Estatísticas Malware Mensais: Dezembro de 2009

04 jan 2010
Notícias de Vírus

Programas maliciosos detectados nos computadores de utilizadores

O primeiro Top Vinte lista programas maliciosos, adware e programas potencialmente indesejados que foram detectados e neutralizados quando acedidos pela primeira vez, ou seja, pelo scan no acesso.

PosiçãoMudança de posiçãoNomeNúmero de computadores infectados
1top20_noch0Net-Worm.Win32.Kido.ir265622
2top20_noch0Net-Worm.Win32.Kido.iq211101
3top20_noch0Net-Worm.Win32.Kido.ih145364
4top20_noch0Virus.Win32.Sality.aa143166
5top20_noch0Worm.Win32.FlyStudio.cu101743
6top20_newNovonot-a-virus:AdWare.Win32.GamezTar.a63898
7top20_down-1not-a-virus:AdWare.Win32.Boran.z61156
8top20_down-1Trojan-Downloader.Win32.VB.eql61022
9top20_down-1Trojan-Downloader.WMA.GetCodec.s56364
10top20_newNovoTrojan.Win32.Swizzor.c54811
11top20_newNovoTrojan-GameThief.Win32.Magania.cpct42676
12top20_down-3Virus.Win32.Virut.ce45127
13top20_down-3Virus.Win32.Induc.a37132
14top20_noch0Trojan-Dropper.Win32.Flystud.yo33614
15top20_up3Packed.Win32.Krap.ag31544
16top20_down-3Packed.Win32.Black.a31340
17top20_noch0Worm.Win32.Mabezat.b31020
18top20_down-2Packed.Win32.Klone.bj28814
19top20_down-7Packed.Win32.Black.d28560
20top20_down-5Worm.Win32.AutoRun.dui28551

Tradicionalmente, o primeiro Top Vinte é relativamente estável e o de Dezembro não foi exceção. O aparecimento de três recém-chegados nos sexto, décimo e décimo primeiro lugares empurrou alguns outros programas para baixo os rankings. A exceção foi Packed.Win32.Krap.ag, que pela primeira vez apareceu nos rankings no mês passado, e que subiu três lugares este mês. Krap.ag, como outros representantes da família Packed, descobre um programa de compactação usado para compactar programas maliciosos – neste caso, programas antivírus rogue. Os números deste programa malicioso aumentaram ligeiramente, o que sugere que os cibercriminosos continuam a usar ativamente estes programas para fazerem lucros.

GamezTar.a, que se introduziu no sexto lugar, é um notável recém-chegado de Dezembro . Este programa apresenta-se como sendo uma barra de ferramentas de browser popular que fornece acesso rápido a jogos online. Naturalmente, expõe também anúncios irritantes. Adicionalmente, instala um número de aplicações que correm independentemente da barra de ferramentas e interferem na actividade online, se estiver à procura ou a expor conteúdo. O EULA (www.gameztar.com/terms.do) realmente cobre todas estas funções, mas a atenção do utilizador está normalmente concentrada no grande e brilhante botão “clique aqui, ganhe jogos gratuitos” em vez dos "termos quase invisíveis do serviço” no fundo da tela. Recomenda-se altamente que se leia EULA (se ele existir) antes de fazer o download de qualquer tipo de software.

O décimo lugar coube a por Trojan. Win32. Swizzor.c, um parente de Swizzor.b, que apareceu nos rankings em agosto , e Swizzor.a, que data de maio . As pessoas atrás deste código destramente ofuscado não descansam sob seus louros e criam regularmente novas variantes. A função real deste Trojan é muito simples – faz downloads de outros arquivos maliciosos a partir da Internet.

Programas maliciosos na Internet

O segundo Top Vinte apresenta dados de gerados pelo componente de antivírus na web, e reflectem a paisagem de ameaças online. Este ranking inclui programas maliciosos descobertos em páginas Web e downloads de malware em computadores-vítima a partir de páginas da Web.

