Embed Size (px)
Citation preview
Relatório de inteligência de segurança
da Microsoft
Volume 10
De julho a dezembro de 2010
1
Relatório de inteligência de segurança da
Microsoft Este documento tem apenas finalidades informativas. A MICROSOFT
NÃO OFERECE QUAISQUER GARANTIAS, EXPLÍCITAS, IMPLÍCITAS
OU ESTATUTÁRIAS QUANTO ÀS INFORMAÇÕES CONTIDAS NESTE
DOCUMENTO.
Este documento é fornecido “no estado em que se encontra”. As informações
e ideias expressas neste documento, inclusive URLs e outras referências a sites da
Internet, podem ser alteradas sem aviso prévio. Você assume o risco pelo seu uso.
Copyright © 2011 Microsoft Corporation. Todos os direitos reservados.
Os nomes de empresas e produtos reais mencionados neste documento podem
ser marcas comerciais de seus respectivos proprietários.
2
Autores Doug Cavit Microsoft Trustworthy Computing
Joe Faulhaber Centro de Proteção contra Malware da Microsoft
Vinny Gullotto Centro de Proteção contra Malware da Microsoft
Jeff Jones Microsoft Trustworthy Computing
Jimmy Kuo Centro de Proteção contra Malware da Microsoft
Michelle Meyer Microsoft Trustworthy Computing
Daryl Pecelj Gerenciamento de risco e segurança de informações de TI da Microsoft
Anthony Penta Plataforma de segurança do Microsoft Windows
Tim Rains Microsoft Trustworthy Computing
Javier Salido Microsoft Trustworthy Computing
Christian Seifert Bing
Frank Simorjay Microsoft Trustworthy Computing
Holly Stewart Centro de Proteção contra Malware da Microsoft
Matt Thomlinson Microsoft Security Response Center
Jossie Tirado Arroyo Gerenciamento de risco e segurança de informações de TI da Microsoft
Scott Wu Centro de Proteção contra Malware da Microsoft
Jeff Williams Centro de Proteção contra Malware da Microsoft
Terry Zink Microsoft Forefront Online Protection for Exchange
Colaboradores
Lawren Ahuna Gerenciamento de risco e segurança de informações de TI da Microsoft
Eva Chow Gerenciamento de risco e segurança de informações de TI da Microsoft
Enrique Gonzalez Centro de Proteção contra Malware da Microsoft
Cristin Goodwin Assuntos corporativos e legais da Microsoft
Satomi Hayakawa CSS Japan Security Response Team
Yuhui Huang Centro de Proteção contra Malware da Microsoft
CSS Japan Security Response Team Microsoft Japan
John Lambert Centro de Engenharia de Segurança da Microsoft
Eric Leonard Gerenciamento de risco e segurança de informações de TI da Microsoft
Laura Lemire Assuntos corporativos e legais da Microsoft
Ken Malcolmson Microsoft Trustworthy Computing
Charles McColgan Microsoft ISD
Don Nguyen Gerenciamento de risco e segurança de informações de TI da Microsoft
Price Oden Gerenciamento de risco e segurança de informações de TI da Microsoft
Kathy Phillips Assuntos corporativos e legais da Microsoft
Hilda Larina Ragragio Centro de Proteção contra Malware da Microsoft
Tareq Saade Centro de Proteção contra Malware da Microsoft
Richard Saunders Microsoft Trustworthy Computing
Marc Seinfeld Centro de Proteção contra Malware da Microsoft
Jasmine Sesso Centro de Proteção contra Malware da Microsoft
Norie Tamura (GOMI) CSS Japan Security Response Team
Gilou Tenebro Centro de Proteção contra Malware da Microsoft
3
Sumário
Trustworthy Computing: engenharia de segurança na Microsoft ......................... 5
Vulnerabilidades................................................................................................. 6
Divulgações de vulnerabilidades ..................................................................... 6
Severidade das vulnerabilidades ...................................................................... 8
Complexidade das vulnerabilidades ................................................................ 9
Vulnerabilidades de sistemas operacionais, navegadores e aplicativos ............ 10
Explorações ...................................................................................................... 12
Explorações de HTML e JScript/JavaScript .................................................... 13
Explorações de documentos.......................................................................... 14
Explorações de sistemas operacionais............................................................ 15
Tendências de violações de segurança ........................................................... 18
Malware e softwares potencialmente indesejados .............................................. 21
Taxas de infecção globais .............................................................................. 21
Taxas de infecção do sistema operacional ...................................................... 28
Categorias de ameaças .................................................................................. 30
Categorias de ameaças por local ................................................................ 31
Famílias de ameaças ..................................................................................... 34
Software de segurança não autorizado ........................................................... 37
Ameaças domésticas e empresariais ............................................................... 41
Ameaças por email ........................................................................................... 45
Mensagens de spam bloqueadas .................................................................... 45
Tipos de spam .............................................................................................. 48
Sites mal-intencionados .................................................................................... 51
Sites de phishing .......................................................................................... 52
4
Instituições de destino .............................................................................. 54
Distribuição global dos sites de phishing ................................................... 56
Sites que hospedam malware ........................................................................ 57
Categorias de malware .............................................................................. 58
Distribuição global dos sites que hospedam malware ................................ 62
Sites de download drive-by ........................................................................... 63
Apêndice .......................................................................................................... 65
5
Trustworthy Computing:
engenharia de segurança
na Microsoft
Em meio à cada vez maior complexidade do atual cenário de ameaças de
computação e a crescente sofisticação dos ataques criminosos, os clientes estão
mais concentrados do que nunca na proteção de seus ambientes de computação
para que eles e seus clientes possam se sentir seguros online. Com mais de um
bilhão de sistemas usando seus produtos e serviços em todo o mundo, a
Microsoft entende as expectativas de seus clientes por uma experiência de
computação mais segura e confiável.
O Trustworthy Computing (TwC), formado em 2002, representa o compromisso
da Microsoft em criar e fornecer experiências de computação seguras, privadas e
confiáveis com base em práticas comerciais sólidas. A inteligência fornecida neste
relatório é oriunda dos centros de segurança do Trustworthy Computing, que
fornecem inteligência aprofundada contra ameaças, respostas a ameaças e a
ciência da segurança, além de informações dos grupos de produtos de toda
a Microsoft. O relatório foi criado para permitir que nossos clientes, parceiros
e o setor entendam melhor o cenário das ameaças, de forma que estejam em uma
posição melhor para se proteger e a seus ativos contra atividades criminosas.
6
Vulnerabilidades
Vulnerabilidades são pontos fracos do software que permitem que um invasor
comprometa a integridade, a disponibilidade ou a confidencialidade desse
software. Algumas das piores vulnerabilidades permitem que os invasores
executem código arbitrário, as chamadas explorações, no sistema comprometido.
Consulte “Divulgações de vulnerabilidades no nível da indústria” na seção Guia
de Referência do site Relatório de inteligência de segurança para obter mais
informações sobre vulnerabilidades.
Divulgações de vulnerabilidades
Uma divulgação, como o termo é usado no SIR, é a revelação de uma
vulnerabilidade de software para o público em geral. Ela não se refere
a qualquer tipo de divulgação particular ou a um número limitado de pessoas.
As divulgações podem ter diversas origens, incluindo o próprio fornecedor do
software, fornecedores de software de segurança, pesquisadores de segurança
independentes e até mesmo criadores de malware.
As informações dessa seção são compiladas a partir de dados de divulgação
de vulnerabilidades publicadas no National Vulnerability Database
(http://nvd.nist.gov), o repositório do governo dos EUA de gerenciamento
de vulnerabilidades baseado em padrões.
A Figura 1 mostra gráficos de divulgações de vulnerabilidades de
produtos da Microsoft e que não são da Microsoft desde 2006.
7
Figura 1. Divulgações de vulnerabilidades de produtos da Microsoft e que não são da Microsoft, 2006 – 2010
As divulgações de vulnerabilidades em 2010 diminuíram
17,1% em relação a 2009.
Essa redução é a continuidade de uma tendência geral de reduções
moderadas desde 2006. Provavelmente, essa tendência se deve às
melhores práticas de desenvolvimento e ao controle de qualidade de
todo o setor, que resultam em softwares mais seguros e menos
vulnerabilidades. (Consulte “Protegendo seu software” na seção
Gerenciamento de riscos do site Relatório de inteligência de segurança
para obter detalhes e orientações adicionais sobre práticas seguras de
desenvolvimento.)
As divulgações de vulnerabilidades de produtos da Microsoft
aumentaram um pouco em 2010, mas de forma geral permaneceram
estáveis nos últimos períodos.
As vulnerabilidades de produtos da Microsoft são 7,2% de todas as
vulnerabilidades divulgadas em 2010. Essa porcentagem aumentou em
relação aos 4,5% de 2009, principalmente devido à redução geral das
divulgações de vulnerabilidades em todo o setor durante esse período.
8
Severidade das vulnerabilidades
O CVSS (Common Vulnerability Scoring System) é um sistema de pontuação
padronizado, independente de plataforma, para classificar as vulnerabilidades de
TI. O CVSS atribui um valor numérico entre 0 e 10 às vulnerabilidades de acordo
com a severidade, com pontuações mais altas representando severidades maiores.
(Consulte “Severidade das vulnerabilidades” na seção Guia de Referência do site
Relatório de inteligência de segurança para obter mais informações.)
Figura 2. Divulgações de vulnerabilidades no nível da indústria por severidade, 2006 – 2010
Embora o número de vulnerabilidades de severidade média e alta
divulgadas seja normalmente muito maior do que o número de
divulgações de vulnerabilidades de severidade baixa, a tendência em
2010 é positiva, com divulgações médias e altas caindo em 17,5% e
20,2% em relação a 2009, respectivamente.
9
As divulgações de severidade baixa aumentaram 45,8%, de 190 em 2009
para 277 em 2010.
