Kaspersky Lab apresenta as suas estatísticas malware mensais para Outubro. A partir deste mês, os dados usados são reunidos a partir de todos os produtos que usam Kaspersky Security Network (KSN), ou seja, produtos das linhas 2009 e 2010. Por isto, os Tops Vinte mudaram um pouco, e os números em ambas as contagens deste mês são significantemente mais altos, devido ao aumento de utilizadores de KSN.
O primeiro Top Vinte é uma lista de programas maliciosos, adware e programas potencialmente indesejados que foram detectados e neutralizados quando acedidos pela primeira vez, ou seja, pelo scanner no acesso.
| Posição | Mudança de posição | Nome | Numero de computadores infectados |
|---|
| 1 |  3 | Net-Worm.Win32.Kido.ir | 344745 |
| 2 |  -1 | Net-Worm.Win32.Kido.ih | 126645 |
| 3 |  0 | not-a-virus:AdWare.Win32.Boran.z | 114776 |
| 4 | -2 | Virus.Win32.Sality.aa | 87839 |
| 5 | 6 | Worm.Win32.FlyStudio.cu | 70163 |
| 6 | -1 | Trojan-Downloader.Win32.VB.eql | 52012 |
| 7 | 0 | Virus.Win32.Induc.a | 49251 |
| 8 |  Novo | Packed.Win32.Black.d | 39666 |
| 9 | Novo | Worm.Win32.AutoRun.awkp | 35039 |
| 10 | -3 | Virus.Win32.Virut.ce | 33354 |
| 11 |  Regresso | Packed.Win32.Black.a | 31530 |
| 12 | -1 | Worm.Win32.AutoRun.dui | 25370 |
| 13 | 4 | Trojan-Dropper.Win32.Flystud.yo | 24038 |
| 14 | Novo | Trojan-Dropper.Win32.Agent.bcyx | 22471 |
| 15 | Regresso | Packed.Win32.Klone.bj | 21919 |
| 16 | Regresso | Trojan.Win32.Swizzor.b | 19496 |
| 17 | Novo | Trojan-Downloader.WMA.GetCodec.s | 18571 |
| 18 | -4 | Worm.Win32.Mabezat.b | 19708 |
| 19 | Novo | Trojan-GameThief.Win32.Magania.cbrt | 17610 |
| 20 | Novo | Trojan-Dropper.Win32.Agent.ayqa | 16909 |
Net-Worm.Win32.Kido.ir, que fez a sua última aparição no mês passado, substituiu o líder tradicional, Kido.ih. O que demonstra uma vez mais que os meios amovíveis são uma das principais fontes de infecção.
Ainda sobre os meios amovíveis, ao Autorun.dui, que aparece regularmente nas nossas listas, juntou-se um programa extremamente similar, Autorun.awkp, que entrou para o nono lugar. Estes programas maliciosos, como os seus nomes sugerem, executam malware automaticamente em dispositivos amovíveis.
Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b regressaram ao primeiro Top vinte este mês. Ainda por cima, ao Black.a juntou-se uma nova versão – Black.d. Recapitulando, a família Packed.Win32.Black inclui programas que foram empacotados com versões não-licenciadas de utilitários legítimos usados para a protecção de ficheiros executáveis. Neste caso particular o empacotador é ASProtect, um utilitário frequentemente usado por cyber-criminosos.
Outra nova adição é o programa Trojan downloader de multimédia GetCodec.s. Este Trojan é parente do GetCodec.r sobre o qual escrevemos em Dezembro do ano passado (www.viruslist.com/en), e espalha-se com a ajuda de P2P-Worm.Win32.Nugg, tal como o fazia a variante anterior.
Deu-se um ressurgir da actividade da em tempos famosa família Magania. Em Julho, Trojan-GameThief.Win32.Magania.biht encontrava-se entre o top 20 dos mais comuns programas maliciosos na Internet. In Outubro, uma nova versão – Magania.cbrt – assim como Trojan-Dropper.Win32.Agent.ayqa, que estava ligado aos Magania, estavam entre os 20 programas maliciosos mais frequentemente detectados nos computadores dos utilizadores.
Para resumir a primeira tabela: programas maliciosos que se espalham via aparelhos removíveis de novo prevaleceram durante este mês, e foi notada certa actividade de Trojans de jogos (ainda que não em níveis significantes).
