A Kaspersky Lab apresenta o TOP 20 dos programas maliciosos detectados em Dezembro passado. Neste mês, destaque para a grande mudança ocorrida na situação geral do malware existente na Internet, onde 75% dos vírus que surgiram são novos. Também merecedor de destaque é o surgimento do Trojan-Downloader.JS.Twetti.a, que contagiou muitos sites legítimos e utiliza a rede social Twitter como intermediária.
A primeira tabela TOP20 mostra a sua já tradicional estabilidade. O aparecimento de três novatos nos postos 6, 10 e 11 fez com que parte dos demais programas fosse puxada ligeiramente para baixo na tabela. A única excepção foi um programa aparecido há cerca de um mês, o Packed.Win32.Krap.ag, que subiu três posições na tabela. Recordamos que o Krap.ag, do mesmo modo que outros representantes da família Packed, é um empacotador de programas maliciosos, neste caso de um antivírus falso. A percentagem absoluta deste programa malicioso também cresceu um pouco, o que é um indício da vigência dos pseudo-antivírus e da tenacidade dos delinquentes que os usam nos seus esquemas maliciosos para obter receitas substanciais.
Em Dezembro, destaque para o GamezTar.a, um estreante de peso que conseguiu logo de início ocupar o sexto lugar da tabela. Este programa posiciona-se como uma barra para navegadores populares que oferece um aceso rápido a jogos online e que se dedica a mostrar publicidade insistentemente. Mas, além deste incómodo, instala ainda várias aplicações, cujo funcionamento não depende da barra de ferramentas e que se introduzem em diferentes aspectos da vida online do utilizador, sempre que este faz pesquisas na Internet. Estes componentes estão descritos no acordo de serviço do programa (em http://www.gameztar.com/terms.do), mas normalmente o utilizador acaba por preferir não ler o acordo, preferindo pressionar o grande botão que promete “jogos grátis” a quem o fizer. Por esta razão, recomendamos a todos os utilizadores que leiam estes acordos com atenção, antes de descarregar software.
No décimo lugar temos o Trojan.Win32.Swizzor.c, parente do Swizzor.b, que já esteve no TOP20 de Agosto, e do Swizzor.a, que observámos em Maio. Os criadores deste programa malicioso refinadamente emaranhado não deixaram de trabalhar em novas versões. A verdadeira função deste trojan é muito simples: dedica-se a descarregar outros programas maliciosos da Internet.
Em Dezembro, destaque para o GamezTar.a, um estreante de peso que conseguiu logo de início ocupar o sexto lugar da tabela. Este programa posiciona-se como uma barra para navegadores populares que oferece um aceso rápido a jogos online e que se dedica a mostrar publicidade insistentemente. Mas, além deste incómodo, instala ainda várias aplicações, cujo funcionamento não depende da barra de ferramentas e que se introduzem em diferentes aspectos da vida online do utilizador, sempre que este faz pesquisas na Internet. Estes componentes estão descritos no acordo de serviço do programa (em http://www.gameztar.com/terms.do), mas normalmente o utilizador acaba por preferir não ler o acordo, preferindo pressionar o grande botão que promete “jogos grátis” a quem o fizer. Por esta razão, recomendamos a todos os utilizadores que leiam estes acordos com atenção, antes de descarregar software.
No décimo lugar temos o Trojan.Win32.Swizzor.c, parente do Swizzor.b, que já esteve no TOP20 de Agosto, e do Swizzor.a, que observámos em Maio. Os criadores deste programa malicioso refinadamente emaranhado não deixaram de trabalhar em novas versões. A verdadeira função deste trojan é muito simples: dedica-se a descarregar outros programas maliciosos da Internet.
Programas maliciosos na Internet
A segunda tabela reflecte a situação da insegurança na Internet. Nesta lista, enumeram-se os programas maliciosos detectados em páginas Web e os que fizeram tentativas de se auto-descarregar a partir de páginas Web.
Na segunda tabela, ao contrário da primeira, só um quarto dos programas conservou a sua posição, um regressou e os restantes mudaram radicalmente. O Gumblar.x continua a ser o líder. Os webmasters têm vindo, pouco a pouco, a limpar os sites infectados e por isso o número de tentativas únicas em Dezembro é um terço inferior ao de Novembro.
O Krap.ag, mencionado na primeira tabela, subiu 8 posições na segunda. Em Dezembro houve o dobro das tentativas de o descarregar do que em Novembro. Um posto mais acima está o Krap.ai, que é um empacotador especial para pseudo-antivírus.
O GamezTar.a também aparece na segunda tabela, algo que é natural se tivermos em conta as suas funções Web e o facto de este programa estar orientado para os jogos online. Além disso, na posição 16 encontramos outra variante deste programa malicioso, o Gamez.Tar.b.
O Trojan-Clicker.JS.Iframe.db é um downloader iframe comum e corrente, e com um enredo bastante simples. O Trojan.JS.Iframe.ez, o Trojan.JS.Zapchast.bn, o Packed.JS.Agent.bn, o Trojan.JS.Agent.axe, o Trojan-Downloader.JS.Shadraem.a e o Trojan-Downloader.JS.Kazmet.d são scripts com diferentes graus de complexidade lógica, que usam as vulnerabilidades dos produtos Adobe e Microsoft para descarregar ficheiros executáveis.
E no final da lista temos o exemplar mais interessante das actividades criativas dos ciber-criminosos, o Trojan-Downloader.JS.Twetti.a (17º lugar), que contagiou muitos sites legítimos. O algoritmo de funcionamento deste downloader merece que lhe prestemos especial atenção. Depois de decifrá-lo, não encontramos nem um único link para um ficheiro executável, nem exploits, nem links para exploits. Durante a análise descobrimos que o script usa o API da rede social Twitter, que também é popular entre os delinquentes.
O trojan funciona de acordo com o seguinte esquema: é feito um pedido ao API cujo resultado são dados das "trends", ou seja, dos temas mais comentados no Twitter. Dos dados obtidos forma-se um nome de domínio pseudo-aleatório que os delinquentes já registaram previamente, usando um algoritmo similar, para o qual os visitantes do site com enganadoramente conduzidos. Neste domínio encontra-se a parte maliciosa, sejam exploits PDF ou ficheiros executáveis. Desta maneira, os links maliciosos e o redireccionamento para os mesmos é feito em tempo real, através de um intermediário, que, neste caso, é o Twitter.
Vale a pena dizer ainda que os programas maliciosos Packed.JS.Agent.bn e Trojan-Downloader.JS.Twetti.a usam um ficheiro PDF especial para infectar os equipamentos, que identificámos como Exploit.JS.Pdfka.asd e que também está na lista TOP20, na 12ª posição. Ou seja, podemos supor que, pelo menos três populares programas maliciosos de Dezembro, pertencem a um só grupo de delinquentes. E mais: entre os ficheiros executáveis que, como consequência dos ataques drive-by, se descarregam nos equipamentos-vítima, registou-se a presença das famílias TDSS, Sinowal e Zbot, que são uma das ameaças mais sérias neste momento, o que nos dá algumas dores de cabeça.
Em resumo, podemos dizer que as tendências continuam a ser as mesmas. Os ataques são cada vez mais refinados e difíceis de analisar e o seu objectivo, na maioria dos casos, é obter dinheiro de uma maneira ou de outra. Aumenta a seriedade das ameaças virtuais, que na realidade são cada vez mais reais. Por esta razão, hoje a prioridade fundamental deve ser a própria segurança.
Em resumo, podemos dizer que as tendências continuam a ser as mesmas. Os ataques são cada vez mais refinados e difíceis de analisar e o seu objectivo, na maioria dos casos, é obter dinheiro de uma maneira ou de outra. Aumenta a seriedade das ameaças virtuais, que na realidade são cada vez mais reais. Por esta razão, hoje a prioridade fundamental deve ser a própria segurança.
{mosgoogle}
