Estatísticas Mensais Malware: Setembro 2009

05 out 2009
Notícias de Vírus

Kaspersky Lab apresenta as suas estatísticas mensais malware para Setembro.

Os números nos quais ambos os Top Vinte se baseiam diminuíram, devido a um lançamento surpresa dos novos produtos KAV/KIS em diferentes países e a muitos utilizadores que migram para os produtos 2010 de Kaspersky Lab. Os dados da linha de produtos 2010 não foram usados na compilação das avaliações de Setembro, mas serão usados no futuro.

PosiçãoMudança de posiçãoNomeNumero de computadores infectados
1   0Net-Worm.Win32.Kido.ih  41033  
2   0Virus.Win32.Sality.aa  18027  
3   0not-a-virus:AdWare.Win32.Boran.z  12470  
4   NovoNet-Worm.Win32.Kido.ir  11384  
5   -1Trojan-Downloader.Win32.VB.eql  6433  
6   -1Trojan.Win32.Autoit.ci  6168  
7   3Virus.Win32.Induc.a  5947  
8   -2Virus.Win32.Virut.ce  5433  
9   NovoP2P-Worm.Win32.Palevo.jdb  5169  
10   -2Net-Worm.Win32.Kido.jq  4288  
11   NovoWorm.Win32.FlyStudio.cu  4104  
12   -5Worm.Win32.AutoRun.dui  4071  
13   -4Virus.Win32.Sality.z  4056  
14   6P2P-Worm.Win32.Palevo.jaj  3564  
15   -4Worm.Win32.Mabezat.b  2911  
16   NovoExploit.JS.Pdfka.ti  2823  
17   NovoTrojan-Downloader.WMA.Wimad.y  2544  
18   0Trojan-Dropper.Win32.Flystud.yo  2513  
19   NovoP2P-Worm.Win32.Palevo.jcn  2480  
20   NovoTrojan.Win32.Refroso.bpk  2387  

Kido (Conficker) permanece activo. Kido.ih, foi o líder deste Top Vinte durante os seis meses passados, a quem se juntou outra variante, Kido.ir, que é um recém-chegado aos rankings. Esta detecção cobre todos os arquivos autorun.inf que o worm cria para se espalhar via meios removíveis.

O worm Palevo está -se a estender com relativa rapidez, com duas novas variantes – Palevo.jdb e Palevo.jcn – a aparecerem na avaliação de Setembro. Entretanto, Palevo.jaj, uma nova entrada do mês passado, subiu 6 lugares, o maior salto na avaliação de Setembro. O aumento no número destas duas partes de malware é principalmente devido ao facto de poderem espalhar-se via dispositivos removíveis, indicando que este método de propagação permanece extremamente eficaz.

FlyStudio.cu, um worm de origem chinesa, confirma isto, pois também se estende via dispositivos removíveis. Este malware também tem a função backdoor tão comum no malware de hoje.

As novas entradas na avaliação deste mês incluem uma nova variante do downloader multimédia Wimad – Trojan-Downloader.WMA.Wimad.y – que teve uma anterior comparência nas avaliações. Esta variante não se diferencia fundamentalmente de variantes prévias: quando é lançado, ele tenta carregar e realizar um arquivo malicioso, neste caso não-vírus:AdWare.Win32.PlayMP3z.a.

Outra nova entrada, Exploit.JS.Pdfka.ti, é examinado mais detalhadamente abaixo, como também entrou para o segundo Top Vinte.

A característica mais notável do primeiro Top Vinte é a quantidade de malware que se auto-propaga, que continua a fazer sentida a sua presença.

PosiçãoMudança de posiçãoNomeNumero de computadores infectados
1   0not-a-virus:AdWare.Win32.Boran.z  17624  
2   1Trojan.JS.Redirector.l  16831  
3   -1Trojan-Downloader.HTML.IFrame.sz  6586  
4   NovoExploit.JS.Pdfka.ti  3834  
5   NovoTrojan-Clicker.HTML.Agent.aq  3424  
6   4Trojan-Downloader.JS.Major.c  2970  
7   -3Trojan-Downloader.JS.Gumblar.a  2583  
8   NovoExploit.JS.ActiveX.as  2434  
9   -1Trojan-Downloader.JS.LuckySploit.q  2224  
10   -3Trojan-GameThief.Win32.Magania.biht  1627  
11   NovoExploit.JS.Agent.ams  1502  
12   4Trojan-Downloader.JS.IstBar.bh  1476  
13   NovoTrojan-Downloader.JS.Psyme.gh  1419  
14   NovoExploit.JS.Pdfka.vn  1396  
15   RegressoExploit.JS.DirektShow.a  1388  
16   -10Exploit.JS.DirektShow.k  1286  
17   Regressonot-a-virus:AdWare.Win32.Shopper.l  1268  
18   Regressonot-a-virus:AdWare.Win32.Shopper.v  1247  
19   NovoTrojan-Clicker.JS.Agent.jb  1205  
20   NovoExploit.JS.Sheat.f  1193  

Uma vez mais, houve muito movimento no segundo Top Vinte desde o mês passado.

Este ranking inclui duas variantes de Exploit.JS.Pdfka. Este é o nome dado a ficheiros JavaScript que são descobertos em documentos PDF e usados para explorar uma variedade de vulnerabilidades nos produtos Adobe. Neste caso, o malware explora vulnerabilidades do Adobe Reader. Pdfka.ti explora uma vulnerabilidade na função Collab.collectEmailInfo que existe à volta de dois anos. Pdfka.vn explora uma ligeiramente vulnerabilidade mais recente na função de getIcon no mesmo objeto de Collab.

Os cyber-criminosos têm feito um esforço conjunto para explorar todas as vulnerabilidades nos produtos Adobe – um número das quais foi descoberto nos últimos anos – independentemente da versão do produto. Isto aumenta a possibilidade do malware ser carregado em computadores sem patches. Por causa desta ameaça, o software usualmente usado de vendedores principais (neste caso, a Adobe) deve ser actualizado logo que os remendos de segurança sejam lançados.

Exploit.JS.DirektShow eExploit.JS.Sheat são duas famílias malware que figuraram em avaliações prévias; permanecem activas, com DirektShow.a regressar e Sheat.f a fazer a sua primeira aparição.

Outras novas entradas no segundo Top Vinte são iframe-clickers ou partes de um script malicioso (As Estatísticas Malware de Julho contêm detalhes de como os scripts maliciosos são muitas vezes divididos em várias partes.)

Em geral, as tendências dos últimos meses mantiveram-se em setembro. Pacotes de web malware projectados para explorar as inumeráveis vulnerabilidades que se encontram em produtos principais ainda estão a aumentar em número, dando aos cyber-criminosos oportunidades para actividades maliciosas. Iframe-clickers simples colocados em sites legítimos mas infectados, ajudam a espalhar estes pacotes. E os cyber-criminosos são capazes de conseguir acesso a estes sites legítimos e neles colocar malware porque usaram antes outro malware concebido para roubar dados confidenciais, tais como palavras-passe. Todos estes passos compõem um processo cíclico de compromisso e infecção que pode ser infinitamente repetido.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.