Top10: Janeiro/2007

Bankers se fixam no primeiro lugar com mais de 50% das infecções, mantendo o crescimento apresentado durante todo o ano de 2006. Pelo terceiro mês, Bots e Smitfraud aparecem nas posições seguintes. A praga Selfish, que apareceu em dezembro, ainda continua na lista, com praticamente o mesmo número de infecções do mês anterior.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 52,3%: Banker

   Banker é uma família de cavalos de tróia que rouba senhas de banco. São muito comuns no Brasil e são inclusive desenvolvidos por programadores brasileiros. Essas pragas são capazes de roubar senhas de banco, MSN, UOL, Terra, Globo.com e até cartões de crédito utilizados em sites de compras de produtos e passagens aéreas.

   Algumas das pragas também possuem componentes que enviam mensagens via MSN e Orkut, espalhando links infectados que efetivamente usam a confiança das pessoas em seus amigos e conhecidos na Internet para espalhar a infecção adiante. A Linha Defensiva disponibiliza uma ferramenta chamada Banker Fix que é capaz de remover muitas das versões dos Bankers.

2. 9,2%: Bot

   Bots são worms que dão ao seu criador o controle total dos computadores infectados. Eles geralmente se espalham utilizando falhas no Windows e redes P2P, mas algumas vezes são também instalados por sites maliciosos na web. Várias máquinas infectadas por um mesmo bot formam uma botnet ou rede zumbi. As redes zumbis podem ser utilizadas para derrubar sites e enviar spam (e-mail publicitário indesejado). Alguns bots também são capazes de roubar dados dos computadores infectados.

   Um exemplo de Bot é o Agobot.

3. 5,2%: Smitfraud

   Smitfraud é um conjunto de infecções que instala no computador afetado um anti-spyware fraudulento que tenta remover a própria infecção que o instalou. Em outras palavras, os criadores do Smitfraud vendem a solução para o problema que eles mesmos criaram. Esses anti-spywares são geralmente caros e ruins, muitas vezes detectando pragas que nem sequer existem no sistema.

   A Linha Defensiva disponibiliza um tutorial para remover a versão SpyAxe do Smitfraud. O tutorial também serve para remover outras infecções mais novas do mesmo gênero. Se você está recebendo mensagens partindo da bandeja do relógio dizendo “Your computer is infected”, tente seguir o tutorial do Smitfraud para resolver o problema.

4. 3,2%: Adware

   Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

   A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

   Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — se tornaram mais viáveis para donos de botnet que querem ganhar dinheiro instalando adwares nos computadores que infectam.

5. 3,1%: C2.lop

   C2.Lop é a praga instalada pelo Messenger Plus!. O C2.Lop é capaz de redirecionar o Internet Explorer, instalar ícones na área de trabalho e exibir pop-ups que levam o usuário a outras pragas digitais, como o Vundo. Um sintoma conhecido é o aparecimento de uma barra azul que divulga cassinos e outros sites pouco confiáveis.

   A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível instalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). No o tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona. Você pode usar o fórum caso ainda tenha problemas.

6. 3,0%: Backdoor

   Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um cracker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

   Nessa classe estão os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin.

7. 2,5%: Selfish

   Pouco se sabe a respeito desta praga. O nome “Selfish” foi dado pela Sophos, mas a Grisoft batizou o vírus de W32/Delf.2.b. Delf é uma família genérica para vírus programados em Delphi (Delphi é a linguagem mais comum para a programação de vírus no Brasil) e, de acordo com a Sophos, este vírus foi direcionado a usuários brasileiros.

   O sintoma mais comum é uma janela no Internet Explorer com o título “ae” e o número 5, porém somente um antivírus pode detectá-la com exatidão.

   A praga se trata de um vírus clássico, que infecta arquivos executáveis no computador. Sem uma ferramenta específica, não é possível limpar os arquivos infectados pelo vírus e o sistema continuará infectado. A Grisoft disponibilizou uma ferramenta chamada RemDelf para desinfectar o computador.

8. 2,4%: MyWebSearch/MyWay

   MyWay é uma empresa do portal Ask.com que distribui os adwares MySearchBar e MyWebSearch. Eles são comumente anunciados de forma enganosa, prometendo “novos emoticons” de forma semelhante ao Hotbar, que é distribuído pela Zango. Apesar de não serem programas maliciosos, o usuário muitas vezes nem sequer sabe que os possui no sistema, graças ao modo que são distribuídos.

9. 2,2%: Wareout

   Wareout é uma praga semelhante ao Smitfraud. Ele instala aplicativos de segurança que não funcionam de forma correta. Apesar do objetivo ser o mesmo (convencer o usuário a gastar dinheiro com um software que não funciona), o Wareout opera de modo diferente no sistema, portanto sua remoção é complicada. O anti-spyware Wareout hoje é pouco comum. Outras variantes mais novas como o UnSpyPC é que são responsáveis pelos casos atuais de Wareout.

   O FixWareout é útil para remover infecções de Wareout.

10. 1,7%: Instant Access

    O Instant Access (Acesso Instantâneo), também conhecido como NaviPromo, é um dialer (discador) que exibe pop-ups e pode tentar discar um número de acesso premium que irá cobrar do usuário uma taxa elevada de acesso à Internet. O Instant Access possui funcionalidades de rootkit, ou seja, ele é capaz de esconder seus arquivos da visualização do usuário, mesmo com a opção para ver arquivos ocultos ativada.

    A remoção do Instant Access é complexa. O uso de diversas ferramentas se faz necessário, inclusive detectores de rootkit.

Erramos: Um erro de contagem colocou Worms nas listas de dezembro e novembro de 2006. Os top10 foram alterados e corrigidos. Worms se encontravam na 9ª posição nos dois meses, com Zango (dezembro) e New.net (novembro) na décima. Com a saída dos worms, Zango e New.net subiram uma posição. Na décima posição, para completar novamente a lista, entraram MyWay (dezembro) e RxToolbar (novembro). Você pode conferir as listas atualizadas na página de estatísticas.

Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção. A ordem dos sistemas mais infectados continua estável. O Windows XP Gold (sem Service Pack), que havia ganhado uma posição no mês passado, voltou para a sua posição anterior.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções.