Linha do Tempo do vírus de computador

1971

The Creeper

Foi um programa experimental de auto-replicação, escrito por Bob Thomas na BBN Technologies para testar a teoria de John von Neumann. O Creeper infectou os computadores DEC PDP-10 que executam o sistema operacional TENEX. O vírus ganhou acesso através da ARPANET e se copiou para o sistema remoto onde a mensagem "Eu sou o creeper, me pegue se puder!" foi exibido. O programa Reaper (primeiro antivírus?) foi criado posteriormente para excluir o Creeper. 

1974

The Rabbit (ou Wabbit)

mais uma "fork bomb" do que um vírus. O vírus Rabbit faz várias cópias de si mesmo em um único computador (e foi chamado de "Rabbit" pela velocidade com que o fez) até entupir o sistema, reduzindo o desempenho do sistema, antes de, finalmente atingir um limite, e travar o computador.

1975

Animal

Foi escrito por John Walker para o UNIVAC 1108.  ANIMAL fazia várias perguntas ao usuário na tentativa de adivinhar o tipo de animal em que o usuário estava pensando, enquanto o programa relacionado criaria uma cópia de si mesmo em todos os diretórios aos quais o usuário atual tivesse acesso. Ele se espalhou pelos UNIVACs multiusuário quando usuários com permissões sobrepostas descobriram o jogo e para outros computadores quando as fitas eram compartilhadas. O programa foi cuidadosamente escrito para evitar danos às estruturas de arquivos ou diretórios existentes, e para evitar a cópia de si mesmo se as permissões não existissem, ou se isso resultasse em danos. Sua propagação foi interrompida por uma atualização do sistema operacional que alterou o formato das tabelas de status de arquivo usadas por PERVADE. Embora não seja malicioso, "Pervading Animal" representa o primeiro Trojan.

1981

Elk Cloner

Escrito para sistemas Apple II, foi criado pelo estudante do ensino médio Richard Skrenta, originalmente como uma brincadeira. O Apple II era particularmente vulnerável devido ao armazenamento de seu sistema operacional em um disquete. O design de Elk Cloner, combinado com a ignorância do público sobre o que era malware e como se proteger contra ele, fez com que Elk Cloner fosse responsável pelo primeiro surto de vírus de computador em grande escala da história.

1983 - 1984

Novembro de 1983: O termo vírus é usado por Frederick B. Cohen para descrever programas de computador que se auto-reproduzem. 

Em 1984, Cohen usa a frase "vírus de computador" (sugerido por seu professor Leonard Adleman) para descrever o funcionamento de tais programas em termos de "infecção". Ele define um "vírus" como "um programa que pode 'infectar' outros programas, modificando-os para incluir uma cópia possivelmente evoluída de si mesmo". Cohen demonstra um programa semelhante a vírus em um sistema VAX11/750 na Universidade de Lehigh. O programa podia se instalar ou infectar outros objetos do sistema.

1986

Brain

Aparece em Janeiro deste ano. Basicamente um vírus do setor de inicialização, também conhecido como vírus de Boot. Brain é considerado o primeiro vírus compatível com IBM PC e o programa responsável pela primeira epidemia de vírus compatível com IBM PC. O vírus também é conhecido como Lahore, Pakistani, Pakistani Brain e Pakistani Flu, pois foi criado em Lahore, Paquistão, pelo programador paquistanês de 19 anos, Basit Farooq Alvi, e seu irmão, Amjad Farooq Alvi. 

O código era tão inofensivo que eles colocaram seus nomes, telefones e endereço para as “vítimas” entrarem em contato. O curioso é que eles ainda estão no mesmo endereço, mas agora o lugar é uma empresa de telecomunicações que tocam juntos.

Apesar de as lendas dizerem que eles foram processados e que a empresa faliu — que por acaso também se chama Brain —, eles afirmaram em uma entrevista nunca terem sofrido qualquer retaliação desse tipo. Afinal, tudo o que o vírus fazia era infectar disquetes no primeiro setor a fim de serem inicializados assim que a mídia fosse inserida em um PC.

Virdem model 

Em dezembro deste ano, Ralf Burger apresenta o chamado "Virdem model of programs" em uma reunião do underground Chaos Computer Club na Alemanha. O "modelo Virdem" representou os primeiros programas que puderam se replicar por meio da adição de seu código a arquivos DOS executáveis no formato COM.

1987

Cascade ou Cascata

O vírus Cascade foi um vírus de computador escrito em linguagem Assembly, que se espalhou nos anos de 1980 e início dos anos de 1990. Infectava ficheiros COM e exibia um efeito peculiar: fazia com que o texto caísse. Utilizava um algoritmo de encriptação para evitar ser detetado. Surgiu pela primeira vez no sistema MS-DOS.

Jerusalém ou Sexta-Feira 13

Apareceu em outubro deste ano. O vírus de Jerusalém é detectado na cidade de Jerusalém. O vírus destrói todos os arquivos executáveis nas máquinas infectadas a cada ocorrência, na sexta-feira, 13 (exceto na sexta-feira, 13 de novembro de 1987) Seu primeiro acionamento em 13 de maio de 1988. Jerusalém causou uma epidemia mundial em 1988.

Lehigh

Lehigh é um vírus DOS antigo que infecta apenas o COMMAND.COM. Embora seja um vírus de arquivo, o fato de infectar apenas um arquivo específico em cada disco faz com que ele se comporte de maneira semelhante a um vírus de setor de inicialização. Um vírus anterior chamado Rushhour se comportava de maneira semelhante, pois infectava apenas um driver de teclado alemão.

