Estatísticas Malware Mensais: Outubro 2009

15 nov 2009
Notícias de Vírus

Kaspersky Lab apresenta as suas estatísticas malware mensais para Outubro. A partir deste mês, os dados usados são reunidos a partir de todos os produtos que usam Kaspersky Security Network (KSN), ou seja, produtos das linhas 2009 e 2010. Por isto, os Tops Vinte mudaram um pouco, e os números em ambas as contagens deste mês são significantemente mais altos, devido ao aumento de utilizadores de KSN.

O primeiro Top Vinte é uma lista de programas maliciosos, adware e programas potencialmente indesejados que foram detectados e neutralizados quando acedidos pela primeira vez, ou seja, pelo scanner no acesso.

Posição Mudança de posição Nome Numero de computadores infectados
1   3 Net-Worm.Win32.Kido.ir   344745  
2   -1 Net-Worm.Win32.Kido.ih   126645  
3   0 not-a-virus:AdWare.Win32.Boran.z   114776  
4   -2 Virus.Win32.Sality.aa   87839  
5   6 Worm.Win32.FlyStudio.cu   70163  
6   -1 Trojan-Downloader.Win32.VB.eql   52012  
7   0 Virus.Win32.Induc.a   49251  
8   Novo Packed.Win32.Black.d   39666  
9   Novo Worm.Win32.AutoRun.awkp   35039  
10   -3 Virus.Win32.Virut.ce   33354  
11   Regresso Packed.Win32.Black.a   31530  
12   -1 Worm.Win32.AutoRun.dui   25370  
13   4 Trojan-Dropper.Win32.Flystud.yo   24038  
14   Novo Trojan-Dropper.Win32.Agent.bcyx   22471  
15   Regresso Packed.Win32.Klone.bj   21919  
16   Regresso Trojan.Win32.Swizzor.b   19496  
17   Novo Trojan-Downloader.WMA.GetCodec.s   18571  
18   -4 Worm.Win32.Mabezat.b   19708  
19   Novo Trojan-GameThief.Win32.Magania.cbrt   17610  
20   Novo Trojan-Dropper.Win32.Agent.ayqa   16909  

Net-Worm.Win32.Kido.ir, que fez a sua última aparição no mês passado, substituiu o líder tradicional, Kido.ih. O que demonstra uma vez mais que os meios amovíveis são uma das principais fontes de infecção.

Ainda sobre os meios amovíveis, ao Autorun.dui, que aparece regularmente nas nossas listas, juntou-se um programa extremamente similar, Autorun.awkp, que entrou para o nono lugar. Estes programas maliciosos, como os seus nomes sugerem, executam malware automaticamente em dispositivos amovíveis.

Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b regressaram ao primeiro Top vinte este mês. Ainda por cima, ao Black.a juntou-se uma nova versão – Black.d. Recapitulando, a família Packed.Win32.Black inclui programas que foram empacotados com versões não-licenciadas de utilitários legítimos usados para a protecção de ficheiros executáveis. Neste caso particular o empacotador é ASProtect, um utilitário frequentemente usado por cyber-criminosos.

Outra nova adição é o programa Trojan downloader de multimédia GetCodec.s. Este Trojan é parente do GetCodec.r sobre o qual escrevemos em Dezembro do ano passado (www.viruslist.com/en), e espalha-se com a ajuda de P2P-Worm.Win32.Nugg, tal como o fazia a variante anterior.

Deu-se um ressurgir da actividade da em tempos famosa família Magania. Em Julho, Trojan-GameThief.Win32.Magania.biht encontrava-se entre o top 20 dos mais comuns programas maliciosos na Internet. In Outubro, uma nova versão – Magania.cbrt – assim como Trojan-Dropper.Win32.Agent.ayqa, que estava ligado aos Magania, estavam entre os 20 programas maliciosos mais frequentemente detectados nos computadores dos utilizadores.

Para resumir a primeira tabela: programas maliciosos que se espalham via aparelhos removíveis de novo prevaleceram durante este mês, e foi notada certa actividade de Trojans de jogos (ainda que não em níveis significantes).

