Kaspersky Lab apresenta Top 20 dos programas maliciosos detectados em Fevereiro
O worm Kido (Conficker), responsável por uma das mais graves epidemias dos últimos tempos, começa finalmente a desaparecer, embora muito lentamente
A Kaspersky Lab apresentado o TOP 20 dos programas maliciosos detectados em Fevereiro. Neste mês, os programas maliciosos que circularam pela Internet criaram uma situação muito interessante. Em primeiro lugar, o Gumblar.x, cuja epidemia quase tinha desaparecido em Janeiro, voltou a ganhar força e a ocupar a posição de líder. Em segundo lugar, a envergadura da epidemia causada em Janeiro pelo Pegel, cresceu praticamente seis vezes. Por último, parece que a epidemia do Kido está finalmente a extinguir-se, embora muito lentamente: os cinco primeiros postos continuam a ser ocupados pelos mesmos programas maliciosos.
Na primeira tabela encontram-se os programas maliciosos e potencialmente indesejáveis detectados e neutralizados pela primeira vez nos computadores dos utilizadores.
| Posição | Mudanças de posição | Programa malicioso | Nº de equipamentos infectados |
| 1 | 0 | et-Worm.Win32.Kido.ir | 274.729 |
| 2 | 1 | Virus.Win32.Sality.aa | 179.218 |
| 3 | 1 | et-Worm.Win32.Kido.ih | 163.467 |
| 4 | -2 | et-Worm.Win32.Kido.iq | 121.130 |
| 5 | 0 | Worm.Win32.FlyStudio.cu | 85.345 |
| 6 | 3 | Trojan-Downloader.Win32.VB.eql | 56.998 |
| 7 | Novo | Exploit.JS.Aurora.a | 49.090 |
| 8 | 9 | Worm.Win32.AutoIt.tc | 48.418 |
| 9 | 1 | Virus.Win32.Virut.ce | 47.842 |
| 10 | 4 | Packed.Win32.Krap.l | 47.375 |
| 11 | -3 | Trojan-Downloader.WMA.GetCodec.s | 43.295 |
| 12 | 0 | Virus.Win32.Induc.a | 40.257 |
| 13 | Novo | not-a-virus:AdWare.Win32.RK.aw | 39.608 |
| 14 | -3 | not-a-virus:AdWare.Win32.Boran.z | 39.404 |
| 15 | 1 | Worm.Win32.Mabezat.b | 38.905 |
| 16 | Novo | Trojan.JS.Agent.bau | 34.842 |
| 17 | 3 | Packed.Win32.Black.a | 32.439 |
| 18 | 1 | Trojan-Dropper.Win32.Flystud.yo | 32.268 |
| 19 | Regresso | Worm.Win32.AutoRun.dui | 32.077 |
| 20 | Novo | not-a-virus:AdWare.Win32.FunWeb.q | 30.942 |
A julgar pela quantidade de infecções, a epidemia do Kido está a extinguir-se, embora muito lentamente: as cinco primeiras posições do ranking continuam a ser ocupadas pelos mesmos programas maliciosos.
Em sétimo lugar temos um curioso representante dos exploits (programas que se aproveitam das vulnerabilidades de software): o Exploit.JS.Aurora.a, ao qual daremos especial atenção na secção “programas maliciosos na Internet”.
Surgem, ainda, dois programas AdWare novatos na lista de Fevereiro.
Um claro exemplo dos programas publicitários é o FunWeb.q, que ocupa o vigésimo lugar na lista. Este programa é um painel para browsers populares que dá ao utilizador um fácil acesso aos recursos de determinados sites Web, sobretudo os que têm conteúdos multimédia. Outra das suas características é que, para mostrar os anúncios, modifica as páginas que o utilizador costuma visitar.
O caso do not-a-virus:AdWare.Win32.RK.aw (13º lugar) é um pouco mais complexo. Esta é uma aplicação Relevant Knowledge, que se difunde e instala em conjunto com diferentes programas. No contrato de serviço, (http://www.relevantknowledge.com/RKPrivacy.aspx) indica-se que este programa efectua uma recolha automática da informação do utilizador, monitorizando praticamente todas as suas actividades, sobretudo na Internet, armazenando essa informação nos seus servidores. A empresa afirma que todos os dados recolhidos serão utilizados exclusivamente para fins benignos (”ajudar a construir o futuro da Internet”) e que estarão bem protegidos. Ao utilizador, cabe decidir se confia ou não nestas palavras.
Programas maliciosos na Internet
A segunda tabela reflecte a situação da insegurança na Internet. Nesta lista, enumeram-se os programas maliciosos detectados em páginas Web e os que fizeram tentativas de se auto-descarregar a partir de páginas Web.
| Posição | Mudanças de posição | Programa malicioso | Nº de tentativas únicas de download |
| 1 | Regresso | Trojan-Downloader.JS.Gumblar.x | 453.985 |
| 2 | -1 | Trojan.JS.Redirector.l | 346.637 |
| 3 | Novo | Trojan-Downloader.JS.Pegel.b | 198.348 |
| 4 | 3 | not-a-virus:AdWare.Win32.Boran.z | 80.185 |
| 5 | -2 | Trojan-Downloader.JS.Zapchast.m | 80.121 |
| 6 | Novo | Trojan-Clicker.JS.Iframe.ea | 77.067 |
| 7 | Novo | Trojan.JS.Popupper.ap | 77.015 |
| 8 | 3 | Trojan.JS.Popupper.t | 64.506 |
| 9 | Novo | Exploit.JS.Aurora.a | 54.102 |
| 10 | Novo | Trojan.JS.Agent.aui | 53.415 |
| 11 | Novo | Trojan-Downloader.JS.Pegel.l | 51.019 |
| 12 | Novo | Trojan-Downloader.Java.Agent.an | 47.765 |
| 13 | Novo | Trojan-Clicker.JS.Agent.ma | 45.525 |
| 14 | Novo | Trojan-Downloader.Java.Agent.ab | 42.830 |
| 15 | Novo | Trojan-Downloader.JS.Pegel.f | 41.526 |
| 16 | Regresso | Packed.Win32.Krap.ai | 38.567 |
| 17 | Novo | Trojan-Downloader.Win32.Lipler.axkd | 38.466 |
| 18 | Novo | Exploit.JS.Agent.awd | 35.024 |
| 19 | Novo | Trojan-Downloader.JS.Pegel.k | 34.665 |
| 20 | Novo | Packed.Win32.Krap.an | 33.538 |
Em Fevereiro, os programas maliciosos que circularam na Internet deram origem a uma situação muito interessante, que se reflecte na segunda lista TOP20.
Em primeiro lugar, o Gumblar.x, cuja epidemia quase tinha desaparecido em Janeiro, voltou em Fevereiro a ganhar força e a assumir a posição de líder. Isto é um sintoma de que o novo ataque do Gumblar que descrevemos o mês passado (http://www.securelist.com/ru/analysis/208050611/Reyting_vredonosnykh_programm_yanvar_2010) não se fez esperar. No entanto, desta vez, ao contrário da anterior, os delinquentes não realizaram qualquer mudança fundamental, mas antes usaram novos dados de acesso aos websites dos utilizadores para tentar infectá-los em massa. Todavia, continuaremos muito atentos aos próximos desenvolvimentos e à evolução das mudanças.
Fig. 1. Número de websites infectados pelo Gumblar.x
Em segundo lugar, a envergadura da epidemia causada em Janeiro pelo Pegel (http://www.securelist.com/ru/analysis/208050611/Reyting_vredonosnykh_programm_yanvar_2010) cresceu praticamente seis vezes: na tabela podemos observar que entre os recém-chegados há quatro representantes desta família, um dos quais ocupa de súbito o terceiro lugar. Este downloader, que tem algumas semelhanças com o Gumblar, também infecta os websites legítimos. Quando o utilizador visita uma página infectada, um script incrustado na mesma direcciona-o para o site dos criminosos. Para reduzir as suspeitas do utilizador, os delinquentes usam nomes de sites populares nos endereços das páginas, como por exemplo: http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php;http://avast-om.deviantart.com.dangdang.com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
Nestes links existe outro script que trata, de diferentes formas, de descarregar o ficheiro executável principal. Os truques que tenta são, na sua maioria, tradicionais: exploração de vulnerabilidades nos populares programas Internet Explorer (CVE-2006-0003 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003) e Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), e também o download através de um applet Java especial (uma aplicação Java em forma de códigos).
Mas o principal ficheiro executável continua a ser o famigerado Backdoor.Win32.Bredolab (http://www.securelist.com/ru/descriptions/12295579/Backdoor.Win32.Bredolab.d), que recorre a diferentes empacotadores maliciosos, alguns dos quais são detectados como Packed.Win32.Krap.ar e Packed.Win32.Krap.ao. Já escrevemos em várias ocasiões sobre este programa malicioso (http://www.securelist.com/ru/analysis/208050559/Fabrika_nazhivy), mas merece a pena mencionar que, além das funções principais de controlo remoto do computador do utilizador, também pode descarregar outros ficheiros maliciosos.
Este ataque, mencionado por todos os recursos dedicados às tecnologias informáticas, teve por alvo várias grandes companhias (como o Google e a Adobe) e recebeu o nome de Aurora (http://en.wikipedia.org/wiki/Operation_Aurora), dado ser esse o nome do directório usado por um dos seus principais ficheiros executáveis. O seu objectivo era obter a informação pessoal dos utilizadores e também a propriedade intelectual das companhias, como por exemplo os códigos fonte dos seus projectos. Para realizar o ataque, foram feitos envios massivos de mensagens electrónicas que continham um link para uma página maliciosa, na qual havia um exploit que descarregava o ficheiro executável principal sem que o utilizador percebesse.
Fragmento de uma das variantes do Exploit.JS.Aurora.a
Refira-se que os técnicos da Microsoft já sabiam desta vulnerabilidade vários meses antes do ataque, mas apenas a corrigiram umas semanas depois de este acontecer. Nem era preciso dizer que, no decorrer deste tempo, o código do exploit foi tornado público e só os delinquentes mais distraídos não o utilizaram nos seus ataques: na nossa colecção já existem mais de cem diferentes variantes desta vulnerabilidade.
As conclusões são evidentes. Como anteriormente, a principal ameaça para os utilizadores são as vulnerabilidades nos produtos de software mais populares.
Tendo em conta que os criminosos exploram nos seus ataques as vulnerabilidades detectadas há já vários anos, pode-se chegar facilmente à conclusão que estas continuam por corrigir. Infelizmente, mesmo que se instalem todas as actualizações para os grandes pacotes de software, não dá para ter a certeza absoluta que o computador esteja fora de perigo, já que os produtores deste software nem sempre publicam a tempo as correcções para as vulnerabilidades detectadas. Por esta razão, ao trabalhar com o computador, sobretudo se for feito um uso intensivo da Internet, há que ter muito cuidado e, como é óbvio, usar um antivírus com as últimas actualizações.
Fonte: IP Jornal
Foi confirmado hoje por investigadores da Kaspersky que o rootkit que está na origem dos 
