O worm Net-Worm.Win32.Kido.ir, do qual tivemos notícias pela primeira vez em Setembro, ocupa em Outubro o primeiro lugar da lista TOP20, substituindo o campeão permanente Kido.ih, o que, uma vez mais, confirma que os dispositivos amovíveis são uma das principais fontes de infecção nos equipamentos dos utilizadores.

E, a propósito dos meios amovíveis: ao worm Autorun.dui, assíduo participante do nosso ranking, juntou-se um programa similar, o Autorun.awkp, que subiu directamente para a nona posição. Sob estes nomes também se escondem ficheiros maliciosos que executam de forma automática malware contido em meios amovíveis.

Este mês testemunhámos o regresso de velhos integrantes do TOP20: Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b. Além disso, ao Black.a junta-se uma nova versão: a família Packed.Win32.Black, composta por programas empacotados por versões não licenciadas de utilitários para a protecção de ficheiros executáveis. Neste caso, trata-se do ASProtect, programa popular entre os ciber-criminosos.

O downloader multimédia GetCodec.s é irmão do GetCodec.r, que já tínhamos descrito em Dezembro do ano passado e propaga-se com a ajuda do worm P2P-Worm.Win32.Nugg.

A família Magania, que foi muito famosa há pouco tempo, dá de novo sinais de actividade. Em Julho, o Trojan-GameThief.Win32.Magania.biht entrou no TOP20 dos programas nocivos mais propagados na Internet. E, em Outubro, uma nova versão (Magania.cbrt) e um programa também relacionado com esta família, o Trojan-Dropper.Win32.Agent.ayqa, entraram no TOP20 dos programas nocivos mais frequentemente encontrados nos equipamentos dos utilizadores.

Ao analisar os resultados do mês, observamos que os programas nocivos continuam a propagar-se através de dispositivos amovíveis e que há uma activação já significativa dos Trojans para jogos.

A segunda tabela reflecte a situação na Internet. Nesta lista, enumeramos os programas maliciosos detectados em páginas Web e os que fizeram tentativas no sentido de serem descarregados a partir de páginas Web.

Nesta lista, como de costume, o quadro é muito variado.

Os dois primeiros postos são ocupados pelas novas versões de um carregador de scripts que causou uma autêntica revolução em Maio de 2009, o Gumblar. Ambas apareceram em finais do mês para ocupar de imediato posições de liderança no top.

Nas novas versões do Gumblar, a tecnologia de infecção de websites voltou ainda mais refinada. Na primeira versão, as páginas Web de sites legítimos infectavam-se directamente com o corpo do script, que, sem que o utilizador se desse conta, executava outro script localizado no site dos delinquentes. Mas agora, nos sites infectados são colocados vínculos para scripts maliciosos localizados em outros sites legítimos, o que torna um pouco mais difícil o processo de análise e neutralização da rede maliciosa. 

Em si, o script trata de explorar algumas vulnerabilidades do Adobe Acrobat/Reader, Adobe Flash Player e Microsoft Office para descarregar o principal programa malicioso Trojan-PSW.Win32.Kates.j.

Algumas variantes dos scripts contêm o mencionado Trojan no seu corpo e, quando se executam, tratam de descarregar o Kates.j no equipamento do utilizador e inscrevê-lo no módulo de execução automática autorun. O principal propósito da infecção é roubar os dados confidenciais dos utilizadores, entre eles os dados de acesso a websites para sua conseguinte infecção.

Refira-se que o ataque através do Gumblar foi planeado com muito cuidado, mas apesar de tudo, os nossos especialistas adicionaram às bases de dados os identikits de todas as peças deste poderoso malware.

Dividir o script malicioso em várias partes é um método que se está a tornar cada vez mais popular. Em Outubro, um quarto dos programas maliciosos do TOP20 foi criado de acordo com este princípio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an e Trojan-Downloader.JS.Agent.env.

Também está na lista dos programas mais difundidos na Internet o Trojan-Dropper.Win32.Agent.ayqa, que já mencionámos antes, e mais um exemplo de programas destinados ao roubo de passwords de jogos online, o Trojan-GameThief.Win32.Magania.bwsr.

Em resumo, podemos dizer que na Internet o mais importante do mês foi a infecção de sites legítimos pelas novas versões do downloader Gumblar. Também observámos a utilização activa de tecnologias de fragmentação de scripts maliciosos, para tornar a sua análise mais difícil.

Por fim, apresentamos os países onde se detectou o maior número de tentativas de infecção através de páginas Web: