Bankers continuam alargando a liderança e se firmando no primeiro lugar, porém o número de bots teve um pequeno aumento em relação ao mês passado. Wareout, WhenU e MyWay saem do top 10 para dar lugar ao CoolWebSearch, RxToolbar e C2.Lop. Confira lista completa.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

  1. 42,7%: Banker

    Pragas digitais brasileiras que roubam as senhas utilizadas em sites de internet banking do Brasil. Algumas ‘versões’ da praga também roubam senhas de MSN, Orkut, Paypal e até mesmo cartões de créditos utilizados em sites de e-commerce. A remoção é geralmente simples, desde que se saiba qual o arquivo malicioso.

    A Linha Defensiva mantém uma ferramenta chamada BankerFix capaz de remover muitas das variantes do Banker.

  2. 10%: Bot

    Bots são pragas que permitem o controle remoto do computador infectado, formando as botnets ou “redes zumbi”. Bots se espalham pela rede automaticamente usando falhas do Windows e redes de troca de arquivos, como KaZaA, eMule e Gnutella. O número de infecções dos Bots diminuiu, mas tem se mostrado estável nos últimos meses, com um pequeno momento neste. Eles ainda representam uma parte significativa dos problemas enfrentados pelos usuários, principalmente porque são capazes de infectar máquinas desatualizadas pouco tempo depois que elas forem conectadas à Internet.

    Bots ocupavam a primeira posição antes de os Bankers assumirem a liderança. Desde então, a distância entre os dois tem se alargado cada vez mais.

  3. 5,0%: Adware Genérico

    Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

    A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

    Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — se tornaram mais viáveis para donos de botnet que querem ganhar dinheiro instalando adwares nos computadores que infectam.

  4. 4,3%: Smitfraud

    Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados

    Grande parte das infecções de Smitfraud ocorrem em PCs desatualizados, portanto é muito importante manter o Windows e o Internet Explorer atualizados para evitar ser infectado com essa praga.

    A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon/Spyware Quake (tente os passos neste primeiro), Antivirus Gold e SpySheriff.

  5. 3,5%: Zango

    Zango é a nova empresa formada pela união da Hotbar com a 180Solutions. O número de computadores que possuem os programas das duas empresas, somados, garantem a quinta posição. Ambos são programas instalados geralmente sem que o usuário entenda o que realmente está acontecendo.

    O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina, como o WeatherOnTray e Shopper Reports. O Hotbar também exibe anúncios aos usuários, deixando a máquina lenta.

    O Hotbar é sempre instalado pelo usuário, mas nem sempre o usuário sabe que o instalou, pois ele é anunciado através de banners que oferecem novos emoticons, sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). Grandes portais da Internet costumam servir os banners da Hotbar, pois eles estão presentes em muitas agências de anúncios.

    Já o Zango propriamente dito (desenvolvido pela 180Solutions) é instalado por alguns sites como condição para baixar vídeos ou games online gratuitamente. Em algumas poucas ocasiões, o Zango também é instalado ilegalmente por Bots e os chamados “bundles”.

  6. 2,3%: RxToolbar

    RxToolbar é uma barra de ferramentas instalada no Internet Explorer por alguns programas “patrocinados” (como por exemplo o KaZaA). O RxToolbar é capaz de exibir links patrocinados e outras funções que poderão causar incômodo durante o uso do navegador.

    Desinstalá-lo pelo Adicionar/Remover Programas geralmente funciona sem problemas, porém o software que ele acompanha também deve ser desinstalado.

  7. 2,2%: CoolWebSearch

    CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. Atualmente, as páginas iniciais são trocadas principalmente para sites de busca e falsos sites de segurança que sugerem ao usuário a instalação de programas antivírus e anti-spyware que não funcionam. As variantes mais comuns são a “Findthewebsite”. “SearchCentrix” e “ProSearching”.

    Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.

  8. 2,1%: C2.Lop

    O C2.LOP, ou Lop.com, é o adware instalado pelo Messenger Plus. Ele exibe pop-ups, barras de anúncios e, em algumas versões, também troca a página inicial do usuário. Antigamente, C2.lop era conhecido por ser o único hijacker que modificava também a página inicial do Netscape, além do Internet Explorer.

    A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona. Ainda é uma boa idéia tentar, no entanto.

    Nota: A maioria dos antivírus chama o C2.Lop de Swizzor.

  9. 2,0%: New.net

    A classificação do New.net é difícil de determinar. Não é spyware, pois não coleta dados, nem é adware, porque não exibe propagandas. O new.net é um software que adiciona suporte a sites terminados em “.mp3”, “.shop”, “.gratis”, “.amor”, “.escola”, entre outros. O problema é que ter um site com um desses nomes (vendidos somente pela new.net) custa o mesmo que um site “.com”, por exemplo, mas somente os usuários do new.net é que podem acessá-los, o que significa grande parte dos internautas não podem chegar aos sites sem digitar “nomedosite.mp3.new.net”, por exemplo.

    A atividade da new.net também é considerada ruim para a Internet, já que, caso algum dia “.mp3” seja tornado um tipo de site “oficial”, haverá conflitos entre os sites vendidos pela new.net e os alocados pela ICANN, o que significa que usuários do new.net não poderão acessar os sites registrados legalmente.

    Por causar problemas na conexão da maioria dos usuários, o new.net é simplesmente chamado de “foistware” ou “crapware”: softwares ruins, que fazem algo ruim e que você não quer ter em seu micro, pois causa problemas pra você e para a Internet em geral. O new.net pode ser desinstalado pelo Adicionar/Remover Programas, mas em alguns casos a desinstalação pode quebrar a corrente/escada LSP do Windows, que deverá ser reconstruída para que a Internet funcione.

  10. 1,9%: Backdoor/RAT

    Pela segunda (e consecutiva) vez no top 10. Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um hacker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

    Nessa classe incluem-se os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin.

Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua estável.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções. O objetivo da publicação da lista é verificar se a publicação de alguma falha específica para alguma plataforma aumenta o número de logs infectados daquela plataforma, porém isso não se registrou neste mês.

Windows XP SP2 71,8%
Windows XP SP1 12%
Windows XP Gold (Sem SP) 6,2%
Windows 98/98SE 5%
Windows 2000 SP3/SP4 3,8%
Windows ME 1,1%
Windows 2000 Gold(sem SP)/SP1/SP2 0,1%

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website