PosiçãoMudança de posiçãoNomeNúmero de tentativas de download
1top20_noch0Trojan-Downloader.JS.Gumblar.x445881
2top20_up3Trojan.JS.Redirector.l178902
3top20_newNovonot-a-virus:AdWare.Win32.GamezTar.a165678
4top20_down-2Trojan-Downloader.HTML.IFrame.sz134215
5top20_newNovoTrojan-Clicker.JS.Iframe.db128093
6top20_down-2not-a-virus:AdWare.Win32.Boran.z109256
7top20_newNovoTrojan.JS.Iframe.ez91737
8top20_newNovoTrojan.JS.Zapchast.bn64756
9top20_newNovoPacked.JS.Agent.bn60361
10top20_newNovoPacked.Win32.Krap.ai43042
11top20_up8Packed.Win32.Krap.ag41731
12top20_newNovoExploit.JS.Pdfka.asd36044
13top20_newNovoTrojan.JS.Agent.axe35309
14top20_newNovoTrojan-Downloader.JS.Shadraem.a35187
15top20_retRegressoTrojan.JS.Popupper.f33745
16top20_newNovonot-a-virus:AdWare.Win32.GamezTar.b33266
17top20_newNovoTrojan-Downloader.JS.Twetti.a30368
18top20_newNovoTrojan-Downloader.Win32.Lipler.iml28634
19top20_newNovoTrojan-Downloader.JS.Kazmet.d28374  
20top20_newNovoTrojan.JS.Agent.axc26198

O segundo Top Vinte alterou-se muito mais que o primeiro, com só um quarto dos programas que figuraram no mês passado a permanecerem nos rankings. Um programa malicioso reentrou no Top Vinte; contudo, o resto da tabela sofreu modificações significantivas.

Gumblar.x permanece o líder, mas os sites infeccionados com este malware estão sendo gradualmente limpos pelos webmasters – o número de tentativas de carregamento únicas em Dezembro foi aproximadamente um quarto daquelas a que se assistiu em Novembro.

Krap.ag, que também figura no primeiro Top Vinte, subiu 8 lugares neste ranking. As tentativas de download deste programa foram de 50 % no mês passado. Pouco acima de Krap.ag está Krap.ai, que também detecta um programa de embalagem dedicado usado para descompactar programas antivírus rogue.

GamezTar.a também aparece no segundo Top Vinte. Isto não surpreende dada a conexão do programa a jogos online. Além disso, outra modificação a este programa malicioso – GamezTar.b – introduziu-se nos rankings em décimo sexto lugar.

No quinto lugar está Trojan-Clicker.JS.Iframe.db, um iframe-downloader típico com ofuscação simples.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, e Trojan-Downloader.JS.Kazmet.d são todos scripts projectados para explorarem a vulnerabilidade de produtos Microsoft e Adobe de forma a efectuarem downloads de ficheiros executáveis. Estes programas variam quanto a sofisticação e complexidade da ofuscação empregada.

Trojan-Downloader.JS.Twetti.a, no 17o lugar, é um exemplo muito interessante de criatividade no cyber-crime. Muitos sites legítimos foram infectados com este malware e vale a pena atentar na forma como funciona. Uma vez decifrado, não há nenhum traço de uma conexão ao ficheiro executável principal e nada de exploits ou links para elas! A análise mostra que o script usa um API (interface de programação de aplicação) popular tanto com os cyber-criminosos e como no Twitter.

Os Trojans funcionam do seguinte modo: cria um pedido ao API que resulta em dados sobre assim chamadas "tendências" – isto é, os tópicos mais discutidos no Twitter. Os dados devolvidos são então usados para criar um nome de domínio aparentemente casual, que os cibercriminosos registraram com antecedência tendo usado um método semelhante, e é criado um redirecionar para este domínio . A parte principal do malware (seja uma redirect PDF ou um arquivo executável) será colocada no domínio. Por outras palavras, a conexão maliciosa e o redirecionar são prontamente criados via um intermediário, que neste caso acontece ser o Twitter.

Deve ser observado que ambos Packed.JS.Agent.bn e Trojan-Downloader.JS.Twetti.a usam um ficheiro PDF especialmente criado para infectar computadores de utilizadores. Este arquivo é detectado como Exploit.JS.Pdfka.asd e também alcançou o segundo Top Vinte, entrando para o décimo segundo lugar. Por isso, podemos supor que pelo menos três dos programas maliciosos de Dezembro fossem de um único bando cyber-criminoso . Também causa de preocupação o facto de os programas das famílias TDSS, Sinowal e Zbot - algumas das ameaças mais perigosas actualmente existentes - foram descobertos entre os ficheiros executáveis carregados em máquinas de vítima durante ataques drive-by .

Em resumo, as tendências permanecem as mesmas. Os ataques estão-se a tornar mais sofisticados e mais difíceis de analisar. O seu objective, na maior parte dos casos, é fazer dinheiro de qualquer modo. As ameaças não são puramente virtuais; podem causar sérios danos, e é por isso que se deve assegurar de que o seu computador e os seus dados estão protegidos.

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.