O segundo Top Vinte apresenta dados gerados pelo componente antivírus web, e reflecte a paisagem de ameaças online. Este ranking inclui programas maliciosos detectados em páginas web e malware descarregado em computadores-vítimas a partir de páginas web.

Como de costume a segunda tabela sofreu algumas mudanças desde o mês passado.

Posição Mudança de posição Nome Numero de computadores infectados
1   Novo Trojan-Downloader.JS.Gumblar.x   459779  
2   Novo Trojan-Downloader.JS.Gumblar.w   281057  
3   0 Trojan-Downloader.HTML.IFrame.sz   192063  
4   -3 not-a-virus:AdWare.Win32.Boran.z   171278  
5   -3 Trojan.JS.Redirector.l   157494  
6   -1 Trojan-Clicker.HTML.Agent.aq   118361  
7   Novo Trojan-Downloader.JS.Zapchast.m   112710  
8   Regresso Trojan.JS.Agent.aat   107132  
9   Novo Trojan-Downloader.JS.Small.oj   60425  
10   Novo Exploit.JS.Agent.apw   50939  
11   -7 Exploit.JS.Pdfka.ti   46303  
12   Novo Trojan.JS.Popupper.f   39204  
13   -1 Trojan-Downloader.JS.IstBar.bh   34944  
14   Novo Trojan.JS.Zapchast.an   30546  
15   -6 Trojan-Downloader.JS.LuckySploit.q   29105  
16   Novo Trojan-Downloader.JS.Agent.env   27405  
17   Novo Trojan-Dropper.Win32.Agent.ayqa   26994  
18   Regresso Trojan-Clicker.HTML.IFrame.mq   26057  
19   Novo Trojan-GameThief.Win32.Magania.bwsr   26032  
20   Novo Exploit.JS.Agent.anr   25517  

As duas posições de topo foram reclamadas por novas variantes de Gumblar, um programa Trojan-Downloader de scripts. Este programa causou alguma comoção em fins de Maio e subiu directamente para o topo do ranking em Junho.

As novas variantes Gumblar usam tecnologias mais sofisticadas do que aquelas que lhes sucederam. Previamente, era injectado código em páginas web legítimas pages sob o qual era executado um script localizado num site cyber-criminoso sem o conhecimento do utilizador. Agora, contudo, os sites comprometidos contém links para scripts maliciosos colocados em outros sites legítimos comprometidos: o que torna a análise mais difícil e a neutralização da rede maliciosa mais complexa. O próprio script está concebido de forma a explorar diversas vulnerabilidades no Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=20046-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-20046-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) de forma a efectuar o download do programa malicioso principal – Trojan-PSW.Win32.Kates.j. Algumas das variantes do script contém o Trojan dentro do seu corpo; quando o script é executado, tenta efectuar o download de Kates.j para o computador-vítima e assegurar-se de que será executado automaticamente. As infecções são concebidas de forma a roubar dados confidenciais, incluindo detalhes de acesso a websites que podem ser usados para infectar sites adicionais.

O ataque através de Gumblar foi cuidadosamente planeado; contudo, com um pouco de trabalho cuidadoso, as peças do puzzle fizeram finalmente sentido, e a detecção de todo o malware envolvido foi adicionada a bases de dados antivírus.

A técnica para dividir um script malicioso em várias partes de forma a dificultar a detecção e análise está cada vez mais a tornar-se popular. Cerca de um quarto dos programas no Top Vinte deste mês foram concebidos desta forma: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, e Trojan-Downloader.JS.Agent.env.

Alcançando igualmente lugar no nosso Top Vinte estiveram Trojan-Dropper.Win32.Agent.ayqa (acima referido) e mais um programa projectado para o roubo de passwords a partir de jogos online, Trojan-GameThief.Win32.Magania.bwsr.

Concluindo, este mês caracterizoou-se pela infecção a partir de websites com o programa Trojan-Downloader Gumblar. A divisão de scripts maliciosos é igualmente uma tendência marcada.

Finalmente, segue abaixo uma lista dos países onde teve origem a maior parte de tentativas para infeccionar a partir da web:

enlarge

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.