Programas maliciosos detectados nos computadores de utilizadores
O primeiro Top Vinte lista programas maliciosos, adware e programas potencialmente indesejados que foram detectados e neutralizados quando acedidos pela primeira vez, ou seja, pelo scan no acesso.
| Posição | Mudança de posição | Nome | Número de computadores infectados |
| 1 |  0 | Net-Worm.Win32.Kido.ir | 265622 |
| 2 | 0 | Net-Worm.Win32.Kido.iq | 211101 |
| 3 | 0 | Net-Worm.Win32.Kido.ih | 145364 |
| 4 | 0 | Virus.Win32.Sality.aa | 143166 |
| 5 | 0 | Worm.Win32.FlyStudio.cu | 101743 |
| 6 |  Novo | not-a-virus:AdWare.Win32.GamezTar.a | 63898 |
| 7 |  -1 | not-a-virus:AdWare.Win32.Boran.z | 61156 |
| 8 | -1 | Trojan-Downloader.Win32.VB.eql | 61022 |
| 9 | -1 | Trojan-Downloader.WMA.GetCodec.s | 56364 |
| 10 | Novo | Trojan.Win32.Swizzor.c | 54811 |
| 11 | Novo | Trojan-GameThief.Win32.Magania.cpct | 42676 |
| 12 | -3 | Virus.Win32.Virut.ce | 45127 |
| 13 | -3 | Virus.Win32.Induc.a | 37132 |
| 14 | 0 | Trojan-Dropper.Win32.Flystud.yo | 33614 |
| 15 |  3 | Packed.Win32.Krap.ag | 31544 |
| 16 | -3 | Packed.Win32.Black.a | 31340 |
| 17 | 0 | Worm.Win32.Mabezat.b | 31020 |
| 18 | -2 | Packed.Win32.Klone.bj | 28814 |
| 19 | -7 | Packed.Win32.Black.d | 28560 |
| 20 | -5 | Worm.Win32.AutoRun.dui | 28551 |
Tradicionalmente, o primeiro Top Vinte é relativamente estável e o de Dezembro não foi exceção. O aparecimento de três recém-chegados nos sexto, décimo e décimo primeiro lugares empurrou alguns outros programas para baixo os rankings. A exceção foi Packed.Win32.Krap.ag, que pela primeira vez apareceu nos rankings no mês passado, e que subiu três lugares este mês. Krap.ag, como outros representantes da família Packed, descobre um programa de compactação usado para compactar programas maliciosos – neste caso, programas antivírus rogue. Os números deste programa malicioso aumentaram ligeiramente, o que sugere que os cibercriminosos continuam a usar ativamente estes programas para fazerem lucros.
GamezTar.a, que se introduziu no sexto lugar, é um notável recém-chegado de Dezembro . Este programa apresenta-se como sendo uma barra de ferramentas de browser popular que fornece acesso rápido a jogos online. Naturalmente, expõe também anúncios irritantes. Adicionalmente, instala um número de aplicações que correm independentemente da barra de ferramentas e interferem na actividade online, se estiver à procura ou a expor conteúdo. O EULA (www.gameztar.com/terms.do) realmente cobre todas estas funções, mas a atenção do utilizador está normalmente concentrada no grande e brilhante botão “clique aqui, ganhe jogos gratuitos” em vez dos "termos quase invisíveis do serviço” no fundo da tela. Recomenda-se altamente que se leia EULA (se ele existir) antes de fazer o download de qualquer tipo de software.
O décimo lugar coube a por Trojan. Win32. Swizzor.c, um parente de Swizzor.b, que apareceu nos rankings em agosto , e Swizzor.a, que data de maio . As pessoas atrás deste código destramente ofuscado não descansam sob seus louros e criam regularmente novas variantes. A função real deste Trojan é muito simples – faz downloads de outros arquivos maliciosos a partir da Internet.
Programas maliciosos na Internet
O segundo Top Vinte apresenta dados de gerados pelo componente de antivírus na web, e reflectem a paisagem de ameaças online. Este ranking inclui programas maliciosos descobertos em páginas Web e downloads de malware em computadores-vítima a partir de páginas da Web.