A redução das vulnerabilidades mais severas primeiro é uma prática
recomendada de segurança. As vulnerabilidades de severidade alta que
foram tiveram pontuação 9,9 ou mais representam 5,5% de todas as
vulnerabilidades divulgadas em 2010, conforme ilustrado na Figura 3.
Essa porcentagem é inferior aos 6,7% de 2009.
Figura 3. Divulgações de vulnerabilidades no nível da indústria em 2010, por severidade
Complexidade das vulnerabilidades
Algumas vulnerabilidades são mais fáceis de explorar do que outras,
e a complexidade da vulnerabilidade é um fator importante a ser considerado
ao determinar a magnitude da ameaça imposta por uma vulnerabilidade. Uma
vulnerabilidade de severidade alta que pode ser explorada apenas em
circunstâncias muito raras e específicas talvez requeira menos atenção imediata
do que uma vulnerabilidade de severidade mais baixa que pode ser explorada
mais facilmente.
10
O CVSS dá a cada vulnerabilidade uma classificação de complexidade Baixa,
Média ou Alta. (Consulte “Complexidade das vulnerabilidades” na seção Guia
de Referência do site Relatório de inteligência de segurança para obter mais
informações sobre o sistema de classificação de complexidade do CVSS.) A
Figura 4 mostra o conjunto de complexidades das vulnerabilidades divulgadas
a cada ano desde 2006. Observe que a complexidade Baixa indica um perigo
maior, da mesma forma que uma severidade Alta indica um perigo maior na
Figura 3.
Figura 4. Vulnerabilidades no nível da indústria por complexidade de acesso, 2006 – 2010
Assim como no caso da severidade das vulnerabilidades, a tendência aqui
é positiva, com divulgações de vulnerabilidades de complexidade baixa
e média caindo 28,3% e 5% em relação a 2009, respectivamente.
As divulgações de vulnerabilidades de complexidade alta aumentaram
43,3%, de 120 em 2009 para 172 em 2010.
Vulnerabilidades de sistemas operacionais,
navegadores e aplicativos
A Figura 5 mostra as vulnerabilidades no nível da indústria de
sistemas operacionais, navegadores e aplicativos desde 2006. (Consulte
11
“Vulnerabilidades de sistemas operacionais e navegadores” na seção Guia de
Referência do site Relatório de inteligência de segurança para obter uma explicação
de como se distinguem as vulnerabilidades de sistemas operacionais, navegadores
e aplicativos.)
Figura 5. Vulnerabilidades de sistemas operacionais, navegadores e aplicativos no nível da indústria, 2006 – 2010
As vulnerabilidades de aplicativos continuaram a representar a grande
maioria de todas as vulnerabilidades em 2010, embora o número total de
vulnerabilidades de aplicativos tenha caído 22,2% em relação a 2009.
Por comparação, as vulnerabilidades de sistemas operacionais
e navegadores permaneceram relativamente estáveis, com cada tipo
representando uma pequena fração do total.
12
Explorações
Uma exploração é um código mal-intencionado que tira vantagem
de vulnerabilidades de software para infectar um computador sem
o consentimento do usuário e geralmente sem seu conhecimento. As explorações
visam vulnerabilidades do sistema operacional, de navegadores da Web,
aplicativos ou componentes de software instalados no computador. Em alguns
casos, os componentes-alvo são complementos pré-instalados pelo fabricante
do computador antes de sua venda. O usuário pode nem mesmo usar o
complemento vulnerável ou estar ciente de que ele está instalado. Alguns
softwares não têm recursos para se atualizar; assim, mesmo que o fornecedor do
software publique uma atualização que corrige a vulnerabilidade, o usuário pode
não saber que a atualização está disponível ou como obtê-la e, portanto continua
vulnerável a ataques.
As vulnerabilidades de software estão enumeradas e documentadas na lista
de CVE (vulnerabilidades e exposições comuns) (http://cve.mitre.org), um
repositório padronizado de informações sobre vulnerabilidades. Aqui e em todo
este relatório, as explorações são rotuladas com o identificador de CVE referente
à vulnerabilidade afetada, se aplicável. Além disso, as explorações que afetam
vulnerabilidades em softwares da Microsoft são rotuladas com o número do
Boletim informativo de segurança da Microsoft correspondente à vulnerabilidade,
se aplicável.1
A Figura 6 mostra a predominância de diferentes tipos de explorações a cada
trimestre de 2010.
1 Consulte www.microsoft.com/technet/security/Current.aspx para pesquisar e ler os Boletins de segurança da Microsoft.
13
Figura 6. Explorações detectadas por produtos antimalware de área de trabalho da Microsoft em 2010, por plataforma ou tecnologia visada
O malware escrito em Java existe há muitos anos, mas os invasores não
prestaram uma atenção significativa na exploração de vulnerabilidades de
Java até recentemente. No 3T10, o número de ataques de Java aumentou
para 14 vezes o número de ataques registrados no 2T10, realizados em
sua maioria pela exploração de um par de vulnerabilidades nas versões
do Sun (agora Oracle) JVM, CVE-2008-5353 e CVE-2009-3867.
Juntas, essas duas vulnerabilidades contabilizaram 85% das explorações
de Java detectadas no segundo semestre de 2010.
As explorações que visam editores e leitores de documentos, como o
Microsoft Word e o Adobe Reader, diminuíram
no 2T10 e permaneceram em nível baixo desde então.
As explorações de sistemas operacionais, que durante muitos anos foram
menos predominantes que outros tipos de explorações, aumentaram
significativamente no 3T10, principalmente devido à exploração de
duas vulnerabilidades do Windows.
Explorações de HTML e JScript/JavaScript
A Figura 7 mostra a predominância de diferentes tipos de explorações de HTML
e Jscript®/JavaScript a cada trimestre de 2010.
14
Figura 7. Tipos de explorações de HTML e JScript/JavaScript detectadas por produtos antimalware de área de trabalho da Microsoft em 2010
A maioria das explorações observadas envolvia quadros embutidos
(IFrames) HTML mal-intencionados que abrem de forma furtiva páginas
que hospedam código mal-intencionado nos navegadores da Web dos
usuários.
As explorações que visam vulnerabilidades do Windows Internet
Explorer® contabilizaram entre 19 e 36% das explorações relacionadas
a HTML em todos os trimestres. A maioria dessas explorações visava
a CVE-2010-0806, uma vulnerabilidade que afeta o Internet Explorer
versões 6 e 7 em execução em versões do Windows anteriores ao
Windows 7 e ao Windows Server 2008 R2. A Microsoft publicou
o Boletim informativo de segurança MS10-018 para tratar dessa
vulnerabilidade. Para obter mais informações, consulte a postagem sobre
“Exploração ativa da CVE-2010-0806” (30 de março de 2010) no blog
do MMPC (http://blogs.technet.com/mmpc).
Explorações de documentos
A Figura 8 mostra a predominância de diferentes tipos de explorações
de formatos de documento por trimestre de 2010.2
2 A Microsoft também detectou um número muito pequeno de explorações que afetam o JustSystems Ichitaro, um programa de processamento de texto em japonês. Essas explorações afetaram menos de 200 computadores a cada trimestre e não são mostradas na figura.
15
Figura 8. Tipos de explorações de documentos detectadas por produtos antimalware de área de trabalho da Microsoft em 2010
As explorações que afetaram o Adobe Acrobat e o Adobe Reader
contabilizaram a maioria das explorações de formatos de documento
detectadas em 2010. Quase todas essas explorações envolviam a família
genérica de explorações Win32/Pdfjsc.
As explorações do Adobe Acrobat e do Adobe Reader foram reduzidas
em mais da metade depois do primeiro trimestre e permaneceram
próximas desse nível baixo durante o restante do ano.
As explorações de formatos de arquivo do Microsoft Office
contabilizaram entre 0,5 e 2,8% das explorações de formatos
de documento detectadas em todos os trimestres de 2010.
Explorações de sistemas operacionais
A Figura 9 mostra a predominância de diferentes explorações de sistemas
operacionais por trimestre de 2010.
16
Figura 9. Explorações de sistemas operacionais detectadas por produtos antimalware de área de trabalho da Microsoft em 2010
Várias das explorações de sistemas operacionais com mais detecções em
2010 foram causadas por worms que se difundem de uma forma que
resulta em grandes números de detecções em cada computador que
tentam infectar. Para obter outra visão dessas estatísticas, portanto, a
Figura 9 mostra o número de computadores individuais que relataram
tentativas de exploração por várias dessas explorações, além do número
total de detecções.
As explorações de sistemas operacionais têm diminuído há vários anos
antes de 2010, e as detecções somaram menos de 200.000 em cada um
dos dois primeiros trimestres do ano. Esse declínio mudou no 3T10 com
a descoberta e a publicação de duas explorações de dia zero (explorações
que tiram proveito de vulnerabilidades não divulgadas ou recém-
divulgadas antes que o fornecedor lance atualizações de segurança para
elas) para duas vulnerabilidades que afetam o Windows,
CVE-2010-1885 e CVE-2010-2568.
A CVE-2010-1885 é uma vulnerabilidade que afeta o Centro de Ajuda
e Suporte do Windows no Windows XP e no Windows Server 2003.
Os detalhes da vulnerabilidade foram divulgados publicamente em 10
de junho de 2010, aproximadamente três semanas antes do final do
segundo trimestre, e a Microsoft publicou em 13 de julho um Boletim
informativo de segurança “fora de banda”, MS10-042, para tratar da
vulnerabilidade.
A Microsoft detectou um pequeno número de explorações direcionadas
à CVE-2010-1885 (menos de 14.000 em todo o mundo) no 2T10,
seguido de um grande aumento para mais de 250.000 detecções no
17
terceiro trimestre. Até o final do ano, a exploração tinha sido reduzida
significativamente, com menos de 65.000 detecções no 4T10.
