Em memória de Giordani Rodrigues

Publicado em Terça - 31 de Julho de 2007 | por Luiz Celso

Vírus roda game enquanto infecta o PC

Que tal curtir um joguinho com o popular Mario Bros? Pois se você receber esse convite por e-mail, desconfie. Trata-se de mais uma isca para instalar pragas virtuais. Segundo a empresa de segurança Sophos, quem clicar no arquivo que acompanha a mensagem instalará o worm conhecido como W32/Romario-A.

Além de carregar um joguinho com o personagem da Nintendo, ele inicia vários processos nocivos: infecta drives compartilhados (o que é perigoso em ambiente de rede), dispara via e-mail mensagens contaminadas para todos os contatos da máquina infectada e cria arquivos em drives removíveis com nomes como mariobros.exe, crazy mouse.exe e bola.exe, entre outros. A praga virtual também possui recursos para programar datas de ativação.

Usar games como isca não é novidade. A estratégia já foi usada, por exemplo, por pragas como Bagle-U, Coconut-A e Troj/Gonorj-A.
Leia mais...

Top10: Julho/2007

Publicado em Segunda - 30 de Julho de 2007 | por Luiz Celso

Bots caem da segunda colocação pela primeira vez, perdendo-a para o Vundo, que vinha crescendo. Número de Bankers sofre leve queda, mas ainda é alto e preocupante.

Importante: Leia o FAQ sobre estatísticas antes de continuar. Ele possui informações importantes para que você não interprete os dados abaixo de forma incorreta. As estatísticas foram coletadas com base em um serviço que a Linha Defensiva presta aos seus usuários, removendo vírus e outros malwares gratuitamente através da área Remoção de Malware no Fórum.

1. 55,3%: Banker

Bankers são vírus brasileiros que roubam senhas de bancos, MSN, Orkut e cartões de crédito. Alguns são também capazes de roubar senhas de provedores como Globo, Terra e UOL. Muitos são espalhados manualmente pelos seus criadores, que enviam e-mails fraudulentos (falsos) para milhares de pessoas que, caso abram a mensagem e o link nela presente, serão infectadas. Outros se espalham automaticamente por meio de mensagens de MSN e recados e depoimentos do Orkut.

Para evitar os Bankers é importante tomar extremo cuidado durante a abertura de links recebidos por meio de mensagens de e-mail, Orkut e MSN. Se você desconfia que está infectado, a ferramenta BankerFix, da Linha Defensiva, poderá lhe ajudar

O número de infecções sofreu uma leve queda, mas ainda é alto. No mês passado, estes trojans representaram 61,3% das infecções, sendo o número mais alto já registrado. Em maio, eles eram 49,7% e, em abril, 48,2%.

Caso você receba e-mails suspeitos que podem estar espalhando um Banker, você pode encaminhá-los para a Linha Defensiva.
2. 6,6%: Vundo

O Vundo é uma praga semelhante ao Wareout e ao Smitfraud. Ao invés de instalar um software de segurança falso imediatamente, ele cria pop-ups e mensagens de alerta no computador até que o usuário autorize a instalação do programa de segurança.

O Vundo (também conhecido como Virtumonde) geralmente instala programas da WinSoftware, tais como o WinAntivirus e WinFixer. A WinSoftware é conhecida por práticas publicitárias enganosas, como no caso do vírus Backtera.

Remover o Vundo é uma tarefa complexa. O programa VundoFix pode ajudar, mas algumas das versões mais novas do Vundo conseguem se esconder no sistema e ainda não são detectadas pelo VundoFix.

Em junho, Vundo representou apenas 3,9% das infecções, mas, em maio, a quantidade registrada foi de 6,7%. Com os números deste mês a queda dos bots, o Vundo atingiu a segunda colocação, que há muito era dos Bots.
3. 5,6%: Bots

Bot é um tipo de código malicioso que torna cada computador infectado um “zumbi” a serviço do criador da praga. A rede de computadores infectados por um mesmo bot é chamada de botnet (rede zumbi). Os controladores das Botnets as utilizam para enviar spam, atacar websites e exigir dinheiro de seus donos para parar o ataque, roubar dados dos sistemas infectados, hospedar códigos maliciosos e sites falsos para roubo de senha, entre outros usos.