| Posição | Mudança de posição | Nome | Número de tentativas de download |
| 1 | 0 | Trojan-Downloader.JS.Gumblar.x | 445881 |
| 2 | 3 | Trojan.JS.Redirector.l | 178902 |
| 3 | Novo | not-a-virus:AdWare.Win32.GamezTar.a | 165678 |
| 4 | -2 | Trojan-Downloader.HTML.IFrame.sz | 134215 |
| 5 | Novo | Trojan-Clicker.JS.Iframe.db | 128093 |
| 6 | -2 | not-a-virus:AdWare.Win32.Boran.z | 109256 |
| 7 | Novo | Trojan.JS.Iframe.ez | 91737 |
| 8 | Novo | Trojan.JS.Zapchast.bn | 64756 |
| 9 | Novo | Packed.JS.Agent.bn | 60361 |
| 10 | Novo | Packed.Win32.Krap.ai | 43042 |
| 11 | 8 | Packed.Win32.Krap.ag | 41731 |
| 12 | Novo | Exploit.JS.Pdfka.asd | 36044 |
| 13 | Novo | Trojan.JS.Agent.axe | 35309 |
| 14 | Novo | Trojan-Downloader.JS.Shadraem.a | 35187 |
| 15 |  Regresso | Trojan.JS.Popupper.f | 33745 |
| 16 | Novo | not-a-virus:AdWare.Win32.GamezTar.b | 33266 |
| 17 | Novo | Trojan-Downloader.JS.Twetti.a | 30368 |
| 18 | Novo | Trojan-Downloader.Win32.Lipler.iml | 28634 |
| 19 | Novo | Trojan-Downloader.JS.Kazmet.d | 28374 |
| 20 | Novo | Trojan.JS.Agent.axc | 26198 |
O segundo Top Vinte alterou-se muito mais que o primeiro, com só um quarto dos programas que figuraram no mês passado a permanecerem nos rankings. Um programa malicioso reentrou no Top Vinte; contudo, o resto da tabela sofreu modificações significantivas.
Gumblar.x permanece o líder, mas os sites infeccionados com este malware estão sendo gradualmente limpos pelos webmasters – o número de tentativas de carregamento únicas em Dezembro foi aproximadamente um quarto daquelas a que se assistiu em Novembro.
Krap.ag, que também figura no primeiro Top Vinte, subiu 8 lugares neste ranking. As tentativas de download deste programa foram de 50 % no mês passado. Pouco acima de Krap.ag está Krap.ai, que também detecta um programa de embalagem dedicado usado para descompactar programas antivírus rogue.
GamezTar.a também aparece no segundo Top Vinte. Isto não surpreende dada a conexão do programa a jogos online. Além disso, outra modificação a este programa malicioso – GamezTar.b – introduziu-se nos rankings em décimo sexto lugar.
No quinto lugar está Trojan-Clicker.JS.Iframe.db, um iframe-downloader típico com ofuscação simples.
Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, e Trojan-Downloader.JS.Kazmet.d são todos scripts projectados para explorarem a vulnerabilidade de produtos Microsoft e Adobe de forma a efectuarem downloads de ficheiros executáveis. Estes programas variam quanto a sofisticação e complexidade da ofuscação empregada.
Trojan-Downloader.JS.Twetti.a, no 17o lugar, é um exemplo muito interessante de criatividade no cyber-crime. Muitos sites legítimos foram infectados com este malware e vale a pena atentar na forma como funciona. Uma vez decifrado, não há nenhum traço de uma conexão ao ficheiro executável principal e nada de exploits ou links para elas! A análise mostra que o script usa um API (interface de programação de aplicação) popular tanto com os cyber-criminosos e como no Twitter.
Os Trojans funcionam do seguinte modo: cria um pedido ao API que resulta em dados sobre assim chamadas "tendências" – isto é, os tópicos mais discutidos no Twitter. Os dados devolvidos são então usados para criar um nome de domínio aparentemente casual, que os cibercriminosos registraram com antecedência tendo usado um método semelhante, e é criado um redirecionar para este domínio . A parte principal do malware (seja uma redirect PDF ou um arquivo executável) será colocada no domínio. Por outras palavras, a conexão maliciosa e o redirecionar são prontamente criados via um intermediário, que neste caso acontece ser o Twitter.
Deve ser observado que ambos Packed.JS.Agent.bn e Trojan-Downloader.JS.Twetti.a usam um ficheiro PDF especialmente criado para infectar computadores de utilizadores. Este arquivo é detectado como Exploit.JS.Pdfka.asd e também alcançou o segundo Top Vinte, entrando para o décimo segundo lugar. Por isso, podemos supor que pelo menos três dos programas maliciosos de Dezembro fossem de um único bando cyber-criminoso . Também causa de preocupação o facto de os programas das famílias TDSS, Sinowal e Zbot - algumas das ameaças mais perigosas actualmente existentes - foram descobertos entre os ficheiros executáveis carregados em máquinas de vítima durante ataques drive-by .
Em resumo, as tendências permanecem as mesmas. Os ataques estão-se a tornar mais sofisticados e mais difíceis de analisar. O seu objective, na maior parte dos casos, é fazer dinheiro de qualquer modo. As ameaças não são puramente virtuais; podem causar sérios danos, e é por isso que se deve assegurar de que o seu computador e os seus dados estão protegidos.
(China)
(Japan)
(Korea)
