A Kaspersky Lab apresentado o TOP 20 dos programas maliciosos detectados em Fevereiro. Neste mês, os programas maliciosos que circularam pela Internet criaram uma situação muito interessante. Em primeiro lugar, o Gumblar.x, cuja epidemia quase tinha desaparecido em Janeiro, voltou a ganhar força e a ocupar a posição de líder. Em segundo lugar, a envergadura da epidemia causada em Janeiro pelo Pegel, cresceu praticamente seis vezes. Por último, parece que a epidemia do Kido está finalmente a extinguir-se, embora muito lentamente: os cinco primeiros postos continuam a ser ocupados pelos mesmos programas maliciosos.
A julgar pela quantidade de infecções, a epidemia do Kido está a extinguir-se, embora muito lentamente: as cinco primeiras posições do ranking continuam a ser ocupadas pelos mesmos programas maliciosos.
Em sétimo lugar temos um curioso representante dos exploits (programas que se aproveitam das vulnerabilidades de software): o Exploit.JS.Aurora.a, ao qual daremos especial atenção na secção "programas maliciosos na Internet".
Surgem, ainda, dois programas AdWare novatos na lista de Fevereiro.
Um claro exemplo dos programas publicitários é o FunWeb.q, que ocupa o vigésimo lugar na lista. Este programa é um painel para browsers populares que dá ao utilizador um fácil acesso aos recursos de determinados sites Web, sobretudo os que têm conteúdos multimédia. Outra das suas características é que, para mostrar os anúncios, modifica as páginas que o utilizador costuma visitar.
O caso do not-a-virus:AdWare.Win32.RK.aw (13º lugar) é um pouco mais complexo. Esta é uma aplicação Relevant Knowledge, que se difunde e instala em conjunto com diferentes programas. No contrato de serviço, (http://www.relevantknowledge.com/RKPrivacy.aspx) indica-se que este programa efectua uma recolha automática da informação do utilizador, monitorizando praticamente todas as suas actividades, sobretudo na Internet, armazenando essa informação nos seus servidores. A empresa afirma que todos os dados recolhidos serão utilizados exclusivamente para fins benignos ("ajudar a construir o futuro da Internet") e que estarão bem protegidos. Ao utilizador, cabe decidir se confia ou não nestas palavras.
Em Fevereiro, os programas maliciosos que circularam na Internet deram origem a uma situação muito interessante, que se reflecte na segunda lista TOP20.
Em primeiro lugar, o Gumblar.x, cuja epidemia quase tinha desaparecido em Janeiro, voltou em Fevereiro a ganhar força e a assumir a posição de líder. Isto é um sintoma de que o novo ataque do Gumblar que descrevemos o mês passado (http://www.securelist.com/ru/analysis/208050611/Reyting_vredonosnykh_programm_yanvar_2010) não se fez esperar. No entanto, desta vez, ao contrário da anterior, os delinquentes não realizaram qualquer mudança fundamental, mas antes usaram novos dados de acesso aos websites dos utilizadores para tentar infectá-los em massa. Todavia, continuaremos muito atentos aos próximos desenvolvimentos e à evolução das mudanças.
Nestes links existe outro script que trata, de diferentes formas, de descarregar o ficheiro executável principal. Os truques que tenta são, na sua maioria, tradicionais: exploração de vulnerabilidades nos populares programas Internet Explorer (CVE-2006-0003 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003) e Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), e também o download através de um applet Java especial (uma aplicação Java em forma de códigos).
Mas o principal ficheiro executável continua a ser o famigerado Backdoor.Win32.Bredolab (http://www.securelist.com/ru/descriptions/12295579/Backdoor.Win32.Bredolab.d), que recorre a diferentes empacotadores maliciosos, alguns dos quais são detectados como Packed.Win32.Krap.ar e Packed.Win32.Krap.ao. Já escrevemos em várias ocasiões sobre este programa malicioso (http://www.securelist.com/ru/analysis/208050559/Fabrika_nazhivy), mas merece a pena mencionar que, além das funções principais de controlo remoto do computador do utilizador, também pode descarregar outros ficheiros maliciosos.
E, finalmente, no nono lugar aparece o Exploit.JS.Aurora.a, que mais acima prometíamos analisar em maior detalhe. O Auroa.a é o identikit que detecta o exploit da vulnerabilidade CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249), descoberto depois de um ataque massivo efectuado em Janeiro contra várias versões do Internet Explorer.
Refira-se que os técnicos da Microsoft já sabiam desta vulnerabilidade vários meses antes do ataque, mas apenas a corrigiram umas semanas depois de este acontecer. Nem era preciso dizer que, no decorrer deste tempo, o código do exploit foi tornado público e só os delinquentes mais distraídos não o utilizaram nos seus ataques: na nossa colecção já existem mais de cem diferentes variantes desta vulnerabilidade.
Tendo em conta que os criminosos exploram nos seus ataques as vulnerabilidades detectadas há já vários anos, pode-se chegar facilmente à conclusão que estas continuam por corrigir. Infelizmente, mesmo que se instalem todas as actualizações para os grandes pacotes de software, não dá para ter a certeza absoluta que o computador esteja fora de perigo, já que os produtores deste software nem sempre publicam a tempo as correcções para as vulnerabilidades detectadas. Por esta razão, ao trabalhar com o computador, sobretudo se for feito um uso intensivo da Internet, há que ter muito cuidado e, como é óbvio, usar um antivírus com as últimas actualizações.
{mosgoogle}
