Top10: Outubro/2006

O aumento no número de infecções por Bankers continua em outubro. A praga representou 49,2% das infecções encontradas nos mais de 680 logs analisados durante o mês, seguidos dos Bots, com pouco mais de 10%, e dos adwares, com 4,5% das infecções.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 49,2%: Bankers

   Banker é uma família de cavalos de tróia que rouba senhas de banco. São muito comuns no Brasil e são inclusive desenvolvidos por programadores brasileiros. Essas pragas são capazes de roubar senhas de banco, MSN, UOL, Terra, Globo.com e até cartões de crédito utilizados em sites de compras de produtos e passagens aéreas.

   Algumas das pragas também possuem componentes que enviam mensagens via MSN e Orkut espalhando links infectados que efetivamente usam a confiança das pessoas em seus amigos e conhecidos na Internet para espalhar a infecção adiante. A Linha Defensiva disponibiliza uma ferramenta chamada Banker Fix que é capaz de remover muitas das versões dos Bankers. O BankerFix já teve mais de 150 mil downloads.

2. 10,1%: Bots

   Bots são worms que dão ao seu criador o controle total dos computadores infectados. Eles geralmente se espalham utilizando falhas no Windows e redes P2P, mas algumas vezes são também instalados por sites maliciosos na web. Várias máquinas infectadas por um mesmo bot formam uma botnet ou rede zumbi. As redes zumbis podem ser utilizadas para derrubar sites e enviar spam (e-mail publicitário indesejado). Alguns bots também são capazes de roubar dados dos computadores infectados.

   Um exemplo de Bot é o Agobot.

3. 4,5%: Adwares Genéricos

   Adwares Genéricos são programas que exibem pop-ups e outros banners e que são instalados de forma ilícita. Adwares Genéricos estão geralmente relacionados a Dialers (veja abaixo) e exibem, em sua maioria, anúncios para sites pornográficos e serviços adultos. Podem ser removidos facilmente, apenas sendo necessária a remoção de alguns arquivos específicos, dependendo do adware.

4. 3,4%: Smitfraud

   Smitfraud é um conjunto de infecções que instala no computador afetado um anti-spyware fraudulento que tenta remover a própria infecção que o instalou. Em outras palavras, os criadores do Smitfraud vendem a solução para o problema que eles mesmos criaram. Esses anti-spywares são geralmente caros e ruins, muitas vezes detectando pragas que nem sequer existem no sistema.

   A Linha Defensiva disponibiliza um tutorial para remover a versão SpyAxe do Smitfraud. O tutorial também serve para remover outras infecções mais novas do mesmo gênero.

5. 2,8%: Zango

   Zango é a empresa que distribui os adwares Zango e Hotbar, após a fusão da 180Solutions com a Hotbar. O Zango é instalado por alguns vírus sem a permissão do usuário e, em outras vezes, é instalado em troca de vídeos ou games que não compensam a instalação do programa.

   Administradores de sites de conteúdo pornográfico recentemente iniciaram uma campanha contra o Zango devido a problemas com afiliados. Alguns sites estão detectando o Zango no computador dos usuários e pedindo que os mesmos desinstalem-o para que o acesso ao site seja liberado.

6. 2,3%: Backdoors/RATs

   Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um hacker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

   Nessa classe incluem-se os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin.

7. 1,9%: Dialers

   Dialers são cavalos de tróia que tentam discar números premium, onde parte do custo da ligação é referente a um “serviço” oferecido pelo número discado. A idéia dos dialers era permitir que usuários pudessem pagar pelo acesso a sites (especialmente pornográficos) sem a necessidade de um cartão de crédito. Entretanto, os números premium discados pelos dialers geralmente estão localizados em países remotos onde o custo da ligação é caríssimo, gerando contas de telefone impagáveis.

   Alguns dialers também possuem uma postura agressiva e tentam dificultar sua desinstalação ao mesmo tempo em que tentam forçar o usuário a discar o número premium ao invés do número de acesso do seu provedor. Alguns dialers (como o Instant Access) podem ser difíceis de se remover sem um conhecimento técnico elevado.

8. 1,9%: C2.Lop

   C2.Lop é a praga instalada pelo Messenger Plus!. O C2.Lop é capaz de redirecionar o Internet Explorer, instalar ícones na área de trabalho e exibir pop-ups que levam o usuário a outras pragas digitais, como o Vundo.

   A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona.

9. 1,9%: WhenU

   A WhenU é uma das mais antigas companhias de adware. Desenvolve os adwares WhenU Save! (Save! Now) e WhenUSearch. Atualmente, poucos ou inexistentes são os casos em que o software é instalado ilegalmente. Na maioria das vezes, o software acompanha outros programas úteis como o BSPlayer e o Daemon Tools. Você, ao instalar esses programas, pode estar também instalando o WhenU.

   Assim sendo, o WhenU pode ser considerado uma’troca “justa” pelo programa que você obtém gratuitamente. Alguns dos programas o possuem apenas como uma instalação opcional. De qualquer forma, a decisão sobre instalá-lo, pagar pelo programa sem adwares ou utilizar outro software equivalente que não acompanhe softwares indesejados fica com você.

10. 1,8%: New.Net

    A classificação do New.net é difícil de determinar. Não é spyware, pois não coleta dados, nem é adware, porque não exibe propagandas. O new.net é um software que adiciona suporte a sites terminados em “.mp3”, “.shop”, “.gratis”, “.amor”, “.escola”, entre outros. O problema é que ter um site com um desses nomes (vendidos somente pela new.net) custa o mesmo que um site “.com”, por exemplo, mas somente os usuários do new.net é que podem acessá-los, o que significa grande parte dos internautas não podem chegar aos sites sem digitar “nomedosite.mp3.new.net”, por exemplo.

    A atividade da new.net também é considerada ruim para a Internet, já que, caso algum dia “.mp3” seja tornado um tipo de site “oficial”, haverá conflitos entre os sites vendidos pela new.net e os alocados pela ICANN, o que significa que usuários do new.net não poderão acessar os sites registrados legalmente.

    Por causar problemas na conexão da maioria dos usuários, o new.net é simplesmente chamado de “foistware” ou “crapware”: softwares ruins, que fazem algo ruim e que você não quer ter em seu micro, pois causa problemas pra você e para a Internet em geral. O new.net pode ser desinstalado pelo Adicionar/Remover Programas, mas em alguns casos a desinstalação pode quebrar a corrente/escada LSP do Windows, que deverá ser reconstruída para que a Internet funcione.

Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua estável.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções.