A Kaspersky Lab apresenta o TOP 20 dos programas maliciosos detectados em Dezembro passado. Neste mês, destaque para a grande mudança ocorrida na situação geral do malware existente na Internet, onde 75% dos vírus que surgiram são novos. Também merecedor de destaque é o surgimento do Trojan-Downloader.JS.Twetti.a, que contagiou muitos sites legítimos e utiliza a rede social Twitter como intermediária.

Na primeira tabela apresentada estão os programas maliciosos e potencialmente perigosos detectados e neutralizados pela primeira vez nos computadores dos utilizadores.



A primeira tabela TOP20 mostra a sua já tradicional estabilidade. O aparecimento de três novatos nos postos 6, 10 e 11 fez com que parte dos demais programas fosse puxada ligeiramente para baixo na tabela. A única excepção foi um programa aparecido há cerca de um mês, o Packed.Win32.Krap.ag, que subiu três posições na tabela. Recordamos que o Krap.ag, do mesmo modo que outros representantes da família Packed, é um empacotador de programas maliciosos, neste caso de um antivírus falso. A percentagem absoluta deste programa malicioso também cresceu um pouco, o que é um indício da vigência dos pseudo-antivírus e da tenacidade dos delinquentes que os usam nos seus esquemas maliciosos para obter receitas substanciais.

Em Dezembro, destaque para o GamezTar.a, um estreante de peso que conseguiu logo de início ocupar o sexto lugar da tabela. Este programa posiciona-se como uma barra para navegadores populares que oferece um aceso rápido a jogos online e que se dedica a mostrar publicidade insistentemente. Mas, além deste incómodo, instala ainda várias aplicações, cujo funcionamento não depende da barra de ferramentas e que se introduzem em diferentes aspectos da vida online do utilizador, sempre que este faz pesquisas na Internet. Estes componentes estão descritos no acordo de serviço do programa (em Gameztar, Download Games to get 1000’s of FREE Games!), mas normalmente o utilizador acaba por preferir não ler o acordo, preferindo pressionar o grande botão que promete “jogos grátis” a quem o fizer. Por esta razão, recomendamos a todos os utilizadores que leiam estes acordos com atenção, antes de descarregar software.

No décimo lugar temos o Trojan.Win32.Swizzor.c, parente do Swizzor.b, que já esteve no TOP20 de Agosto, e do Swizzor.a, que observámos em Maio. Os criadores deste programa malicioso refinadamente emaranhado não deixaram de trabalhar em novas versões. A verdadeira função deste trojan é muito simples: dedica-se a descarregar outros programas maliciosos da Internet.


Programas maliciosos na Internet
A segunda tabela reflecte a situação da insegurança na Internet. Nesta lista, enumeram-se os programas maliciosos detectados em páginas Web e os que fizeram tentativas de se auto-descarregar a partir de páginas Web.


Na segunda tabela, ao contrário da primeira, só um quarto dos programas conservou a sua posição, um regressou e os restantes mudaram radicalmente. O Gumblar.x continua a ser o líder. Os webmasters têm vindo, pouco a pouco, a limpar os sites infectados e por isso o número de tentativas únicas em Dezembro é um terço inferior ao de Novembro.

O Krap.ag, mencionado na primeira tabela, subiu 8 posições na segunda. Em Dezembro houve o dobro das tentativas de o descarregar do que em Novembro. Um posto mais acima está o Krap.ai, que é um empacotador especial para pseudo-antivírus.

O GamezTar.a também aparece na segunda tabela, algo que é natural se tivermos em conta as suas funções Web e o facto de este programa estar orientado para os jogos online. Além disso, na posição 16 encontramos outra variante deste programa malicioso, o Gamez.Tar.b.

O Trojan-Clicker.JS.Iframe.db é um downloader iframe comum e corrente, e com um enredo bastante simples. O Trojan.JS.Iframe.ez, o Trojan.JS.Zapchast.bn, o Packed.JS.Agent.bn, o Trojan.JS.Agent.axe, o Trojan-Downloader.JS.Shadraem.a e o Trojan-Downloader.JS.Kazmet.d são scripts com diferentes graus de complexidade lógica, que usam as vulnerabilidades dos produtos Adobe e Microsoft para descarregar ficheiros executáveis.

E no final da lista temos o exemplar mais interessante das actividades criativas dos ciber-criminosos, o Trojan-Downloader.JS.Twetti.a (17º lugar), que contagiou muitos sites legítimos. O algoritmo de funcionamento deste downloader merece que lhe prestemos especial atenção. Depois de decifrá-lo, não encontramos nem um único link para um ficheiro executável, nem exploits, nem links para exploits. Durante a análise descobrimos que o script usa o API da rede social Twitter, que também é popular entre os delinquentes.

O trojan funciona de acordo com o seguinte esquema: é feito um pedido ao API cujo resultado são dados das "trends", ou seja, dos temas mais comentados no Twitter. Dos dados obtidos forma-se um nome de domínio pseudo-aleatório que os delinquentes já registaram previamente, usando um algoritmo similar, para o qual os visitantes do site com enganadoramente conduzidos. Neste domínio encontra-se a parte maliciosa, sejam exploits PDF ou ficheiros executáveis. Desta maneira, os links maliciosos e o redireccionamento para os mesmos é feito em tempo real, através de um intermediário, que, neste caso, é o Twitter.


Vale a pena dizer ainda que os programas maliciosos Packed.JS.Agent.bn e Trojan-Downloader.JS.Twetti.a usam um ficheiro PDF especial para infectar os equipamentos, que identificámos como Exploit.JS.Pdfka.asd e que também está na lista TOP20, na 12ª posição. Ou seja, podemos supor que, pelo menos três populares programas maliciosos de Dezembro, pertencem a um só grupo de delinquentes. E mais: entre os ficheiros executáveis que, como consequência dos ataques drive-by, se descarregam nos equipamentos-vítima, registou-se a presença das famílias TDSS, Sinowal e Zbot, que são uma das ameaças mais sérias neste momento, o que nos dá algumas dores de cabeça.

Em resumo, podemos dizer que as tendências continuam a ser as mesmas. Os ataques são cada vez mais refinados e difíceis de analisar e o seu objectivo, na maioria dos casos, é obter dinheiro de uma maneira ou de outra. Aumenta a seriedade das ameaças virtuais, que na realidade são cada vez mais reais. Por esta razão, hoje a prioridade fundamental deve ser a própria segurança.