Dados coletados pelo site Infected or Not (www.infectedornot.com) da Panda Security na semana passada revelam que 18,92% dos usuários do mundo todo que utilizaram as ferramentas online NanoScan e TotalScan possuíam algum tipo de malware ativo em seus computadores. Além disso, 24,14% dos PCs tinham malware latente, ou seja, códigos maliciosos que não estavam sendo executados no momento em que ocorria a análise.
A França foi o país com mais computadores contendo malware ativo, com 28.21% (infecções por país podem ser conferidas no site). A Espanha por outro lado, foi o país com mais computadores infectados com malware latente, 29,10%.
Dos novos exemplares que apareceram nesta semana, o PandaLabs destacou os worms Voter.A, MSNSend.A e Sohanat.DB. Com objetivos eleitorais, o worm Voter.A exibe uma foto de um candidato à presidência do Quênia toda vez que se executa, a cada nove segundos. Esse worm modifica o registro para ser executado a cada reinício do sistema. Para se propagar, ele faz cópias nas unidades removíveis (USB, disco portátil, etc.) com os seguintes nomes: smss.exe, Raila Odinga.exe ou autorun.exe. Além disso, ele cria um arquivo autorun.inf para ser executado a cada vez que o computador detectar uma unidade removível.
O worm MSNSend.A se propaga por meio de mensagens instantâneas enviadas aos contatos do usuário infectado. Como por exemplo: ?Here are my private pictures for you? ou ?hey i'm going to add this picture of us to my weblog?. A mensagem possui um arquivo zip anexado, que quando aberto, infecta os usuários com uma cópia do worm.
Esse código malicioso tenta se conectar a uma página especifica da web para enviar informações confidenciais do computador infectado ao seu criador. Ele também cria uma entrada no registro do Windows para certificar-se de que será executado a cada vez que o sistema for iniciado.
O worm Sohanat.DB chega aos computadores com um ícone de arquivo de texto. Ele é projetado para modificar os arquivos host dos usuários para que eles não possam acessar páginas específicas, navegadores, em sua maioria. Este código malicioso também se conecta a um endereço da web para fazer o download de uma variante dele mesmo no sistema.
O Sohanat.DB faz diversas modificações no registro. Algumas das ações maliciosas incluem alterar a página de Início do Windows, desabilitando o edito do registro e o gerenciador de tarefa, e impedindo os usuários de acessar a opção ?executar? no menu ?Iniciar?. Ele também cria uma nova entrada no registro do Windows para ser executado a cada vez que o sistema for reiniciado.
