Top10: Novembro/2006

Bankers continuam em primeiro lugar, com mais de 47% das infecções, seguidos dos Bots e do Smitfraud. A novidade está por conta dos worms, que apareceram na penúltima posição. Quase 700 casos de infecção foram analisados durante o decorrer do mês.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 47,4%: Banker

   Banker é uma família de cavalos de tróia que rouba senhas de banco. São muito comuns no Brasil e são inclusive desenvolvidos por programadores brasileiros. Essas pragas são capazes de roubar senhas de banco, MSN, UOL, Terra, Globo.com e até cartões de crédito utilizados em sites de compras de produtos e passagens aéreas.

   Algumas das pragas também possuem componentes que enviam mensagens via MSN e Orkut espalhando links infectados que efetivamente usam a confiança das pessoas em seus amigos e conhecidos na Internet para espalhar a infecção adiante. A Linha Defensiva disponibiliza uma ferramenta chamada Banker Fix que é capaz de remover muitas das versões dos Bankers. O BankerFix já teve mais de 180 mil downloads.

2. 10,4%: Bot

   Bots são worms que dão ao seu criador o controle total dos computadores infectados. Eles geralmente se espalham utilizando falhas no Windows e redes P2P, mas algumas vezes são também instalados por sites maliciosos na web. Várias máquinas infectadas por um mesmo bot formam uma botnet ou rede zumbi. As redes zumbis podem ser utilizadas para derrubar sites e enviar spam (e-mail publicitário indesejado). Alguns bots também são capazes de roubar dados dos computadores infectados.

   Um exemplo de Bot é o Agobot.

3. 5,4%: Smitfraud

   Smitfraud é um conjunto de infecções que instala no computador afetado um anti-spyware fraudulento que tenta remover a própria infecção que o instalou. Em outras palavras, os criadores do Smitfraud vendem a solução para o problema que eles mesmos criaram. Esses anti-spywares são geralmente caros e ruins, muitas vezes detectando pragas que nem sequer existem no sistema.

   A Linha Defensiva disponibiliza um tutorial para remover a versão SpyAxe do Smitfraud. O tutorial também serve para remover outras infecções mais novas do mesmo gênero.

4. 3,9%: Adwares Genéricos

   Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

   A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

   Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — se tornaram mais viáveis para donos de botnet que querem ganhar dinheiro instalando adwares nos computadores que infectam.

5. 3,7%: Backdoors/RATs

   Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um cracker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

   Nessa classe incluem-se os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin.

6. 3,1%: Zango

   Zango é a nova empresa formada pela união da Hotbar com a 180Solutions. O número de computadores que possuem os programas das duas empresas, somados, garantem a sexta posição. Ambos são programas instalados geralmente sem que o usuário entenda o que realmente está acontecendo.

   O Hotbar é uma barra que muda a página de busca do navegador para o site Results Master e instala outros programas na máquina, como o WeatherOnTray e Shopper Reports. O Hotbar também exibe anúncios aos usuários, deixando a máquina lenta.

   O Hotbar é sempre instalado pelo usuário, mas nem sempre o usuário sabe que o instalou, pois ele é anunciado através de banners que oferecem novos emoticons, sem mencionar a Hotbar até que o usuário se depare com um aviso de confirmação ActiveX (comumente utilizado como método de distribuição de spywares). Grandes portais da Internet costumam servir os banners da Hotbar, pois eles estão presentes em muitas agências de anúncios.

   Já o Zango propriamente dito (desenvolvido pela 180Solutions) é instalado por alguns sites como condição para baixar vídeos ou games online gratuitamente. Em algumas poucas ocasiões, o Zango também é instalado ilegalmente por Bots e os chamados “bundles”.

7. 2,5%: MyWay/MyWebSearch

   MyWay é uma empresa da Ask.com que distribui os adwares MySearchBar e MyWebSearch. Eles são comumente anunciados de forma enganosa, prometendo “novos emoticons” de forma semelhante ao Hotbar, que é distribuído pela Zango. Apesar de não serem programas maliciosos, o usuário muitas vezes nem sequer sabe que os possui no sistema, graças ao modo que são distribuídos.

8. 2,2%: C2.Lop

   C2.Lop é a praga instalada pelo Messenger Plus!. O C2.Lop é capaz de redirecionar o Internet Explorer, instalar ícones na área de trabalho e exibir pop-ups que levam o usuário a outras pragas digitais, como o Vundo.

   A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível reinstalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). O Warez P2P também instala o C2.LOP. No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona.

9. 1,1%: New.net

   A classificação do New.net é difícil de determinar. Não é spyware, pois não coleta dados, nem é adware, porque não exibe propagandas. O new.net é um software que adiciona suporte a sites terminados em “.mp3”, “.shop”, “.gratis”, “.amor”, “.escola”, entre outros. O problema é que ter um site com um desses nomes (vendidos somente pela new.net) custa o mesmo que um site “.com”, por exemplo, mas somente os usuários do new.net é que podem acessá-los, o que significa grande parte dos internautas não podem chegar aos sites sem digitar “nomedosite.mp3.new.net”, por exemplo.

   A atividade da new.net também é considerada ruim para a Internet, já que, caso algum dia “.mp3” seja tornado um tipo de site “oficial”, haverá conflitos entre os sites vendidos pela new.net e os alocados pela ICANN, o que significa que usuários do new.net não poderão acessar os sites registrados legalmente.

   Por causar problemas na conexão da maioria dos usuários, o new.net é simplesmente chamado de “foistware” ou “crapware”: softwares ruins, que fazem algo ruim e que você não quer ter em seu micro, pois causa problemas pra você e para a Internet em geral. O new.net pode ser desinstalado pelo Adicionar/Remover Programas, mas em alguns casos a desinstalação pode quebrar a corrente/escada LSP do Windows, que deverá ser reconstruída para que a Internet funcione.

10. 1%: RxToolbar

    RxToolbar é uma barra de ferramentas que rastreia os sites visiados e envia termos de busca usados em sites de pesquisa para um servidor de controle. Isso pode deixar o navegador mais lento que o normal. Além disso, as palavras podem ser usadas para a exibição de anúncios.

    O RxToolbar é instalado como software “patrocionador” junto com outros programas.

Erramos: Uma versão anterior dessa lista colocava “Worms” na nona posição.

Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua estável.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções.