Estatísticas Malware Mensais: Novembro 2009

05 dez 2009
Notícias de Vírus

Programas maliciosos detectados nos computadores de utilizadores

O primeiro Top Vinte lista programas maliciosos, adware e programas potencialmente indesejados que foram detectados e analisados quando foram encontrados pela primeira vez, ou seja, pelo scanner no acesso.

Posição Mudança de posição Nome Numero de computadores infectados
1   0 Net-Worm.Win32.Kido.ir   330305  
2   Novo Net-Worm.Win32.Kido.iq   174351  
3   -1 Net-Worm.Win32.Kido.ih   145332  
4   0 Virus.Win32.Sality.aa   128737  
5   0 Worm.Win32.FlyStudio.cu   93848  
6   -3 not-a-virus:AdWare.Win32.Boran.z   84825  
7   -1 Trojan-Downloader.Win32.VB.eql   63287  
8   9 Trojan-Downloader.WMA.GetCodec.s   48426  
9   1 Virus.Win32.Virut.ce   47812  
10   -3 Virus.Win32.Induc.a   46252  
11   -2 Worm.Win32.AutoRun.awkp   36453  
12   -4 Packed.Win32.Black.d   36422  
13   -2 Packed.Win32.Black.a   35094  
14   -1 Trojan-Dropper.Win32.Flystud.yo   34638  
15   -3 Worm.Win32.AutoRun.dui   32493  
16   -1 Packed.Win32.Klone.bj   31963  
17   1 Worm.Win32.Mabezat.b   29804  
18   Novo Packed.Win32.Krap.ag   26041  
19   Novo Trojan-GameThief.Win32.Magania.ckqi   25529  
20   Novo Trojan.Win32.Genome.bjgu   24730  

De forma geral, houve poucas modificações à primeira avaliação, embora haja alguns pontos merecedores de destaque.

Em primeiro lugar, há a chegada de Kido.iq que entrou diretamente para o 2o lugar. Este novo programa malicioso tem uma funcionalidade muito semelhante à do líder, Kido.ir, que entrou para os Tops em Setembro.

Em segundo lugar, GetCodec.s subiu um total de 9 lugares, com o número de computadores nos quais GetCodec foi descoberto a duplicar em Novembro. Resumindo, GetCodec.s espalha-se em conjunto com o P2P- Worm. Win32. Nugg, tal como GetCodec.r havíamos escrito em Dezembro passado. Parece que os cyber-criminosos estão a fazer outra tentativa de espalhar o P2P-Worm. Win32. Nugg via a rede de repartição de ficheiros Gnutella (e neste caso, usando a popular aplicação LimeWire). Este verme faz o download de outros programas maliciosos, que actuam como uma ameaça adicional aos computadores dos utilizadores.

Outro recém-chegado digno de nota é Packed.Win32.Krap.ag. Tal como fazem outros representantes da família Packed, Krap.ag descobre um programa de embalagem especial usado para empacotar programas maliciosos. Neste caso específico, os programas maliciosos, que são escondidos por um programa de compactação padrão, mas modificado, são programas de antivírus falsos, tais como aqueles sobre os quais escrevemos recentemente. Por outras palavras, o 18o lugar nos rankings está ocupado por uma solução antivírus rogue.

Após ter regressado aos Tops, a família Magania de Trojans de jogos manteve a 19a posição, apesar de a nova versão Magania.ckqi ter substituído a entrada do mês anterior, Magania.cbrt.

Programas maliciosos na Internet

O segundo Top Vinte apresenta dados gerados pelo componente antivírus na web, e reflectem a paisagem de ameaça online. Este ranking inclui programas maliciosos descobertos em páginas Web e malware do qual foi feito download a partir de páginas Web para os aparelhos das vítimas.

Posição Mudança de posição Nome Numero de computadores infectados
1   0 Trojan-Downloader.JS.Gumblar.x   1714509  
2   1 Trojan-Downloader.HTML.IFrame.sz   189881  
3   Novo Trojan-Clicker.JS.Iframe.be   170319  
4   0 not-a-virus:AdWare.Win32.Boran.z   136748  
5   0 Trojan.JS.Redirector.l   130271  
6   Novo Trojan.JS.Ramif.a   115163  
7   1 Trojan.JS.Agent.aat   55291  
8   -2 Trojan-Clicker.HTML.Agent.aq   47873  
9   Novo Trojan.HTML.Fraud.r   47473  
10   -8 Trojan-Downloader.JS.Gumblar.w   41977  
11   Novo Trojan.JS.Iframe.dy   35152  
12   -5 Trojan-Downloader.JS.Zapchast.m   31161  
13   Novo Trojan-Downloader.JS.IstBar.cy   30806  
14   Novo Trojan-Clicker.JS.Iframe.u   30553  
15   Regresso Trojan-Downloader.JS.Psyme.gh   30078  
16   Novo Trojan-Downloader.HTML.FraudLoad.b   29466  
17   Novo Trojan-Clicker.HTML.IFrame.ajn   29455  
18   Novo Trojan.JS.PrygSkok.a   27804  
19   Novo Packed.Win32.Krap.ag   26770  
20   -5 Trojan-Downloader.JS.LuckySploit.q   26175  

Gumblar continua dominando esta avaliação com um enorme espaço a separá-lo do programa no 2o lugar. O número de tentativas únicas de efectuar o download deste programa malicioso aumentou quase quatro vezes em Novembro.

O mais recente ataque Gumblar, o qual descrevemos no mês passado, continuou em força durante Novembro. Ao contrário do ataque de há seis meses atrás, desta feita todos os componentes – downloader, exploits e o ficheiro executável principal – foram substituídos ou modificados com uma regularidade alarmante.

Os programas antivírus rogue também chegaram ao Top na segunda avaliação. Um método para espalhar estes programas é o download a partir de sites que são criados usando o mesmo template e que fazem parte de afiliações ou parcerias cyber-criminosas. As páginas Web mais comummente usadas para downloads de soluções antivírus falsas em Novembro foram descobertas por nós como Trojan.HTML.Fraud.r e Trojan-Downloader.HTML.FraudLoad.b. Packed.Win32. Também foram feitos downloads de Krap.ag, acima mencionado, a partir destas páginas, e isto explica porque é que também aparece no segundo Top 20.

As outras entradas novas (downloaders de scripts que variam em termos de sofisticação e no grau de ofuscação usado) seguem tendências recentes.

Tendências de Novembro

O quadro geral permaneceu inalterado em Novembro. No momento actual, a estratégia mais comum para espalhar malware é usar um script malicioso + exploit + ficheiro executável. A maior parte das vezes, esta é a forma através da qual o malware que pretende roubar dados confidenciais ou extorquir dinheiro dos utilizadores é transmitido. Tal malware inclui programas como Trojan-PSW.Win32.Kates (os ataques de Gumblar são principalmente concebidos para efectuar o download deste malware); oTrojan-Spy.Win32.Zbot, um Trojan extremamente comum que se espalha activamente usando downloaders de scripts e emails em massa spam; e numerosos programas antivírus falsos.

Outra tendência marcada dos últimos meses que continuou em Novembro foi o uso de sites criados usando padrões estandardizados para espalhar soluções antivírus rogue.

Os cyber-criminosos também estão a usar agressivamente compactadores (normalmente polimorfos) na esperança que isto ajude os programas maliciosos compactados a evitarem a detecção, de forma a que não tenham de fazer modificações significantes aos próprios programas maliciosos.

Neste mês o malware também foi distribuído via redes P2P usando programas downloader multimédia, um método de que os cyber-criminosos fizeram uso em Dezembro passado.

Países onde a maior parte de tentativas de infeccionar via a web teve origem.

maslennikov_zitmo_pic02s enlarge

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.