Para obter informações adicionais, consulte a postagem sobre
“Ataques à vulnerabilidade do Centro de Ajuda e Suporte do
Windows (CVE-2010-1885)” (30 de junho de 2010) no blog do MMPC,
http://blogs.technet.com/mmpc.
A CVE-2010-2568 é uma vulnerabilidade que envolve a forma como
o shell do Windows trata arquivos de atalho. Essa vulnerabilidade foi
descoberta pela primeira vez em meados de julho de 2010, após uma
análise do worm Win32/Stuxnet, que usa a vulnerabilidade como
meio de propagação. A Microsoft publicou um Boletim informativo de
segurança fora de banda, MS10-046, para tratar da vulnerabilidade em
2 de agosto. Inicialmente, a Stuxnet era a única família encontrada que
fazia uso significativo das explorações da CVE-2010-2568, mas as
detecções e remoções aumentaram conforme os autores de outras
famílias de malware, incluindo a Win32/Vobfus e a Win32/Sality,
começaram a lançar novas variantes que exploravam a vulnerabilidade.
Para obter informações adicionais, consulte a postagem sobre “Stuxnet,
.LNKs mal-intencionados... e era uma vez o Sality” (30 de julho de 2010)
no blog do MMPC, http://blogs.technet.com/mmpc.
As explorações da CVE-2010-2568 afetaram quase tantos computadores
no 3T10 quanto as explorações da CVE-2010-1885, mas o número de
detecções por computador infectado foi muito maior (12,9 detecções por
computador infectado, em comparação com 1,5 para a CVE-2010-1885).
O worm Stuxnet usa dispositivos de armazenamento USB como seu
principal vetor de transmissão, e a natureza da vulnerabilidade de atalho
fez alguns computadores registrarem grandes números de detecções,
pois o shell do Windows tentava processar repetidamente o mesmo
arquivo de atalho mal-intencionado.
A CVE-2006-3439 é uma vulnerabilidade que afeta o Serviço de servidor
no Windows 2000, no Windows XP anterior ao Service Pack 3 e no
Windows Server 2003 anterior ao Service Pack 2. A Microsoft publicou
o Boletim informativo de segurança MS06-040 para tratar da
vulnerabilidade em agosto de 2006.
Nesse caso, embora a Microsoft tenha detectado um número significativo
de tentativas de infecção que visavam a CVE-2006-3439, o número real
de computadores envolvidos era pequeno (menos de 3.000 em todo o
18
mundo a cada trimestre; esses números não estão mostrados na Figura
9). As explorações que visam serviços de rede, como o Serviço de
servidor, podem gerar grandes números de detecções por produtos
antimalware em tempo real: um worm que cruza uma rede pode
fazer tentativas repetidas de infectar um único computador usando a
exploração, sendo cada tentativa malsucedida registrada como uma
detecção separada.
Em geral, a exploração bem-sucedida de vulnerabilidades do sistema
operacional antigas como a CVE-2006-3439 deve ser rara, pois a
maioria das instalações do Windows que eram afetadas inicialmente
já foram atualizadas com as atualizações de segurança ou os service
packs apropriados, ou substituídas por versões mais recentes do
Windows que não são afetadas pela vulnerabilidade. Em 2010, detecções
de explorações da CVE-2006-3439 foram fortemente correlacionadas a
detecções da família incomum de cavalos de Troia Win32/ServStart,
o que sugere uma possível conexão entre elas.
Tendências de violações de segurança
Nos últimos anos, foram aprovadas leis em várias jurisdições do mundo inteiro
que exigem que usuários individuais afetados sejam notificados quando uma
organização perde o controle das PII (informações de identificação pessoal)
confiadas a elas. Essas notificações obrigatórias oferecem visões exclusivas de
como os esforços de segurança das informações precisam tratar dos problemas
de negligência, bem como de tecnologia.
As informações desta seção foram geradas a partir de relatórios de violações de
segurança de dados do mundo inteiro, da mídia e outras origens de informações
que foram registradas por voluntários no DataLossDB (Banco de dados de
perda de dados) em. (Consulte “Tendências de violações de segurança” na seção
Guia de Referência do site Relatório de inteligência de segurança para obter mais
informações sobre o DataLossDB e os tipos de violações referenciados aqui.)
19
Figura 10. Incidentes de violações de segurança por tipo de incidente, 3T09 – 4T10
A maior categoria isolada de incidentes em cada um dos últimos seis
trimestres envolvia equipamento roubado, entre uma alta de 34,5% do
total no 3T09 a uma baixa de 18,6% do total no 4T10.
Incidentes mal-intencionados (que envolvem incidentes de “hackers”,
malware e fraude) normalmente são responsáveis por menos da
metade dos incidentes, como negligência (envolvendo perda, roubo
ou equipamento perdido; divulgação acidental ou descarte inadequado),
conforme ilustrado na Figura 11.
O descarte inadequado de registros comerciais representa uma parte
significativa dos incidentes e pode ser resolvido facilmente pelas
organizações com o desenvolvimento e a imposição de políticas
efetivas relacionadas à destruição de registros eletrônicos e em papel
com informações confidenciais.
20
Figura 11. Incidentes de violações resultantes de ataques e negligência, 3T09 – 4T10
21
Malware e softwares
potencialmente indesejados
Exceto quando especificado, as informações nesta seção foram compiladas a
partir de dados de telemetria gerados por mais de 600 milhões de computadores
em todo o mundo e alguns dos mais ocupados serviços online da Internet.
Taxas de infecção globais
Os dados de telemetria gerados pelos produtos de segurança da Microsoft® de
usuários que optam por aceitar a coleta de dados incluem informações sobre o
local do computador, conforme determinado pela configuração da guia ou do
menu Local em Opções Regionais e de Idiomas no Painel de Controle. Esses
dados possibilitam a comparação de taxas, padrões e tendências de infecção em
diferentes locais em todo o mundo.
Figura 12. Os locais com a maioria dos computadores relatando detecções e remoções por produtos antimalware de área de trabalho da Microsoft em 2010
País/
região 1T10 2T10 3T10 4T10
Alt. 3T
para 4T
Alteração
em 2010
1 Estados
Unidos
11.025.8
11
9.609.21
5
11.340.7
51
11.817.4
37 4,2% ▲ 7,2% ▲
2 Brasil 2.026.57
8
2.354.70
9
2.985.99
9
2.922.69
5 -2,1% ▼ 44,2% ▲
3 China 2.168.81
0
1.943.15
4
2.059.05
2
1.882.46
0 -8,6% ▼
-13,2%
▼
5 Reino
Unido
1.490.59
4
1.285.57
0
1.563.10
2
1.857.90
5
18,9%
▲ 24,6% ▲
4 França 1.943.84
1
1.510.85
7
1.601.78
6
1.794.95
3
12,1%
▲ -7,7% ▼
7 Coreia 962.624 1.015.17
3
1.070.16
3
1.678.36
8
56,8%
▲ 74,4% ▲
6 Espanha 1.358.58
4
1.348.68
3
1.588.71
2
1.526.49
1 -3,9% ▼ 12,4% ▲
22
País/
região 1T10 2T10 3T10 4T10
Alt. 3T
para 4T
Alteração
em 2010
9 Rússia 700.685 783.210 928.066 1.311.66
5
41,3%
▲ 87,2% ▲
8 Alemanh
a 949.625 925.332
1.177.41
4
1.302.40
6
10,6%
▲ 37,1% ▲
1
0 Itália 836.593 794.099 900.964 998.458
10,8%
▲ 19,3% ▲
As detecções na Coreia aumentaram 56,8% do 3T10 para o 4T10,
com três famílias — Win32/Onescan, Win32/Parite e Win32/Nbar —
representando 77% do aumento 3T – 4T. A Onescan, uma família de
softwares de segurança não autorizados em coreano detectada pela
primeira vez no 4T10, foi responsável por aproximadamente 32% de
todas as detecções na Coreia. (Para obter mais informações, consulte
“Software de segurança não autorizado” na página 37.)
Figura 13. Detecções falsas de malware pelo Win32/Onescan, uma família de softwares de segurança não autorizados em coreano
23
As detecções na Rússia aumentaram 41,3% do 3T para o 4T e 87,2%
do 1T para o 4T, principalmente devido a um aumento significativo
no número de computadores que executavam o Microsoft Security
Essentials.
Em termos absolutos, os locais com a maior parte dos computadores relatando
detecções tendem a ser os que têm as maiores populações e grandes números de
computadores. Para controlar esse efeito, a Figura 14 mostra as taxas de infecção
em locais de todo o mundo usando uma métrica chamada computadores limpos
por mil (milhares) ou CCM (computers cleaned per mille), que representa o número
de computadores relatados limpos e um trimestre para cada 1.000 execuções da
MSRT (Ferramenta de remoção de software mal-intencionado) do Microsoft
Windows®.3 (Consulte o site Relatório de inteligência de segurança da Microsoft
para obter mais informações sobre a métrica CCM.)
Figura 14. Taxas de infecção por país/região no 1S10 (superior) e no 2S10 (inferior), por CCM
3 Para os mapas na Figura 14, os totais de CCM são médias dos dois primeiros e dos dois últimos trimestres de 2010, respectivamente, gerando os totais de CCM para o 1S10 e o 2S10.
24
Entre os locais com pelo menos 100.000 execuções do MSRT no 4T10,
a Coreia teve a maior taxa de infecção, com 40,3 computadores limpos
para cada 1.000 execuções do MSRT (CCM 40,3). Depois da Coreia,
estavam Espanha (33,2), Turquia (32,8), Taiwan (24,3) e Brasil (20,8).
No ano inteiro, a Turquia teve o maior CCM médio trimestral de 36,8,
seguida da Espanha (36,1), Coreia (34,8), Taiwan (29,7) e Brasil (24,7).
Esses cinco locais tiveram consistentemente as maiores taxas de infecção
entre grandes países e regiões na maioria dos últimos seis trimestres,
como mostrado na Figura 15 na página 25.
