são capazes de infectar máquinas desatualizadas pouco tempo depois que elas forem conectadas à Internet.

    Bots ocupavam a primeira posição antes de os Bankers assumirem a liderança com uma clara vantagem.

  3. 7,5%: Adware Genérico

    Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

    A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

    Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — estão se tornando cada vez mais comuns.

  4. 6,3%: Smitfraud

    Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados. A variante mais comum do Smitfraud atualmente instala um anti-spyware falso chamado BraveSentry.

    Grande parte das infecções de Smitfraud ocorrem em PCs desatualizados, portanto é muito importante manter o Windows e o Internet Explorer atualizados para evitar ser infectado com essa praga.

    A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon/Spyware Quake, Antivirus Gold e SpySheriff. Outra ferramenta que vale a pena tentar para remover a praga — apenas em Windows 2000 e XP — é o SmitFraudFix.

    O número de infecções permaneceu estável em relação ao mês passado.

  5. 4,4%: Zango

    Zango é a nova empresa formada pela união da Hotbar com a 180Solutions. O número de computadores que possuem os programas das duas empresas, somados, garantem a quinta posição. Ambos são programas instalados geralmente sem que o usuário entenda o que realmente está acontecendo.

    O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina, como o WeatherOnTray e Shopper Reports. O Hotbar também exibe anúncios aos usuários, deixando a máquina lenta.

    O Hotbar é sempre instalado pelo usuário, mas nem sempre o usuário sabe que o instalou, pois ele é anunciado através de banners que oferecem novos emoticons, sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). Grandes portais da Internet costumam servir os banners da Hotbar, pois eles estão presentes em muitas agências de anúncios.

    Já o Zango propriamente dito (desenvolvido pela 180Solutions) é instalado por alguns sites como condição para baixar vídeos ou games online gratuitamente. Em algumas poucas ocasiões, o Zango também é instalado ilegalmente por Bots e os chamados “bundles”.

  6. 2,5%: New.net

    A classificação do New.net é difícil de determinar. Não é spyware, pois não coleta dados, nem é adware, porque não exibe propagandas. O new.net é um software que adiciona suporte a sites terminados em “.mp3”, “.shop”, “.gratis”, “.amor”, “.escola”, entre outros. O problema é que ter um site com um desses nomes (vendidos somente pela new.net) custa o mesmo que um site “.com”, por exemplo, mas somente os usuários do new.net é que podem acessá-los, o que significa grande parte dos internautas não podem chegar aos sites sem digitar “nomedosite.mp3.new.net”, por exemplo.

    A atividade da new.net também é considerada ruim para a Internet, já que, caso algum dia “.mp3” seja tornado um tipo de site “oficial”, haverá conflitos entre os sites vendidos pela new.net e os alocados pela ICANN, o que significa que usuários do new.net não poderão acessar os sites registrados legalmente.

    Por causar problemas na conexão da maioria dos usuários, o new.net é simplesmente chamado de “foistware” ou “crapware”: softwares ruins, que fazem algo ruim e que você não quer ter em seu micro, pois causa problemas pra você e para a Internet em geral. O new.net pode ser desinstalado pelo Adicionar/Remover Programas, mas em alguns casos a desinstalação pode quebrar a corrente/escada LSP do Windows, que deverá ser reconstruída para que a Internet funcione.

  7. 2,2%: Wareout

    Wareout é o nome de um anti-spyware falso e infecções de Wareout são semelhantes ao Smitfraud, pois tentam convencer o usuário a instalar um anti-spyware ineficiente. Outra característica do Wareout é uma rede desconfigurada, com os servidores de DNS trocados para endereços IP localizados na Ucrânia. Na maioria dos casos, o próprio “anti-spyware” cria entradas no registro que parecem ter sido criadas por um vírus para que ele possa detectar essas entradas e afirmar ao usuário que ele está “infectado”.

    A variante inicial do Wareout, que instalava um anti-spyware falso de mesmo nome, já não está mais sendo distribuída. Entretanto, os mesmos responsáveis pelo Wareout desenvolveram outro “anti-spyware” chamado de UnSpyPC e, mais recentemente, o “Kill And Clean” ou Kill & Clean, que foi o responsável pelo aumento de infecções do Wareout e pela entrada da praga no top 10.

    O FixWareOut pode ser usado para remover o Wareout de uma máquina infectada, mas na maioria dos casos ainda será necessário remover um arquivo aleatório e reconfigurar o endereço dos servidores de DNS para o utilizar os servidores do provedor de Internet.

  8. 2,2%: WhenU

    A WhenU é uma das mais antigas companhias de adware. Desenvolve os adwares WhenU Save! (Save! Now) e WhenUSearch. Atualmente, poucos ou inexistentes são os casos em que o software é instalado ilegalmente. Na maioria das vezes, o software acompanha outros programas úteis como o BSPlayer e o Daemon Tools. Você, ao instalar esses programas, pode estar também instalando o WhenU.

    Assim sendo, o WhenU pode ser considerado uma’troca “justa” pelo programa que você obtém gratuitamente. Alguns dos programas o possuem apenas como uma instalação opcional. De qualquer forma, a decisão sobre instalá-lo, pagar pelo programa sem adwares ou utilizar outro software equivalente que não acompanhe softwares indesejados fica com você.

  9. 2,1%: MyWay

    MyWay é uma barra de ferramentas do Internet Explorer criada pelo portal ask.com. Apesar de ser inofensivo na maioria das vezes, o MyWay é instalado em conjunto com softwares “gratuitos” distribuídos pela marca Fun Web Products. Algumas pessoas também reclamam de lentidão no computador e principalmente no navegador web quando o MyWay está instalado.

    É possível remover o MyWay e suas variantes (MyWebSearch, MySearchAssistant) através do Adicionar/Remover Programas, no Painel de Controle.

  10. 1,9%: Backdoors/RATs

    Pela primeira vez no top 10. Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um hacker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

    Nessa classe incluem-se os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin.

Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua estável.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções.

Windows XP SP2 66,8%
Windows XP SP1 12,8%
Windows XP Gold (Sem SP) 7,9%
Windows 98/98SE 6,1%
Windows 2000 SP3/SP4 4,3%
Windows ME 0,9%
Windows 2000 Gold(sem SP)/SP1/SP2 0,9%
Windows 2003 0,3%

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website