No Top 20 dos programas maliciosos detectados na Internet em Novembro pela Kaspersky estão três “redirects” e um script “downloader” que são usados nos chamados “drive-by” downloads.

A maior ameaça para os utilizadores em Novembro veio por estes drive-by downloads, já que, durante este tipo de ataques, o computador das vítimas pode acabar infectado mesmo enquanto visita websites legítimos.

O utilizador começa por visitar um site que, embora legítimo, foi alvo da colocação de um script por parte de um criminoso que remete para outra página. Um exemplo é um dos mais famosos “script-redirects” dos últimos tempos, o Trojan-Downloader.JS.Pegel. Com a ajuda deste “redirect”, o computador do utilizador é direccionado para um “script-downloader” que, por seu turno, começa a lançar “exploits”. Geralmente, os “exploits” são descarregados nos computadores dos utilizadores e executam ficheiros executáveis maliciosos, que, na sua maior parte, são na realidade “backdoors”.

Toda a cadeia de funcionamento dos drive-by downloads começa com um “redirect”. Entre os “redirects” que dominam a Internet estão o Trojan.HTML.IFrame.dl (5.ª posição), o Trojan.JS.IFrame.pg (10.º lugar), o Trojan.JS.Redirector.lc (20.º lugar), o Trojan.JS.Redirector.np (25.ª posição) e o Trojan-Downloader.JS.Iframe.bzn (29.ª posição).

O segundo posto entre os programas maliciosos detectados na Internet em Novembro foi ocupado pelo script download Trojan-Downloader.JS.Agent.frs. Se o utilizador chega a um site que tem um “redirect” que o remete para o Trojan-Downloader.JS.Agent.frs, este trata de usar os “exploits” para as vulnerabilidades dos ficheiros Java, PDF e JavaScript para descarregar no computador backdoors tão perigosas como o Backdoor.Win32.Shiz e o Backdoor.Win32.Blakken.

Os programas maliciosos escritos na linguagem multi-plataforma Java também estão a multiplicar-se a olhos vistos. Se há um ano atrás era difícil encontrá-los, hoje em dia proliferam cada vez mais. Nos últimos dois meses, aumentou consideravelmente o número de programas maliciosos da família Trojan-Downloader.Java.OpenConnection. Durante os ataques drive-by, estes programas cumprem as mesmas funções dos “exploits” mas, em vez de usarem as vulnerabilidades para descarregar programas maliciosos, recorrem ao método “OpenConnection” da classe URL.

Em Novembro, o primeiro lugar do Top 20 do malware na Internet foi reivindicado pelo Trojan-Downloader.Java.OpenConnection.bu, que está muito à frente do seu mais imediato seguidor. Outros dois programas a usarem o método “OpenConnection” ocupam também os lugares 21 e 26 da tabela.

Além dos downloaders em Java, existem também exploits escritos nesta linguagem de programação. Por exemplo, a vulnerabilidade CVE-2009-3867 na função getSoundBank, apesar de bastante antiga, continua a ser muito utilizada nos “exploits”. O “downloader” Trojan-Downloader.JS.Agent.frs também tem no seu arsenal “exploits” em Java.

Merece a pena destacar que Java é uma linguagem de programação multi-plataforma e os programas maliciosos escritos nela podem ser executados em todos os sistemas operativos que tenham instaladas máquinas virtuais Java.

Em Novembro também se detectaram “exploits” que se aproveitam das vulnerabilidades dos documentos PDF. Por regra, estão escritos em JavaScript. De acordo com o número de downloads únicos, as ameaças Exploit.JS.Pdfka.cyk e Exploit.JS.Pdfka.cyy ocuparam a 24.ª e a 28.ª posições, respectivamente. No entanto, a tendência mostra que o número de exploits PDF está a diminuir. Nos últimos seis meses, o motor antivírus da Kaspersky Lab detectou quase três vezes menos programas maliciosos da família Pdfka.

O mais provável é que isto se deva ao facto da Adobe estar a tomar medidas para tratar as vulnerabilidades expostas nos seus produtos. Com efeito, em Novembro saiu para o mercado o Adobe Reader X, que contém uma SandBox que permite combater os “exploits”.

Outra tendência é a dos ficheiros falsificados, que ainda se mantêm e se propagam de uma forma muito eficaz. Quando o utilizador procura algo nos motores de busca, são automaticamente geradas páginas com banners que oferecem a informação pretendida.

A essência deste tipo de esquema na Internet é simples. Para receber o conteúdo do ficheiro, o utilizador tem que enviar uma mensagem SMS paga. Mas uma vez enviada a SMS, acaba por não receber qualquer informação, porque o ficheiro vem vazio, danificado, contém um ficheiro torrent, entre outras possibilidades maliciosas.

A Kaspersky Lab detecta os ficheiros falsificados e classifica-os como parte da família Hoax.Win32.ArchSMS.