Os locais com baixas taxas de infecção incluem a Mongólia (CCM médio
de 1,3 para 2010), Bangladesh (1,4) e Belarus (1,6). Os grandes países e
regiões com taxas de infecção baixas incluem as Filipinas (3,1),
Áustria (3,4), Índia (3,8) e Japão (4,4).
As detecções e remoções em países/regiões individuais podem variar
significativamente de um período para outro. Os aumentos no número
de computadores com detecções podem ser provocados não apenas pela maior
predominância de malware naquele país, como também por aperfeiçoamentos da
habilidade das soluções antimalware da Microsoft em detectar malware. Grandes
números de novas instalações de antimalware em um local normalmente também
aumenta o número de computadores limpos naquele local.
25
As duas figuras a seguir ilustram as tendências da taxa de infecção para locais
específicos em todo o mundo em relação às tendências para todos os locais com
pelo menos 100.000 execuções do MSRT a cada trimestre de 2010. (Consulte
Tendências de infecção em todo o mundo na seção “Principais descobertas”
do site Relatório de inteligência de segurança para obter detalhes adicionais sobre
essas informações.)
Figura 15. Tendências dos cinco locais com as maiores taxas de infecção no 4T10, por CCM (mínimo de 100.000 execuções do MSRT por trimestre de 2010)
A Coreia tem sofrido um ataque persistente nos últimos trimestres,
culminando em um aumento drástico do quarto lugar no 3T10 para
o primeiro no 4T10. O CCM na Coreia aumentou de 23,6 no 4T09 para
40,3 um ano depois, com um aumentou de 16,7 pontos, ou 71,1% — o
maior aumento durante o último ano. (Consulte a seção sobre “Avaliação
de ameaças globais” do site Relatório de inteligência de segurança para
obter mais informações sobre as ameaças na Coreia.)
Coreia, Espanha, Turquia, Taiwan e Brasil ocuparam os cinco primeiros
lugares entre os grandes países e regiões, com as maiores taxas de
infecção em todos, exceto um dos últimos seis trimestres (a única
exceção foi o 4T09, quando Portugal deslocou a Coreia do quinto lugar).
26
Figura 16. Tendências da taxa de infecção dos cinco locais que mais apresentaram melhorias entre o 4T09 e o 4T10, por CCM (mínimo de 100.000 execuções do MSRT no 4T10)
Os locais que mais melhoraram são aqueles que mostraram o maior
declínio no CCM entre o 4T09 e o 4T10.
Embora o Brasil ainda seja um dos locais com as maiores taxas
de infecção, melhorou significativamente durante os últimos seis
trimestres, reduzindo seu CCM de 30,1 no 3T09 para 20,8 no 4T10.
As reduções no Win32/Frethog e no Win32/Hamweq foram
os principais responsáveis por essa melhoria, seguidas das reduções no
Win32/Conficker e no Win32/Rimecud. (Consulte “Famílias de ameaças
na página 34 para obter mais informações sobre essas e outras famílias
de malware.)
Embora o número total de detecções e remoções na Rússia tenha
aumentado durante 2010, conforme explicado na página 22, a taxa de
infecção real diminuiu significativamente, de 17,3 CCM no 3T09 para
10,1 no 4T10. Essa queda foi resultante principalmente das reduções no
Conficker, Hamweq e Win32/Taterf.
27
As taxas de infecção em Portugal e no Bahrein flutuaram durante os
últimos seis trimestres, mas os dois locais terminaram o 4T10 com
melhoramentos significativos em relação ao 3T09. Portugal passou de
25,0 CCM para 15,6, com uma redução de 37,6%. O Bahrein passou de
13,6 para 9,0, com um declínio de 33,8%.
O CCM na China diminuiu de 9,5 no 3T09 para 2,9 no 4T10. Embora
isso faça da China um dos locais com as menores taxas de infecção do
mundo, conforme as medidas de CCM, diversos fatores exclusivos da
China tornam importante considerar outras informações ao avaliar o
estado da segurança de computadores nesse país. O ecossistema de
malware na China é dominado por diversas ameaças em chinês que não
são predominantes em nenhum outro lugar. Os números de CCM são
calculados com base na telemetria a partir do MSRT, que é direcionado
a famílias de malware mundiais. O MSRT não detecta a maioria das
principais famílias da China. Por exemplo, em 2010, 92 a 94% das
ameaças relatadas por computadores que executavam o Microsoft
Security Essentials na China não seriam detectadas pelo MSRT. Para
obter uma análise mais detalhada do cenário de ameaças na China,
consulte a seção sobre “Avaliação de ameaças globais” do site Relatório
de inteligência de segurança.
28
Taxas de infecção do sistema operacional
Os recursos e as atualizações que estão disponíveis com diferentes versões do
sistema operacional Windows, juntamente com as diferenças na maneira como
as pessoas e as organizações usam cada versão, afetam as taxas de infecção das
diferentes versões e service packs. A Figura 17 mostra a taxa de infecção de cada
combinação de sistema operacional/service pack do Windows que foi responsável
por pelo menos 0,1% do total de execuções do MSRT em 2010.
Figura 17. Taxa de infecção trimestral média (CCM) por sistema operacional e service pack em 2010
“32” = 32 bits; “64” = 64 bits. Sistemas com pelo menos 0,1% do total de execuções mostradas.
Como em períodos anteriores, as taxas de infecção de sistemas
operacionais e service packs lançados mais recentemente
são consistentemente inferiores às anteriores, tanto para plataformas de
cliente como de servidor. O Windows 7 e o Windows Server® 2008 R2,
as versões de cliente e servidor, respectivamente, do Windows lançadas
mais recentemente têm as menores taxas de infecção do gráfico.
As taxas de infecção das versões de 64 bits do Windows Vista®
e do Windows 7 são mais baixas que as das versões correspondentes de
32 bits desses sistemas operacionais. Uma das razões pode ser o fato
de que as versões de 64 bits do Windows ainda são atraentes para
uma audiência mais especializada tecnicamente do que suas
contrapartes de 32 bits, apesar do aumento das vendas das versões de
29
64 bits do Windows entre a população de computação geral. O KPP
(Kernel Patch Protection), um recurso das versões de 64 bits do
Windows que protege o kernel contra modificação não autorizada,
também pode contribuir na discrepância por evitar a operação de
determinados tipos de malware.
Figura 18. Tendências de CCM para versões de 32 bits do Windows XP, Windows Vista e Windows 7, 3T09 – 4T10
Como mostrado na Figura 18, o Windows 7 teve consistentemente a
menor taxa de infecção de todas as combinações de sistema operacional
cliente de 32 bits/service pack dos últimos seis trimestres.
30
Categorias de ameaças
O MMPC (Centro de Proteção contra Malware da Microsoft) classifica ameaças
individuais em tipos de acordo com diversos fatores, inclusive como a ameaça se
espalha e o que ela foi desenvolvida para fazer. Para simplificar a apresentação
dessas informações e facilitar o entendimento, o Relatório de inteligência de
segurança agrupa esses tipos em 10 categorias com base nas similaridades de
função e objetivo. (Consulte Tipos de ameaças na seção “Guia de Referência”
do site Relatório de inteligência de segurança para obter mais informações sobre as
categorias usadas neste relatório.)
Figura 19. Detecções por categoria de ameaça em cada trimestre de 2010, por porcentagem de todos os computadores que relatam detecções
Os totais de cada período podem exceder 100% porque alguns
computadores têm mais de uma categoria de ameaça detectada
e removida em cada período.
Cavalos de Troia diversos, que consistem em todos os cavalos de Troia
que não estão categorizados como Trojan Downloaders e Droppers,
foram a categoria predominante em todos os trimestres de 2010, com
detecções em 20,0% de todos os computadores infectados no 4T10,
abaixo dos 22,7% no 1T10.
As detecções de Adware aumentaram significativamente durante
o segundo semestre do ano, de 8,9% dos computadores infectados
no 2T10 para 15,1% no 4T10. Esse aumento foi causado quase
completamente pelo aparecimento de um par de novas famílias
31
de Adware, JS/Pornpop e Win32/ClickPotato, no terceiro trimestre.
(Consulte “Famílias de ameaças” na página 34 para obter mais
informações sobre essas e outras famílias.)
Depois de aumentar do 1T10 para o 2T10, os Worms diminuíram
significativamente até o final do ano, de uma alta no segundo trimestre
de 19,2% dos computadores infectados para 13,5% no 4T10. Uma
redução de 61,3% nas detecções e remoções da família de worms
Win32/Hamweq entre o 1T10 e o 4T10 é parcialmente responsável por
esse declínio relativo, combinado com aumentos em outras categorias.
(O Hamweq foi adicionado ao MSRT em dezembro de 2009 e foi
detectado pela ferramenta em mais de um milhão de computadores até
o final do 1T10. Até o final do ano, as detecções do Hamweq tinham
sido reduzidas significativamente, com o MSRT o removendo de menos
de 300.000 computadores no 4T10.
As categorias Diversos softwares potencialmente indesejados
e Downloaders e Droppers começaram o ano com níveis de
predominância semelhantes e depois divergiram. Os Diversos softwares
potencialmente indesejados aumentaram de 16,1% dos computadores
infectados para 18,1%; o aumento nas detecções das famílias de
softwares potencialmente indesejados Win32/Zwangi e Win32/Keygen
foi responsável pela maior parte do aumento (o aumento nas detecções
da última família foi causado mais pela melhor detecção que pela maior
predominância). Os Trojan Downloaders e Droppers diminuíram
de 14,7% para 11,6%, em parte devido a um declínio nas
detecções do Win32/Renos, uma família comum persistente.
Cada uma das outras categorias foi detectada em menos de 10% dos
computadores infectados. Os Password Stealers e as ferramentas de
monitoramento diminuíram para 6,6% dos computadores infectados
no 4T10, após uma redução nas detecções do Win32/Frethog, que visa
senhas de jogos online. Os Spyware, que nunca foram muito comuns,
diminuíram ainda mais em 2010 para apenas 0,2% dos computadores
infectados no quatro trimestre.
