Ir direto para o menu
Ir direto para o conteúdo
As infecções de fevereiro trazem os bankers em segundo lugar,
Redação Linha Defensiva | 01/03/2006 - 00h16
O mês de fevereiro foi mais tranqüilo que janeiro. Embora menos logs infectados tenham sido analisados pela Linha Defensiva, os Bankers — cavalos-de-tróia que roubam senhas de banco — conseguiram atingir a segunda colocação no top 10, subindo da terceira do mês passado. O worm de MSN ‘Sua foto’ também aparece, em 5º.
Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.
Bots formam as botnets ou “redes zumbi”. Os bots estão em primeiro lugar desde que a Linha Defensiva publica as estatísticas. Eles já causaram problemas até mesmo em hospitais. Nesse mês, houve uma redução no número de Bots, mas é bem provável que o número de infecções aumente novamente em março.
Bankers são os cavalos-de-tróia utilizados pelos responsáveis pelas fraudes bancárias pela Internet. O número de infecções com Banker aumentou muito recentemente. Em sua maioria, Bankers são vírus simples de serem removidos, mas o principal problema é que muitos antivírus não conseguem detectar os Bankers por atacarem computadores no Brasil.
A melhor maneira de evitar as fraudes é não ser infectado por um desses trojans. Eles são distribuídos com o uso de diversos e-mails falsos, então a melhor maneira de se proteger é tomar cuidado com os links em mensagens de e-mail.
Smitfraud é o nome das diversas infecções que instalam anti-spywares falsos no sistema e tentam convencer o usuário a comprar esse anti-spyware “picareta” para limpar a infecção. Os anti-spywares oferecidos (SpyFalcon, SpyAxe, SpySheriff, entre outros) não devem ser confiados.
A Linha Defensiva oferece tutoriais de remoção para diversas versões do Smitfraud: SpyAxe/SpyFalcon, Antivirus Gold e SpySheriff.
CoolWebSearch é um conjunto de infecções que “seqüestram” o navegador de Internet e exibem páginas que usuário não pediu, além de travar a página inicial do navegador. A versão mais comum do CoolWebSearch, atualmente, é a “Secure32″, que muda a página inicial do navegador para abrir o arquivo secure32.html, que diz que o computador está infectado. A versão Secure32 é instalada juntamente com algumas versões do Smitfraud.
Versões mais antigas do CoolWebSearch (CWS) estão detalhadas no artigo Crônicas do CoolWebSearch.
Praga que se espalhou esse mês no MSN Messenger com mensagens prometendo uma foto “sua”. Como a Linha Defensiva disponibilizou uma ferramenta de remoção, o número de casos no fórum (que são contados nas estatísticas) diminuíram. A ferramenta teve mais de 6500 downloads.
Diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.
A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox.
O Look2Me (também conhecido como “AD-w-a-r-e”) havia desaparecido do top 10. Em dezembro de 2005 ele estava na sexta posição, mas com apenas 2,6% das infecções. Apesar de um maior número de ocorrências do que no fim de 2005, ele conseguiu apenas a sétima posição esse mês.
Remover o Look2Me sempre é um problema, pois novas versões do adware são lançadas periodicamente, o que torna as ferramentas de remoção inúteis. A ferramenta mais atual para removê-lo é o Look2Me-Destroyer.
O conhecido adware responsável pela “barra azul do Messenger Plus!”. Também conhecido como LOP.COM, ele redireciona a página inicial e exibe barras de anúncios. É instalado pelo Messenger Plus! 3 e Warez P2P, entre outros softwares. Geralmente é possível instalar o programa sem que o LOP o acompanhe. Se você conseguiu o LOP.COM instalando um software como o Messenger Plus!, o mesmo deve ser removido. Para mais detalhes veja o tópico no fórum sobre praga.
Um dos desenvolvedores de adware mais conhecidos. A 180Solutions está atualmente tentando justificar seu modelo de negócios, mas organizações de defesa do consumidor continuam iniciando processos e reclamações com os órgãos do governo para impedir a empresa de instalar ilegamente seu adware “Zango”, que exibe pop-ups mesmo quando o usuário não está visitando nenhum dos sites patrocinados pelo programa.
A Integrated Search Technologies (IST) distribui diversos spywares como SurfAccuracy, Internet Optimizer, Power Scan, YSB, SideFind e outros. Todos esses programas foram agrupados aqui. A remoção deles é geralmente fácil, bastando remover a pasta do programa em Modo de Segurança. Alguns programas possuem entrada funcional no Adicionar/Remover Programas, então é possível usá-la também.
21,1% das infecções se tratavam de trojans genéricos que podem ser removidos simplesmente apagando os arquivos no Modo de Segurança. A maioria desses trojans são responsáveis pela instalação das infecções acima.
Os números abaixo são baseados apenas nos logs que possuíam pelo menos uma infecção. A ordem não mudou absolutamente nada em relação ao mês de janeiro.
| Windows XP SP2 | 63,9% |
| Windows XP SP1 | 12,9% |
| Windows XP Gold (Sem SP) | 12,9% |
| Windows 98/98SE | 4,8% |
| Windows 2000 SP3/SP4 | 3,4% |
| Windows ME | 0,7% |
| Windows 2000 Gold(sem SP)/SP1/SP2 | 0,7% |
| Windows 2003 SP1 | 0,7% |
Os criadores de vírus adotaram o exploit do WMF como o “padrão” para infectar o Windows XP. A falha também afeta o SP2, então não faz muita diferença utilizar o SP2 ou um SP1 se eles não estiverem com os últimos patches instalados.
É interessante notar que esses números são influenciados pelo número de sistemas usados. Como o Windows 2000 é menos utilizado que o XP, é natural que haja um número maior de sistemas XP infectados.
Além dos já conhecidos truques como cartões virtuais e falsos alertas sobre inclusão no SPC, também circularam fraudes usando animações da Katilce e do Mundo Canibal. Os links, como sempre, levam o usuário até um arquivo .scr que possui o instalador de um Banker.
E-mails informando sobre falsos processos por danos morais, versões inexistente de um plugin do MSN e promoções da Copa de 2006 também circularam.
Todos os meses os criminosos digitais tentam novos truques para infectar cada vez mais usuários com os “Keyloggers” que roubam senhas de banco, os Bankers. Sempre que você receber um e-mail, desconfie de sua autenticidade.