Botnets podem ser formadas por milhares de máquinas. A maioria dos bots se espalha utilizando falhas no Windows, portanto manter o sistema atualizado é recomendado. Outros bots se espalham por meio de arquivos falsos em redes Peer-to-Peer (P2P).

Em junho, o número de bots era de 10,2%. Ele era maior em maio, quando atingiu 12,3%. Com o baixo número de infecções este mês, bots deixaram a segunda colocação.
4. 4,3%: C2.LOP

C2.Lop é a praga instalada pelo Messenger Plus!. O C2.Lop é capaz de redirecionar o Internet Explorer, instalar ícones na área de trabalho e exibir pop-ups que levam o usuário a outras pragas digitais, como o Vundo. Um sintoma conhecido é o aparecimento de uma barra azul que divulga cassinos e outros sites pouco confiáveis.

A remoção do C2.lop é complicada, pois ele utiliza nomes aleatórios. É possível instalar o Messenger Plus! sem o patrocínio para que o C2.LOP não seja instalado junto e também é possível desinstalar apenas o patrocínio do Messenger Plus! (que é o C2.LOP). No tópico do fórum sobre a praga você encontra um link para uma ferramenta de remoção, mas ela nem sempre funciona. Você pode usar o fórum caso ainda tenha problemas.

O C2.LOP estava na mesma colocação em junho, mas com 2,9% das infecções — a mesma quantia que obteve no mês anterior (maio).
5. 3,2%: Backdoor

Backdoors ou RATs (Remote Administration Tools) são ferramentas de administração remota instaladas por diversos cavalos de tróia. Elas permitem que um cracker controle o computador remotamente, sem a necessidade de explorar qualquer vulnerabilidade no sistema caso o usuário execute o cavalo de tróia que instala um RAT.

Nessa classe estão os mais diversos programas de administração remota instalados por pragas maliciosas, incluindo programas que, caso não tivessem sido instalados sem o consentimento do usuário, seriam perfeitamente aceitáveis, tais como o ServU (servidor de FTP) e o Radmin. Um exemplo de Backdoor malicioso é o BiFrost (também chamado de BiFrose).

Os Backdoors de mantiveram na mesma posição que estavam no mês passado, apesar de uma leve alta no número de infecções.
6. 2,4%: Dialer (empate com Wareout)

Dialers são códigos maliciosos que tentam usar o modem para conexões discadas para acessar números 900 (premium), onde, além de pagar a tarifa da ligação, o consumidor também deve pagar um “serviço” para o dono da linha. Dialers geralmente acessam números 900 que permitem acesso a sites pornográfico

Muitos dos dialers são intrusivos e criam conexões extras na máquina sem a permissão do usuário. Alguns modificam o número a ser discado toda vez que o internauta tentar abrir uma conexão com o provedor. A dificuldade para se remover um dialer varia muito e, na maioria das vezes, ele foi instalado na máquina sem a autorização do internauta. Em outras palavras, os dialers são criados para tentar obrigar o usuário a dar dinheiro para o criador da praga por meio da conta telefônica.

Um dialer muito comum é o Trojan.Zonebac. O Zonebac é capaz de substituir todos os arquivos iniciados com o sistema com uma cópia de si mesmo. Ele cria uma pasta “bak” na mesma pasta de cada arquivo e insere ali o arquivo verdadeiro original do software que está sendo infectado.

Para remover o Zonebac é necessário remover o arquivo principal da infecção e substituir todos os demais arquivos dos programas iniciados pelo Windows pelas cópias inseridas dentro de pastas “bak”.

O número de dialers (2,4%) e a posição permaneceram as mesmas em relação à junho.
7. 2,4%: Wareout (empate com Dialers)

Wareout é uma praga semelhante ao Smitfraud. Ele instala aplicativos de segurança que não funcionam de forma correta. Apesar do objetivo ser o mesmo (convencer o usuário a gastar dinheiro com um software que não funciona), o Wareout opera de modo diferente no sistema, portanto sua remoção é complicada. O anti-spyware Wareout hoje é pouco comum. Outras variantes mais novas como o UnSpyPC é que são responsáveis pelos casos atuais de Wareout.

O FixWareout é útil para remover infecções de Wareout.

Mesmo com uma leve alta no número das infecções, o Wareout só conseguiu permanecer na mesma posição. Ele ocupava a última posição em maio, com 1,3% das infecções.
8. 2,1%: Smitfraud

Smitfraud é um conjunto de infecções que instala no computador afetado um anti-spyware fraudulento que tenta remover a própria infecção que o instalou. Em outras palavras, os criadores do Smitfraud vendem a solução para o problema que eles mesmos criaram. Esses anti-spywares são geralmente caros e ruins — muitas vezes detectam pragas que nem sequer existem no sistema e deixam passar casos reais de infecção.

A Linha Defensiva disponibiliza um tutorial para remover a versão SpyAxe do Smitfraud. O tutorial também serve para remover outras infecções mais novas do mesmo gênero. Se você está recebendo mensagens partindo da bandeja do relógio com o título “Your computer is infected”, tente seguir o tutorial do Smitfraud para resolver o problema.

Em junho, o Smitfraud só conseguiu 1,5% das infecções. A mudança no número não foi suficiente para causar uma diferença no rankink da praga.
9. 1,8%: Adware (empate com MyWay)

Representa diversos adwares “genéricos” que exibem pop-ups e propagandas. São formados por adwares que não possuem uma “marca” ou são pouco conhecidos.

A remoção deles é geralmente bem simples, bastando remover uma ou duas entradas no HijackThis e apagar o arquivo responsável usando o KillBox. O mais comum desses adwares é o trojan AdClicker, que se instala com o arquivo vbsys2.dll e exibe, em sua maioria, anúncios pornográficos.

Com o aumento da pressão sob os adwares mais conhecidos, os adwares genéricos — que são instalados ilegalmente sem qualquer punição — se tornaram mais viáveis para donos de botnet que querem ganhar dinheiro instalando adwares nos computadores que infectam.

No mês passado, Adwares eram 1,4% das infecções e se encontravam também na penúltima posição.
10. 1,8%: MyWay (empate com Adware)

MyWebSearch/MyBar é um adware geralmente instalado por programas da FunWebProducts. O objetivo deles é direcionar tráfego para o portal MyWay.com (daí o seu nome). Tanto o portal MyWay como a Fun Web Products pertencem à IAC Search & Media, que também gerencia o portal de buscas Ask.com.

Os produtos da FunWebProducts são muito divulgados na web por meio de banners que prometem “novos emoticons” e cursores animados (que levam o internauta aos programas Smiley Central e Cursor Mania, respectivamente).

Apesar de não ser um software malicioso, muitos usuários não sabem que o MyWay foi instalado no PC por estes programas e, em alguns casos, estes programas podem causar problemas com o navegador, visto que são instalados como plug-ins.

Com 0,8% das infecções, o MyWay estava na última colocação em junho.

Infecções empatadas foram organizadas em ordem alfabética.
Sistemas Operacionais

A tabela abaixo é baseada apenas nos logs que possuíam pelo menos uma infecção.

Nota importante: O número não representa quais os sistemas que são mais vulneráveis. Instalar o Windows 98 não lhe tornará mais seguro do que o Windows XP SP2. A lista é diretamente afetada pelo número de usuários que utilizam o sistema em questão, o que significa que o Windows XP geralmente estará com a maioria das infecções.
Windows XP SP2 88,6%
Windows XP SP1 6%
Windows XP Gold (Sem SP) 2,2%
Windows 2000 SP3/SP4 1,2%
Windows 98/98SE 1,2%
Windows ME 0,2%
Windows 2003 0,2%
Windows 2003 SP1 0,2%
Windows Vista 0,2%
Leia mais...

Conheça os vírus mais curiosos de 2007

Publicado em Quarta - 25 de Julho de 2007 | por Luiz Celso

Conheça as pragas mais curiosas de 2007, de acordo com relatório da Panda Software.
Leia mais...

Primeiro vírus de computador completa 25 anos

Publicado em Sexta - 13 de Julho de 2007 | por Luiz Celso

Um das maiores dores de cabeça para quem lida com Tecnologia da Informação completa, esta semana, 25 anos. Identificado como Elk Cloner, o primeiro vírus de computador reconhecido como tal foi escrito em 1982 por um jovem estudante secundarista norte-americano de apenas 15 anos, chamado Rich Skrenta, como informa a revista Science.

Há divergências sobre a data exata da criação deste vírus. Seu autor, em seu blog, aponta este ano como data provável.

O Elk Cloner afetava o sistema operacional do Apple II e não causava grandes problemas, mas faria escola. Além de apresentar um pequeno ‘poema’ na tela do equipamento infectado, ele era capaz de gerar cópias de si mesmo quando um disquete era inserido no computador. Quando essa mídia era utilizada em outro sistema, o processo se propagava.

Se a princípio esse tipo de programa não causava dores de cabeça, ele foi o precursor de uma série de outras iniciativas que exigem das empresas e usuários finais gastos de milhões de dólares com sistemas de proteção para computadores.

Só no primeiro trimestre de 2007, por exemplo, o número de pragas virtuais cresceu 152% com relação ao mesmo período do ano anterior, segundo a empresa de segurança Sophos.

Um relatório produzido pelo Yankee Group e publicado em dezembro, dava conta de que o número de variantes cumulativas de malwares pode ultrapassar 220 mil até dezembro. A título comparativo, esse número é dez vezes maior do que o registrado em 2002.

Esse ritmo coloca em cheque a capacidade de as empresas de segurança lidarem com o problema. Andrew Jaquith, autor do relatório do Yankee Group, informa que a maior parte dos laboratórios antivírus recebem mais amostras de vírus do que podem lidar. Em entrevista ao Computerworld, Jaquith disse que as empresa acabam fazendo uma triagem baseada no nível de severidade dos malwares.

Mudança de foco
Enquanto as primeiras gerações de pragas virtuais irritavam os usuários com apresentações de imagens e frases impróprias, ou apagando o conteúdo de um disco rígido, as ameaças atuais são mais insidiosas e caminham em outra direção.

Bloqueio a sites, máquinas zumbis e o acesso a informações sensíveis de usuários e empresas têm causado prejuízos incalculáveis. Em 2006, as fraudes virtuais custaram ao Brasil cerca de 300 milhões de reais, de acordo com o Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI).

A disseminação de tecnologias também tem aberto novas frentes de ataques, sequer imaginadas quando o Elk Cloner foi escrito. Por exemplo, em apenas três anos, o número de pragas escritas para dispositivos móveis cresceu mais 1.200%, secundo a F-Secure.
Leia mais...

Autor de vírus para celular é preso na Espanha

Publicado em Terça - 26 de Junho de 2007 | por Luiz Celso

Um homem de 28 anos foi preso na Espanha sob a acusação de criar 20 variações dos vírus para celular CommWarrior e Cabir.

A identidade do indivíduo não foi revelada, mas a polícia espanhola diz que a captura foi feita na cidade de Valencia em uma operação batizada de Leslie – porque o autor do vírus escreveu um recado dedicando seu malware para a noiva – de acordo com a agência de notícias France Press.

O software infectou aproximadamente 115 mil telefones. Ron O’Brien, analista sênior da Sophos, acredita que o suspeito provavelmente não é o criador do Cabir. Há três anos um brasileiro publicou um código de alerta na internet, dizendo que ele era o autor do malware.

Cabir e CommWarrior se espalharam via Bluetooth e códigos maliciosos que infectam o telefone podem ter baixados pela vítima quando ela abre uma mensagem instantânea ou um e-mail.
Leia mais...

Os Vírus e as Extensões de Arquivos

Publicado em Terça - 26 de Junho de 2007 | por skaterfel

Ao longo dos anos, o número de tipos diferentes de arquivos que são utilizados para conter e/ou executar os códigos virais aumentou sensivelmente.
Leia mais...

Praga usa novo filme de Harry Potter

Publicado em Sexta - 22 de Junho de 2007 | por Luiz Celso

Circular pela internet uma nova praga virtual que pega carona no novo episódio da série Harry Potter, A ordem da Fênix (que chega aos cinemas brasileiros em julho). Segundo a empresa de segurança Panda Software, a ameaça chega por e-mail com um arquivo que finge ser um trailer do filme.

Ao clicar nele, porém, a vítima recebe uma mensagem de erro, que afirma que há um problema técnico e pede que o internauta visite o endereço www.harrypotterorderofthephoenix.com/

Enquanto curte o trailer, o usuário nem percebe que o programa nocivo Harrenix.A baixou outros softwares, como o Dialer.KJD, que faz com que o computador infectado tente estabelecer conexões discando números internacionais, o que aumenta os gastos com contas telefônicas.

A praga virtual também pode ser transmitida via downloads em sites ou compartilhamento de arquivos.
Leia mais...

Novo vírus de pendrive exibe dados sobre AIDS

Publicado em Quarta - 20 de Junho de 2007 | por Luiz Celso

De tempo em tempos surgem pragas virtuais que fingem ser “vírus do bem” (prometem corrigir problemas no computador ou afirmam ter um objetivo nobre). É o caso do W32/LiarVB-A. A nova ameaça, que se propoga por drives removíveis, como pendrives ou disquetes (além de se disseminar em redes), afirma ter como proposta a divulgação de informações sobre a AIDS.

asta conectar um dispositivo infectado para contaminar o micro ou até uma rede de PCs. O invasor altera o sistema para que ele entre em ação sempre que o usuário ligar a máquina. O LiarVB-A exibe um arquivo HTML com informações sobre a doença e um texto no qual afirma não fazer alterações no sistema e que não se trata de um programa perigoso.

Porém, segundo a empresa de segurança Sophos, que identificou a ameaça, isso não é verdade. “Ele altera as configurações e sobregrava arquivos”, destaca Graham Cluley, consultor sênior da Sophos. Para evitar problemas, a empresa recomenda que os usuários de Windows desabilitem o recurso de Autorun, para que mídias como pendrives e CD-ROMs não sejam executados automaticamente. Além disso, vale checar com antivírus os dispositivos que são conectados ao computador.
Leia mais...

Vírus de celular tem 143 novas versões

Publicado em Segunda - 18 de Junho de 2007 | por Luiz Celso

Praga virtual Commwarrior, que atinge celulares com sistemas Symbian, foi alterada.
Leia mais...

Ameaça rouba dados de 9 bancos

Publicado em Segunda - 11 de Junho de 2007 | por Luiz Celso

Programa nocivo identificado em maio, o cavalo-de-tróia BankFake evoluiu e está mais perigoso. Segundo a empresa de segurança Panda, a mais recente versão, que leva o nome de BankFake.F, ampliou seu leque de possíveis vítimas, com a simulação de páginas de internet banking de nove instituições financeiras, além de roubar dados de usuários do Hotmail.

Na lista de bancos na mira da ameaça estão Bradesco, Itaú (veja imagem no final do texto), Banco do Brasil, Real, Santander, Unibanco, Caixa, HSBC e nossa Caixa. Em sua primeira versão, a ameaça mirava apenas em clientes da Caixa. A variante F usa imagens dessas instituições financeiras para criar páginas falsas, que são exibidas quando o internauta tenta acessar seu internet banking. Depois que os dados como senhas são inseridos, o correntista é redirecionado para o site original.

O mesmo processo acontece com usuários do Windows Live Hotmail (antigo Hotmail). Uma janela falsa é exibida (imagem no final do texto), para que o usuário insira seus dados sigilosos. As informações roubadas são enviadas via internet para os criminosos.

A ameaça chega ao computador de várias formas, como via e-mail, download em sites adulterados ou em serviços de compartilhamento de arquivos.
Leia mais...