Categorias de ameaças por local
Há diferenças significativas nos tipos de ameaças que afetaram os usuários em
diferentes partes do mundo. A difusão e a efetividade do malware são altamente
dependentes do idioma e de fatores culturais, além dos métodos usados para
32
distribuição. Algumas ameaças são espalhadas com o uso de técnicas que visam
pessoas que falam um determinado idioma ou que usam serviços locais para
uma determinada região geográfica. Outras ameaças visam vulnerabilidades ou
configurações do sistema operacional e aplicativos que são distribuídos de
maneira desigual em todo o globo. A Figura 20 mostra a predominância relativa
das diferentes categorias de malware e de software potencialmente indesejado
em vários locais em todo o mundo em 2010.
Figura 20. Predominância de categorias de ameaças em todo o mundo e em nove locais individuais em 2010
Categoria Mun
dial EUA
Brasi
l
Chin
a
Reino
Unido
Fran
ça
Espa
nha
Rúss
ia
Alema
nha
Core
ia
Diversos
cavalos
de Troia
31.6
0%
43.4
0%
23.2
0%
28.0
0%
36.50
%
21.6
0%
20.1
0% 40.30%
28.
40
%
17.3
0%
Diversos
softwares
potencial
mente
indesejad
os
25.5
0%
22.6
0%
31.2
0%
52.1
0%
23.60
%
24.3
0%
22.6
0% 33.80%
24.
50
%
10.3
0%
Worms 24.4
0%
16.6
0%
35.6
0%
13.5
0%
11.80
%
21.0
0%
40.2
0% 32.80%
14.
40
%
40.1
0%
Trojan
Download
ers
e Dropper
s
20.1
0%
20.2
0%
26.2
0%
18.8
0%
20.30
%
19.7
0%
16.9
0% 17.00%
28.
90
%
8.00
%
Adware 17.4
0%
21.4
0%
9.40
%
3.40
%
29.30
%
33.0
0%
10.7
0% 8.20%
16.
30
%
12.1
0%
Password
Stealers
e ferrame
ntas de
monitora-
mento
11.7
0%
6.10
%
27.9
0%
10.7
0% 7.50%
9.20
%
20.5
0% 10.30%
9.3
0%
14.7
0%
Exploraçõ
es
7.10
%
9.60
%
10.5
0%
13.5
0% 7.30%
2.70
%
3.00
% 8.00%
5.7
0%
3.30
%
Backdoor
s
6.60
%
5.30
%
5.70
%
10.3
0% 4.20%
4.40
%
8.40
% 8.20%
5.1
0%
7.10
%
Vírus 31.6
0%
43.4
0%
23.2
0%
28.0
0%
36.50
%
21.6
0%
20.1
0% 40.30%
28.
40
%
17.3
0%
33
Categoria Mun
dial EUA
Brasi
l
Chin
a
Reino
Unido
Fran
ça
Espa
nha
Rúss
ia
Alema
nha
Core
ia
Spyware 25.5
0%
22.6
0%
31.2
0%
52.1
0%
23.60
%
24.3
0%
22.6
0% 33.80%
24.
50
%
10.3
0%
Em cada linha da Figura 20, uma cor mais escura indica que a categoria
é mais predominante no local especificado que nos outros, e uma cor
mais clara indica que a categoria é menos predominante.
Os Estados Unidos e o Reino Unido, dois locais onde se fala
predominantemente o inglês e que também compartilham várias outras
semelhanças culturais, têm conjuntos de ameaças semelhantes na maioria
das categorias. As exceções incluem o Adware, que é mais comum no
Reino Unido, e os Worms, que que são mais comuns nos EUA.
O Brasil tem uma concentração excepcionalmente alta de Password
Stealers e ferramentas de monitoramento, principalmente devido
à predominância do ,Win32/Bancos que visa clientes de bancos
brasileiros.
Na China, há uma concentração relativamente alta de Diversos softwares
potencialmente indesejados, Explorações, Backdoors e Spyware, e uma
concentração relativamente baixa de Worms e Adware. Normalmente,
a China exibe um conjunto de ameaças muito diferente dos de outros
grandes países e regiões. Duas das ameaças mais comuns na China,
Win32/BaiduSobar e Win32/Sogou, são famílias de softwares
potencialmente indesejados em chinês que não são comuns em outros
lugares. As famílias mais comuns na China também incluem um par
de explorações, JS/CVE-2010-0806 e JS/ShellCode, que foram
menos predominantes em todos os outros lugares.
O Adware é dominante na França, liderado pelo Win32/ClickPotato.
Os Worms e Backdoors são anormalmente comuns na Espanha. As seis
famílias principais detectadas na Espanha em 2010 eram worms.
O conjunto de ameaças na Rússia é semelhante ao do mundo como um
todo, com exceção de uma concentração excepcionalmente baixa de
Adware, talvez devido à natureza altamente dependente do idioma da
publicidade online.
Na Alemanha, os Trojan Downloaders e Droppers são quase duas vezes
mais comuns que no restante do mundo, liderados pelo Win32/Renos.
34
A Coreia tem uma grande concentração de vírus, liderados pelo
Win32/Parite, além de worms. Há muito tempo os vírus e worms são
muito comuns na Coreia, talvez devido à popularidade de centros
públicos de jogos na Internet, onde os vírus são facilmente transmitidos
entre computadores e volumes removíveis.
Famílias de ameaças
A Figura 21 lista as dez principais famílias de malware e de softwares
potencialmente indesejados detectadas em computadores pelos produtos de
segurança de área de trabalho da Microsoft no segundo semestre de 2010.
Figura 21. Tendências trimestrais das dez principais famílias de malware e de softwares potencialmente indesejados detectadas por produtos antimalware de área de trabalho da Microsoft no 2S10
Família
Categoria
mais
significativa
1T10 2T10 3T10 4T10
1 JS/Pornpop Adware — — 2.660.06
1
3.860.36
5
2 Win32/Autorun Worms 1.256.64
9
1.646.53
2
2.805.58
5
3.314.09
2
3 Win32/Taterf Worms 1.496.78
0
2.323.75
0
2.338.51
7
1.615.64
9
4 Win32/Zwangi
Diversos
softwares
potencialment
e indesejados
542.534 860.747 1.638.39
8
2.299.21
0
5 Win32/Renos
Trojan
Downloaders
e Droppers
2.693.09
3
1.889.68
0
2.109.63
1
1.655.86
5
6 Win32/Rimecud Worms 1.809.23
1
1.749.70
8
1.674.97
5
1.892.91
9
7 Win32/Conficker Worms 1.498.25
6
1.664.94
1
1.649.93
4
1.744.98
6
8 Win32/FakeSpypr
o
Cavalos de
Troia diversos
1.244.90
3
1.424.15
2
1.897.42
0 889.277
9 Win32/Hotbar Adware 1.015.65
9
1.483.28
9 942.281
1.640.23
8
1
0
Win32/ClickPotat
o
Adware — — 451.660 2.110.11
7
35
Figura 22. As famílias cuja predominância mais aumentou em 2010.
JS/Pornpop, a família mais detectada no 4T10, é uma detecção para
objetos habilitados para JavaScript especialmente criados que tentam
exibir anúncios pop-up nos navegadores da Web dos usuários,
geralmente com conteúdo adulto.
A família de malware Pornpop é uma das famílias que se espalham mais
rápido observada em vários anos. Detectada pela primeira vez em agosto
de 2010, ela cresceu rapidamente, tornando-se a segunda família mais
predominante no 3T10 e a família mais predominante no 4T10 e no
segundo semestre do ano como um todo.
As detecções e remoções do Win32/Autorun, uma detecção genérica de
worms que se espalham entre volumes montados usando o recurso de
Execução Automática do Windows, aumentou significativamente no
4T10, embora a Execução Automática tenha caído para o segundo lugar
devido à difusão do Pornpop.
36
Win32/Taterf, a ameaça mais predominante no 2T10, caiu para o terceiro
lugar até o 4T10. O Taterf pertence a uma categoria de ameaças criadas
para roubar senhas de jogos de computador online conhecidos e
transmiti-las para os invasores. Consulte “Famílias relacionadas a jogos
online” na página 62 do Relatório de inteligência de segurança da Microsoft,
Volume 5 (janeiro a junho de 2008) para obter mais informações sobre
essas ameaças.
Win32/Renos, a ameaça mais predominante no 1T10, caiu para quinto
até o 4T10. A família de trojan downloaders Renos é usada com
frequência para instalar softwares de segurança não autorizados.
Desde 2006, ela tem sido uma das ameaças mais comumente detectadas
e removidas pelos produtos e serviços antimalware de área de trabalho
da Microsoft.
A família de softwares potencialmente indesejados Win32/Zwangi subiu
de décimo no 2T10 para o quarto no 4T10. O Zwangi é um programa
que executa um serviço em segundo plano e modifica as configurações
do navegador de Web para visitar um determinado site.
A família de adware Win32/ClickPotato, detectada pela primeira vez em
agosto de 2010, aumentou rapidamente, tornando-se a décima família
mais predominante no 4T10. O ClickPotato é um programa que exibe
anúncios pop-up e com estilo de notificação de acordo com os hábitos
de navegação do usuário.
37
Software de segurança não autorizado
Os softwares de segurança não autorizados se tornaram um dos métodos mais
comuns usados pelos invasores para roubar dinheiro das vítimas. Os softwares
de segurança não autorizados, também conhecidos como scareware, são os
softwares que parecem ser benéficos de uma perspectiva de segurança, mas que
fornecem segurança limitada ou nenhuma segurança, geram alertas incorretos ou
enganosos ou tenta seduzir os usuários a participarem de transações fraudulentas.