O segundo Top Vinte apresenta dados gerados pelo componente antivírus web, e reflecte a paisagem de ameaças online. Este ranking inclui programas maliciosos detectados em páginas web e malware descarregado em computadores-vítimas a partir de páginas web.
Como de costume a segunda tabela sofreu algumas mudanças desde o mês passado.
| Posição | Mudança de posição | Nome | Numero de computadores infectados |
|---|
| 1 | Novo | Trojan-Downloader.JS.Gumblar.x | 459779 |
| 2 | Novo | Trojan-Downloader.JS.Gumblar.w | 281057 |
| 3 | 0 | Trojan-Downloader.HTML.IFrame.sz | 192063 |
| 4 | -3 | not-a-virus:AdWare.Win32.Boran.z | 171278 |
| 5 | -3 | Trojan.JS.Redirector.l | 157494 |
| 6 | -1 | Trojan-Clicker.HTML.Agent.aq | 118361 |
| 7 | Novo | Trojan-Downloader.JS.Zapchast.m | 112710 |
| 8 | Regresso | Trojan.JS.Agent.aat | 107132 |
| 9 | Novo | Trojan-Downloader.JS.Small.oj | 60425 |
| 10 | Novo | Exploit.JS.Agent.apw | 50939 |
| 11 | -7 | Exploit.JS.Pdfka.ti | 46303 |
| 12 | Novo | Trojan.JS.Popupper.f | 39204 |
| 13 | -1 | Trojan-Downloader.JS.IstBar.bh | 34944 |
| 14 | Novo | Trojan.JS.Zapchast.an | 30546 |
| 15 | -6 | Trojan-Downloader.JS.LuckySploit.q | 29105 |
| 16 | Novo | Trojan-Downloader.JS.Agent.env | 27405 |
| 17 | Novo | Trojan-Dropper.Win32.Agent.ayqa | 26994 |
| 18 | Regresso | Trojan-Clicker.HTML.IFrame.mq | 26057 |
| 19 | Novo | Trojan-GameThief.Win32.Magania.bwsr | 26032 |
| 20 | Novo | Exploit.JS.Agent.anr | 25517 |
As duas posições de topo foram reclamadas por novas variantes de Gumblar, um programa Trojan-Downloader de scripts. Este programa causou alguma comoção em fins de Maio e subiu directamente para o topo do ranking em Junho.
As novas variantes Gumblar usam tecnologias mais sofisticadas do que aquelas que lhes sucederam. Previamente, era injectado código em páginas web legítimas pages sob o qual era executado um script localizado num site cyber-criminoso sem o conhecimento do utilizador. Agora, contudo, os sites comprometidos contém links para scripts maliciosos colocados em outros sites legítimos comprometidos: o que torna a análise mais difícil e a neutralização da rede maliciosa mais complexa. O próprio script está concebido de forma a explorar diversas vulnerabilidades no Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=20046-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-20046-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) de forma a efectuar o download do programa malicioso principal – Trojan-PSW.Win32.Kates.j. Algumas das variantes do script contém o Trojan dentro do seu corpo; quando o script é executado, tenta efectuar o download de Kates.j para o computador-vítima e assegurar-se de que será executado automaticamente. As infecções são concebidas de forma a roubar dados confidenciais, incluindo detalhes de acesso a websites que podem ser usados para infectar sites adicionais.
O ataque através de Gumblar foi cuidadosamente planeado; contudo, com um pouco de trabalho cuidadoso, as peças do puzzle fizeram finalmente sentido, e a detecção de todo o malware envolvido foi adicionada a bases de dados antivírus.
A técnica para dividir um script malicioso em várias partes de forma a dificultar a detecção e análise está cada vez mais a tornar-se popular. Cerca de um quarto dos programas no Top Vinte deste mês foram concebidos desta forma: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, e Trojan-Downloader.JS.Agent.env.
Alcançando igualmente lugar no nosso Top Vinte estiveram Trojan-Dropper.Win32.Agent.ayqa (acima referido) e mais um programa projectado para o roubo de passwords a partir de jogos online, Trojan-GameThief.Win32.Magania.bwsr.
Concluindo, este mês caracterizoou-se pela infecção a partir de websites com o programa Trojan-Downloader Gumblar. A divisão de scripts maliciosos é igualmente uma tendência marcada.
Finalmente, segue abaixo uma lista dos países onde teve origem a maior parte de tentativas para infeccionar a partir da web:
(China)
(Japan)
(Korea)