Esses programas normalmente imitam a aparência de softwares de segurança
legítimos e alegam detectar uma grande quantidade de ameaças inexistentes
e, ao mesmo tempo, incitam os usuários a pagar pela “versão completa”
do software para remover as ameaças. Os invasores normalmente instalam
programas de software de segurança não autorizados por meio de explorações
ou de outro malware ou usam a engenharia social para fazer com que os usuários
acreditem que os programas são legítimos e úteis. Algumas versões emulam a
aparência da Central de Segurança do Windows ou usam marcas comerciais e
ícones de maneira ilegal para falsificar sua aparência. (Consulte Software de
segurança não autorizado na seção “Guia de Referência” do site Relatório de
inteligência de segurança para obter mais informações sobre esse tipo de ameaça
e consulte www.microsoft.com/security/antivirus/rogue.aspx para obter uma
série de vídeos informativos sobre softwares de segurança não autorizados
direcionados a uma audiência geral.)
Figura 23. Algumas das “marcas” usadas por diferentes versões da família de softwares de segurança não autorizados Win32/FakeXPA
38
A Figura 24 mostra tendências de detecção das famílias de softwares
de segurança não autorizados mais comuns detectadas em 2010.
Figura 24. Tendências das famílias de softwares de segurança não autorizados mais detectadas em 2010, por trimestre
A Win32/FakeSpypro foi a família de softwares de segurança não
autorizados mais detectada em todos os trimestres de 2010, com mais
de duas vezes mais detecções e remoções gerais em relação à próxima
família mais predominante. Os nomes com os quais o FakeSpypro é
distribuído incluem AntispywareSoft, Spyware Protect 2009 e Antivirus
System PRO. As detecções do FakeSpypro foram adicionadas ao MSRT
em julho de 2009.
Win32/FakeXPA, a segunda família de softwares de segurança
não autorizados mais detectada no geral em 2010, caiu de
uma concorrência apertada com o FakeSpypro no 1T10 para
o sexto lugar no 4T10. O FakeXPA é uma ameaça persistente,
frequentemente atualizada, que usa uma variedade de técnicas para
escapar da detecção e remoção por produtos de segurança legítimos.
Ele é distribuído com diversos nomes, alguns dos quais são mostrados
na Figura 23. As detecções do FakeXPA foram adicionadas ao MSRT em
dezembro de 2008.
39
A Win32/FakePAV foi detectada pela primeira vez no 3T10 e aumentou
rapidamente, tornando-se a segunda família de softwares de segurança
não autorizados mais comumente detectada no quarto trimestre.
A FakePAV é uma das várias famílias de softwares de segurança não
autorizados que se disfarça como o Microsoft Security Essentials.
Ela apresenta uma caixa de diálogo com aparência semelhante à de um
alerta do Security Essentials, que lista uma ou mais infecções inexistentes
que diz não poder remover. Então, ela se oferece para “instalar” uma
versão de avaliação de outro programa de segurança (na verdade, outra
parte da própria FakePAV), depois do que procede de maneira
semelhante a outros programas de softwares de segurança não
autorizados.
Figura 25. Um alerta genuíno do Microsoft Security Essentials (superior) e um alerta falso gerado pela Win32/FakePAV (inferior).
40
Os nomes com os quais a FakePAV é distribuída incluem Red
Cross Antivirus, Peak Protection 2010, AntiSpy Safeguard, Major
Defense Kit, Pest Detector, ThinkPoint, Privacy Guard 2010,
Palladium Pro e outros. As detecções da FakePAV foram adicionadas
ao MSRT em novembro de 2010. Para obter informações adicionais,
consulte a postagem sobre “MSRT soluciona Microsoft Security Essentials
falso” (9 de novembro de 2010) no blog do MMPC,
http://blogs.technet.com/mmpc.
41
Ameaças domésticas e empresariais
Há uma tendência de que os padrões de uso de usuários domésticos
e empresariais sejam muito diferentes. Normalmente, os usuários empresariais
usam computadores para executar funções comerciais enquanto estão conectados
a uma rede e podem ter limitações sobre seu uso da Internet e de email. É mais
provável que os usuários domésticos se conectem à Internet diretamente ou
por meio de um roteador doméstico e usem seus computadores para fins de
entretenimento, como para jogar, assistir vídeos e se comunicar com amigos.
Esses diferentes padrões de uso significam que os usuários domésticos tendem
a estar expostos a um conjunto de ameaças de computador diferente ao dos
usuários empresariais.
A telemetria de infecção produzida pelos produtos e ferramentas antimalware de
área de trabalho da Microsoft inclui informações sobre se o computador infectado
pertence a um domínio do Active Directory®. Os domínios são usados quase que
exclusivamente em ambientes empresariais, e é mais provável que os computadores
que não pertencem a um domínio sejam usados em casa ou em outros contextos não
empresariais. A comparação entre as ameaças encontradas por computadores de
domínio e computadores não de domínio pode fornecer ideias sobre as diferentes
formas como os invasores visam usuários empresariais e domésticos e quais ameaças
têm mais probabilidade de ter êxito em cada ambiente.
42
A Figura 26 e a Figura 27 listam as dez principais famílias detectadas
nos computadores integrados a domínios e não de domínio no 4T10.
Figura 26. As dez principais famílias detectadas em computadores integrados a domínios em 2010, por porcentagem de todos os computadores integrados a domínios infectados
Família Categoria mais
significativa 1T10 2T10 3T10 4T10
1 Win32/Conficker Worms 21,3% 22,0% 19,6% 18,9%
2 Win32/Autorun Worms 7,3% 8,3% 10,0% 10,0%
3 Win32/Rimecud Worms 9,0% 9,8% 8,0% 8,3%
4 Win32/Taterf Worms 4,1% 6,9% 5,9% 4,1%
5 Win32/RealVNC
Softwares
potencialmente
indesejados diversos
5,6% 5,4% 4,9% 4,3%
6 Win32/Hamweq Worms 7,0% 5,3% 3,2% 2,4%
7 Win32/Frethog
Password Stealers
e ferramentas de
monitoramento
6,5% 6,0% 2,8% 2,4%
8 Win32/Renos
Trojan Downloaders
e Droppers 5,2% 3,4% 4,0% 2,8%
9 Win32/Alureon Cavalos de Troia diversos 2,7% 2,4% 2,8% 1,8%
10 Win32/FakeSpypro Cavalos de Troia diversos 2,3% 3,0% 2,8% 0,9%
43
Figura 27. As dez principais famílias detectadas em computadores não de domínio em 2010, por porcentagem de todos os computadores não de domínio infectados
Família Categoria T1 T2 T3 T4
1 Win32/Autorun Worms 3,8% 5,4% 7,8% 8,7%
2 Win32/Renos Trojan Downloaders e Droppers 8,8% 6,6% 6,1% 4,6%
3 Win32/Taterf Worms 4,8% 8,0% 6,7% 4,4%
4 Win32/Rimecud Worms 5,6% 5,7% 4,6% 5,0%
5 JS/Pornpop Adware 0,0% 0,0% 7,8% 10,4%
6 Win32/Frethog
Password Stealers e
ferramentas de monitoramento 6,4% 6,9% 3,6% 3,4%
7 Win32/FakeSpypr
o
Cavalos de Troia diversos 4,1% 4,9% 5,6% 2,5%
8 Win32/Zwangi
Softwares potencialmente
indesejados diversos 1,8% 3,1% 4,9% 6,4%
9 Win32/Conficker Worms 3,8% 4,7% 3,9% 3,8%
1
0 Win32/Hotbar Adware 3,4% 5,3% 2,8% 4,6%
44
Sete famílias são comuns às duas listas, embora estejam em uma ordem e
em proporções diferentes. A família de worms Win32/Conficker, que usa
vários métodos de propagação que funcionam de forma mais eficiente em
um ambiente de rede empresarial típico que na Internet pública, lidera a
lista de integrados a domínios por uma margem significativa, mas
fica em nono na lista não de domínio.
Os worms foram responsáveis por cinco das dez principais famílias
detectadas em computadores integrados a domínios. Vários desses
worms, incluindo Conficker, Win32/Autorun e Win32/Taterf, foram
criados para se propagar através de compartilhamentos de rede, comuns
em ambientes de domínio.
Em computadores não de domínio, a JS/Pornpop foi a família mais
detectada no 4T10 e a quarta família mais detectada em 2010 como
um todo. Por outro lado, essa família foi detectada com muito menos
frequência em computadores integrados a domínios. A família de adware
Pornpop tenta exibir anúncios pop-up, que geralmente contém conteúdo
adulto, nos navegadores da Web dos usuários. Frequentemente, é
encontrada em sites que hospedam conteúdo ilegal ou ilícito e cujo
acesso por usuários em ambientes de domínio muitas vezes é restrito
por políticas organizacionais ou software de bloqueio.
A Taterf e a Win32/Frethog são duas famílias relacionadas criadas para
roubar senhas de usuários que jogam MMORPGs (jogos online com
grande quantidade de participantes). Esses jogos não são comuns no
ambiente de trabalho, mas as duas famílias foram detectadas com
frequências semelhantes em computadores integrados a domínios e não
de domínio. Taterf e Frethog dependem bastante de unidades removíveis
para se propagar; uma técnica que provavelmente foi desenvolvida para
ajudar a espalhá-los em Internet cafés e centros de jogos públicos, mas
que, embora talvez inesperado, também conseguiu espalhá-los de forma
eficiente em ambientes empresariais.
45
Ameaças por email
Quase todas as mensagens de email enviadas pela Internet são indesejadas. Todas
essas mensagens de email indesejadas não apenas carregam as caixas de entrada
dos destinatário e os recursos dos provedores de email, mas também criam um
ambiente no qual os ataques de malware enviados por email e tentativas de
phishing podem se proliferar. Os provedores de email, as redes sociais e outras
comunidades online consideram o bloqueio de spam, de phishing e de outras
ameaças por email uma prioridade.
Mensagens de spam bloqueadas
As informações desta seção são compiladas a partir de dados de telemetria
fornecidos pelo Microsoft FOPE (Forefront® Online Protection for Exchange),
que fornece serviços de filtragem de spam, phishing e malware para milhares
de clientes empresariais e dezenas de bilhões de mensagens por mês.
(Consulte Tendências de spam na seção “Guia de Referência” do site Relatório
de inteligência de segurança para obter mais informações.)
46
Figura 28. Mensagens bloqueadas pelo FOPE a cada mês de 2010
Depois de aumentar gradativamente e então atingir um platô durante
os primeiros oito meses de 2010, o número de mensagens de spam
recebidas e bloqueadas pelo FOPE caiu abruptamente em setembro e
novamente em dezembro. Essas quedas podem ser correlacionadas com
eventos envolvendo dois dos botnets de envio de spam mais
significativos do mundo:
o Durante a última semana de agosto, pesquisadores afiliados
à empresa de segurança LastLine lideraram um desarmamento
coordenado de servidores de comando e controle associados ao
spambot Win32/Cutwail. Nos dias seguintes ao desarmamento, o FOPE
registrou uma redução significativa do volume diário médio de
mensagens bloqueadas.
47
o Mais ou menos em 25 de dezembro, pesquisadores de spam em todo
o mundo registraram um cessar quase completo de spams originados
da grande botnet Rustock, e alguns rastreadores de spam relataram
uma queda na taxa de spam global de 50% ou mais. Durante a
última semana de dezembro, o número de mensagens bloqueadas
pelo FOPE foi quase 30% inferior ao da semana anterior, em
comparação a uma queda de menos de 2% entre as duas últimas
semanas de 2009. Em seguida, o botnet Rustock começou a enviar
spam novamente em meados de janeiro, e o número de mensagens
bloqueadas pelo FOPE aumentou proporcionalmente. Os motivos
para esse hiato ainda estão sendo investigados.
O FOPE executa a filtragem de spam em dois estágios. A maior parte do spam
é bloqueada por servidores na borda da rede, usando filtragem de reputação e
outras regras não baseadas em conteúdo para bloquear spam e outras mensagens
indesejadas. As mensagens que não são bloqueadas no primeiro estágio são
verificadas por meio de regras baseadas em conteúdo, que detectam e filtram
muitas ameaças de email adicionais, inclusive anexos que contêm malware.
Figura 29. Porcentagem de mensagens de entrada bloqueadas pelo FOPE por meio de filtragem de bloqueio de borda e de conteúdo em 2010
No geral, em 2010, apenas aproximadamente uma de cada
38,5 mensagens de entrada chegaram às caixas de entrada
dos destinatários. O restante foi bloqueado na borda da rede
ou por meio de filtragem de conteúdo.
48
Aproximadamente 95,3% de todas as mensagens de entrada foram
bloqueadas na borda da rede, o que significa que apenas 4,7% das
mensagens de entrada precisaram ser sujeitadas ao processo de filtragem
de conteúdo com uso mais intensivo de recursos.
A eficiência das técnicas de filtragem de borda, como a verificação de
reputação de endereço IP, a análise da conexão SMTP e a validação de
destinatário, aumentou drasticamente nos últimos anos, permitindo que
os serviços de filtragem de email ofereçam proteção melhor aos usuários
finais, mesmo com o volume total do tráfego de mensagens indesejadas
na Internet continuando tão alto.
Tipos de spam
Os filtros de conteúdo do FOPE reconhecem vários tipos comuns diferentes de
mensagens de spam. A Figura 30 mostra a predominância relativa desses tipos de
spam em 2010.
Figura 30. Mensagens de entrada bloqueadas por filtros do FOPE em 2010, por categoria
Anúncios de produtos farmacêuticos não relacionados a sexo foram
responsáveis por 32,4% das mensagens de spam bloqueadas pelos filtros
de conteúdo do FOPE em 2010.
49
Juntamente com anúncios de produtos não farmacêuticos (18,3% do
total) e anúncios de produtos de desempenho sexual (3,3%), os anúncios
de produtos representaram 54,0% do spam em 2010, o que está abaixo
dos 69,2% do ano anterior.
Em um esforço para escapar dos filtros de conteúdo, os remetentes de
spam normalmente enviam mensagens que consistem apenas em uma ou
mais imagens, sem texto no corpo da mensagem. As mensagens de spam
apenas com imagens representaram 8,7% do total em 2010, acima dos
6,3% em 2009.
Figura 31. Mensagens de entrada bloqueadas por filtros de conteúdo do FOPE a cada mês de 2010, por categoria
50
Os anúncios de produtos farmacêuticos não relacionados a sexo foram as categorias com a classificação mais alta por uma margem significativa durante a maior parte de 2010.
Como ilustrado na Figura 31, as categorias de spam podem variar consideravelmente de um mês para outro, pois os remetentes de spam realizam campanhas com base no período, de forma bastante parecida com os publicitários legítimos. Os spams que anunciam diplomas universitários fraudulentos, normalmente uma categoria de baixo volume, aumentaram quase seis vezes entre fevereiro e março e foi realmente a terceira categoria mais predominante em março e abril, antes de cair para o último lugar em junho. De forma semelhante, os anúncios apenas com imagens, que representaram uma porcentagem pequena e decrescente dos spams durante todo o mês de maio, repentinamente começaram aumentar em predominância em junho, ocultaram rapidamente os anúncios de produtos não farmacêuticos em agosto e depois retornaram aos níveis mais típicos até o final do ano.
51
Sites mal-intencionados
Frequentemente, os invasores usam sites para conduzir ataques de phishing ou
para distribuir malware. Os sites mal-intencionados normalmente parecem ser
totalmente legítimos e, com frequência, não fornecem nenhum indicador externo
sobre sua natureza mal-intencionada, mesmo para usuários experientes de
computador. Para ajudar a proteger os usuários contra páginas da Web mal-
intencionadas, a Microsoft e outros fornecedores de navegador desenvolveram
filtros que controlam sites que hospedam malware e ataques de phishing, e
exibem avisos proeminentes quando os usuários tentam navegar para eles.
As informações desta seção são compiladas a partir de várias origens internas e
externas, inclusive dados de telemetria produzidos pelo Filtro SmartScreen® (no
Windows Internet Explorer 8 e 9), o Filtro de Phishing (no Internet Explorer 7),
de um banco de dados de sites ativos conhecidos de phishing e que hospedam
malware relatados por usuários do Internet Explorer e de outros produtos e
serviços da Microsoft, e de dados de malware fornecidos por tecnologias
antimalware da Microsoft. (Consulte Phishing e Hosts de malware na seção
“Guia de Referência” do site Relatório de inteligência de segurança para obter mais
informações.)
52
Figura 32. O filtro SmartScreen no Internet Explorer 8 e 9 bloqueia sites de phishing e distribuição de malware relatados.
Sites de phishing
A Figura 33 compara o volume de sites de phishing ativos no banco de dados do
SmartScreen a cada mês com o volume de impressões de phishing controlado pelo
Internet Explorer. Uma impressão de phishing é uma única instância de uma
tentativa do usuário de visitar um site de phishing conhecido com o Internet
Explorer e ser bloqueado.
53
Figura 33. Os sites de phishing e as impressões controladas a cada mês de 2010, em relação à média mensal de cada um
Picos agudos repentinos em impressões, como os mostrados em junho,
não são comuns. Com frequência, os phishers se envolvem em
campanhas discretas com o objetivo de direcionar mais tráfego para
cada página de phishing, sem necessariamente aumentar o número total
de páginas de phishing ativas que estão mantendo ao mesmo tempo.
Nesse caso, o aumento de junho não está fortemente correlacionado
com aumentos de qualquer tipo específico de instituição de destino.
As impressões de phishing e as páginas de phishing ativas raramente
se correlacionam fortemente umas com as outras. O número total de
páginas de phishing ativas rastreadas pela Microsoft permaneceu bastante
estável de um mês para o outro, sem que nenhum mês tenha se desviado
mais do que cerca de 15% da média semestral.
54
Instituições de destino
A Figura 34 e a Figura 35 mostram a porcentagem de impressões de phishing e
sites de phishing ativos, respectivamente, registrados pela Microsoft durante cada
mês de 2010 para os tipos de instituições visadas com mais frequência.
Figura 34. Impressões de cada tipo de site de phishing a cada mês de 2010
Figura 35. Sites de phishing ativos controlados a cada mês de 2010, por tipo de destino
55
Tradicionalmente, o alvo dos phishers tem sido sites financeiros mais
que outros tipos de sites, mas em 2010 foram mostradas evidências de
uma mudança para as redes sociais. As impressões de phishing visando
redes sociais aumentaram de uma baixa de 8,3% de todas as impressões
em janeiro para uma alta de 84,5% de impressões em dezembro.
Especialmente nos quatro últimos meses do ano, foram mostrados sinais
de uma ou mais campanhas de phishing fortes e sustentadas contra redes
sociais.
No início de 2010, os phishers mostraram sinais de visar sites de jogos
online com frequência cada vez maior, embora esse ímpeto pareça ter
diminuído conforme as redes sociais foram cada vez mais atacadas.
As impressões que visavam sites de jogos atingiram uma alta de 16,7%
de todas as impressões em junho, antes de cair para uma porcentagem
mais típica, de 2,1% em dezembro.
Os sites de phishing que têm como alvo redes sociais normalmente
recebem o maior número de impressões por site de phishing ativo.
A porcentagem de sites de phishing ativos que visavam redes sociais
aumentou durante os últimos meses do ano, mas ainda representava
apenas 4,2% dos sites ativos em dezembro, apesar de receber 84,5%
das impressões nesse mês. Contudo, o número de sites ativos que
visavam sites de jogos permaneceu relativamente algo durante o
segundo semestre do ano, o que sugere que talvez mais campanhas
possam estar vindo.
Como em períodos anteriores, os sites de phishing que têm como alvo
instituições financeiras representaram a maioria dos sites de phishing
ativos, variando de 78 a 91% dos sites a cada mês. As instituições
financeiras que são alvo dos phishers podem chega a centenas, e
abordagens de phishing personalizadas são necessárias para cada
uma. Em comparação, apenas um número limitado de sites populares
representa a maior parte do uso de redes sociais e de serviços online na
Internet, de forma que os phishers podem efetivamente visar muito mais
pessoas por site. Ainda assim, o potencial de acesso ilícito direto a contas
bancárias das vítimas indica que as instituições financeiras continuam
sendo alvos populares de phishing e continuam recebendo o maior
ou o segundo maior número de impressões todos os meses.
56
Distribuição global dos sites de phishing
Em todo o mundo, os sites de phishing são hospedados em sites de hospedagem
gratuitos, em servidores Web comprometidos e em vários outros contextos.
A execução de pesquisas geográficas de endereços IP no banco de dados de sites
de phishing relatados possibilita a criação de mapas que mostram a distribuição
geográfica de sites e a análise de padrões.
Figura 36. Sites de phishing por 1.000 hosts da Internet de locais de todo o mundo no 1S10 (superior) e no 2S10 (inferior)
A distribuição mundial de sites de phishing permaneceu bastante
consistente entre o primeiro e o segundo semestre do ano.
57
Os sites de phishing estão concentrados em alguns locais, mas foram
detectados em todos os continentes habitados.
Os locais com as menores populações e menos hosts de Internet tendem
a ter as maiores concentrações de páginas de phishing, embora, em
termos absolutos, a maioria das páginas de phishing esteja localizada em
países/regiões industrializados com grandes quantidades de hosts da
Internet.
Sites que hospedam malware
O Filtro SmartScreen no Internet Explorer 8 e 9 ajuda a fornecer proteção
contra sites que são conhecidos por hospedar malware, além de sites de phishing.
O recurso antimalware do SmartScreen usa dados de reputação de URLs e
tecnologias antimalware da Microsoft para determinar se esses servidores
distribuem conteúdo não seguro. Assim como no caso de sites de phishing,
a Microsoft controla a maneira como muitas pessoas visitam cada site que
hospeda malware e usa as informações para melhorar o Filtro SmartScreen e
para combater melhor a distribuição de malware. (Consulte Hosts de malware na
seção “Guia de Referência” do site Relatório de inteligência de segurança para obter
mais informações.)
Figura 37. O Filtro SmartScreen no Internet Explorer 8 (superior) e no Internet Explorer 9 (inferior) exibe um aviso quando o usuário tenta baixar um arquivo inseguro
58
A Figura 38 compara o volume de sites que hospedam malware ativos no banco
de dados do SmartScreen a cada mês com o volume de impressões de malware
controlado pelo Internet Explorer.
Figura 38. Os sites que hospedam malware e as impressões controlados a cada mês de 2010, em relação à média mensal de cada um
O número de sites que hospedam malware ativos controlado a cada mês
aumentou gradativamente durante o ano, principalmente devido à
melhor detecção.
Depois de uma tendência de aumento durante os cinco primeiros meses,
o número de impressões de hospedagem de malware diminuiu a cada
mês durante o restante do ano. A proteção contra hospedagem de
malware nos navegadores é um desenvolvimento relativamente novo,
em comparação com a proteção contra phishing, e é possível que os
invasores estejam reagindo deixando esse método de distribuição em
função de outras técnicas.
Categorias de malware
A Figura 39 e a Figura 40 mostram os tipos de ameaças hospedadas em URLs que
foram bloqueadas pelo Filtro SmartScreen no 2S10.
59
Figura 39. Ameaças hospedadas em URLs bloqueadas pelo Filtro SmartScreen em 2010, por categoria
60
Figura 40. As dez principais famílias de malware hospedadas em sites bloqueados pelo Filtro SmartScreen no 1S10 e no 2S10, por porcentagem desses sites
Classificação
do 1S10
Nome da
ameaça
Categoria mais
significativa Porcentagem
1 Win32/
MoneyTree
Diversos
softwares
potencialmente
indesejados
61,1
2 Win32/
FakeXPA
Cavalos de Troia
diversos 3,3
3 Win32/
VBInject
Diversos
softwares
potencialmente
indesejados
2,3
4 Win32/
Winwebsec
Cavalos de Troia
diversos 2,0
5 Win32/
Obfuscator
Diversos
softwares
potencialmente
indesejados
1,9
6 Win32/
Pdfjsc
Explorações 1,4
7 Win32/
Small
Trojan
Downloaders
e Droppers
1,3
8 Win32/
Bancos
Password
Stealers e
ferramentas de
monitoramento
1,3
9 Win32/
Swif
Cavalos de Troia
diversos 1,2
10 WinNT/
Citeary
Diversos
softwares
potencialmente
indesejados
1,1
Classificaçã
o do 2S10
Nome da
ameaça
Categoria mais
significativa Porcentagem
1 Win32/
MoneyTree
Diversos
softwares
potencialment
e indesejados
47,3
2 Win32/
Small
Trojan
Downloaders
e Droppers
5,8
3 Win32/
Delf
Trojan
Downloaders
e Droppers
5,1
4 Win32/
Startpage
Cavalos de
Troia diversos 4,2
5 Win32/
Obfuscator
Diversos
softwares
potencialment
e indesejados
3,2
6 Win32/
Banload
Trojan
Downloaders
e Droppers
2,8
7 Win32/
Bancos
Password
Stealers e
ferramentas de
monitoramento
2,0
8 Win32/
Agent
Cavalos de
Troia diversos 1,1
9 Win32/
Microjoin
Trojan
Downloaders
e Droppers
1,1
10 Win32/
Ciucio
Trojan
Downloaders
e Droppers
1,0
61
No geral, os sites que hospedavam as dez principais famílias constituíram
76,9% de todas as impressões de malware no primeiro semestre do ano e
71,6% no segundo.
A categoria Diversos softwares potencialmente indesejados representou
de forma consistente entre dois terços e três quartos de todas
as impressões de malware na maior parte dos períodos, principalmente
devido ao Win32/MoneyTree. A família de malware MoneyTree
foi responsável pelo maior número de impressões de malware
durante todos os períodos semestrais, desde o 1S09.
Os downloads de exploração de documentos bloqueados pelo Filtro
SmartScreen diminuíram de 1,9% do total no 1S10 para 0,96% no 2S10.
Essa redução está correlacionada com o declínio nas detecções de
explorações de documento em favor das explorações de Java, como
mostrado na Figura 6 na página 13.
Win32/VBInject, Win32/Obfuscator, Win32/Pdfjsc, Win32/Small,
Win32/Startpage e Win32/Swif são todas detecções genéricas de coleções
de ameaças não relacionadas que compartilham determinadas
características que podem ser identificadas.
62
Distribuição global dos sites que hospedam malware
A Figura 41 mostra a distribuição geográfica de sites que hospedam malware
relatados para a Microsoft em 2010.
Figura 41. Sites de distribuição de malware por 1.000 hosts da Internet de locais de todo o mundo no 1S10 (superior) e no 2S10 (inferior)
Da mesma forma que com os sites de phishing, a distribuição mundial de
sites que hospedam malware permaneceu bastante consistente entre os
períodos.
63
Sites de download drive-by
Um site de download drive-by é um site que hospeda uma ou mais explorações
que têm como alvo vulnerabilidades em navegadores da Web e complementos de
navegador. Usuários com computadores vulneráveis podem ser infectados por
malware simplesmente ao visitar esse tipo de site, mesmo sem tentar baixar nada.
Os mecanismos de pesquisa, como o Microsoft Bing™, tomaram várias medidas
para ajudar a proteger os usuários contra downloads drive-by. O Bing analisa
sites por explorações à medida que eles são indexados e exibe mensagens de
aviso quando as listagens de páginas de download drive-by aparecem na lista dos
resultados da pesquisa. (Consulte Sites de download drive-by na seção “Guia de
Referência” do site Relatório de inteligência de segurança para obter mais
informações sobre como funcionam os downloads drive-by e as etapas
executadas pelo Bing para proteger os usuários deles.)
As informações desta seção foram geradas a partir de uma análise dos ccTLDs
(domínios de nível superior por código de país) dos sites no índice do Bing que
hospedaram páginas de download drive-by em 2010.
Figura 42. Porcentagem de sites em cada ccTLD que hospedou páginas drive-by no 2T10 (superior) e no 4T10 (inferior)
64
No 2S10, as páginas de download drive-by apareceram em
aproximadamente 2,4 de cada 1.000 páginas de resultados de pesquisa
exibidas aos usuários durante esse período.
Em geral, os ccTLDs infectados de maneira mais pesada foram os
pequenos. Os TLDs pequenos são suscetíveis a grandes oscilações na taxa
de infecção devido a seu tamanho. Por exemplo, se um ISP importante
em um pequeno país ou região for comprometido por um invasor, uma
grande porcentagem dos domínios no ccTLD associado poderá ser
afetada.
A Figura 42 não reflete os locais físicos dos sites hospedados. Nem todos
os sites do ccTLD são hospedados nos locais para os quais os próprios
ccTLDs são atribuídos. No entanto, a maioria dos sites do ccTLD são
destinados a usuários da Internet de um determinado país/região e,
normalmente, são escritos no idioma apropriado, portanto, a Figura 42
pode ser considerada um indicador de como os usuários de diferentes
partes do mundo correm mais ou menos risco de encontrar páginas de
download drive-by.
65
Apêndice
Visite http://www.microsoft.com/sir e baixe a versão em inglês do Relatório de
inteligência de segurança para exibir o seguinte material:
Apêndice A: convenções de nomenclatura de ameaças
Apêndice B: fontes de dados
Apêndice C: taxas mundiais de infecção
Glossário
Famílias de ameaças referenciadas neste relatório
66
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/security