Stoned

Stoned é um vírus de boot. Acredita-se que tenha sido escrito por um estudante em Wellington na Nova Zelândia. Em 1989, havia se espalhado amplamente na Nova Zelândia e Austrália e, as variantes tornaram-se muito comuns em todo o mundo no início dos anos 1990.

Vienna Virus

Aparece o vírus Vienna, que foi posteriormente neutralizado. Primeira vez que isso aconteceu na plataforma IBM.

1988

Ping Pong ou Pong

O Vírus Ping Pong ou Bouncing Ball foi um dos primeiros vírus a se tornarem conhecidos no Brasil. Ele surgiu na época do MS-DOS e, era um Vírus de Boot que se instalava no primeiro setor do disco e iniciava antes do carregamento do Sistema Operacional. O vírus era carregado quando o usuário ligava o computador, e fazia uma cópia de si mesmo em qualquer disquete que estivesse inserido na máquina. Ele exibia uma animação de uma bola que ficava se movimentando pela tela e quicando nos cantos da tela, que é de onde surgiu seu nome. Essa animação só parava quando o usuário reiniciava o computador. Descoberto na Universidade de Turin na Itália.

CyberAIDS e Festering Hate

Em junho deste ano os vírus para Apple ProDOS se espalham a partir de sistemas BBS piratas e começam a infectar as redes convencionais. Festering Hate foi a última variante da vírus CyberAIDS. Ao contrário dos poucos vírus da Apple anteriores que eram essencialmente irritantes, mas não causavam danos, a série de vírus Festering Hate era extremamente destrutiva, espalhando-se por todos os sistemas arquivos que ele pudesse encontrar no computador host (disco rígido, disquete e memória do sistema) e, em seguida, destruindo tudo quando não pudesse mais encontrar nenhum arquivo não infectado.

Morris

2 de novembro: O worm Morris, criado por Robert Morris, infecta as máquinas DEC VAX e Sun que executam BSD UNIX conectadas à Internet e se torna o primeiro worm a se espalhar amplamente "na natureza" e um dos primeiros programas conhecidos que exploram vulnerabilidades de saturação de buffer. Este vírus valeu um artigo escrito por mim e publicado no  Linkedin. Foi o primeiro vírus que efetivamente me impressionou.

Father Christmas

Worm que atacava máquinas DEC VAX rodando VAX/VMS e, que estão conectadas à Internet DECnet (uma rede internacional de pesquisa científica usando protocolos DECnet), afetando a NASA e outros centros de pesquisa. Seu objetivo era entregar uma saudação de Natal a todos os usuários afetados.

\

1989

Aids Info Disk ou PC Cyborg Trojan

Talvez o primeiro “ransomware” da história, o PC Cyborg Trojan, também conhecido como “Aids Info Disk”, foi o primeiro código malicioso com um objetivo financeiro claro. Ele “sequestrava” o computador da vítima e impedia o acesso aos arquivos, renomeando-os. Para tê-los de volta, o vírus pedia que US$ 378 fossem enviados a um endereço no Panamá.

O autor, Joseph Popp, foi preso. Popp defendeu-se alegando que o dinheiro seria encaminhado à pesquisa de Aids. Esse tipo de atividade maliciosa não seria vista novamente até 2005, com a praga Gpcode, cujo funcionamento básico, embora refinado, é idêntico. 

Ghostball

Em outubro deste ano é descoberto o Ghostball, o primeiro vírus com várias partes distintas e, foi descoberto por Friðrik Skúlason. Ele infectava arquivos .COM executáveis e setores de inicialização em sistemas MS-DOS.

1990

Chameleon

Surpreendendo pesquisadores antivírus no mundo todo, a família de pragas Chameleon, ou V2P, conseguia modificar a si mesma para dificultar a detecção. Seus autores usaram como base o vírus “Cascade”, de 1988, que foi o primeiro a criptografar seu próprio código com o intuito de dificultar a análise. O Chameleon dava um passo adiante, dificultando inclusive a detecção.

Em 1992, vírus polimórficos apareceriam com frequência devido à publicação do Dark Avenger Mutation Engine (“MtE”), que permitia a geração de pragas polimórficas com facilidade. 

Form

Em junho o vírus Form é isolado na Suíça. Ele permaneceria em stand by por quase 20 anos e voltaria; durante a década de 1990, foi supostamente o vírus mais comum no mundo cibernéticos, com mais de 50 por cento das infecções relatadas. O form foi um vírus do setor de boot isolado na Suíça no verão de 1990 que se tornou muito comum em todo o mundo. A origem do Form é amplamente listada como Suíça, mas isso pode ser uma suposição com base em seu local de isolamento. As únicas características notáveis do Form são que ele infecta o setor de boot em vez do Master Boot Record (MBR). Infecções sob o Formulário podem resultar em sérios danos aos dados se as características do sistema operacional não forem idênticas às que o Formulário assume.

1992

Michelangelo

Aparece o vírus Michelangelo. Este deveria criar um apocalipse digital em 6 de março, com milhões de computadores tendo suas informações apagadas, de acordo com a histeria da mídia em torno do vírus. Avaliações posteriores dos danos mostraram que as consequências foram mínimas. John McAfee foi citado pela mídia dizendo que 5 milhões de computadores seriam afetados. Posteriormente, ele disse que pressionado pelo entrevistador para dar um número, ele havia estimado uma faixa de 5 mil a 5 milhões, mas a mídia naturalmente escolheu apenas o número maior. Foi descoberto em 4 de fevereiro de 1991 na Austrália. O vírus foi projetado para infectar sistemas DOS. Michelangelo, como todos os vírus do setor de boot, operava no nível do BIOS. A cada ano, o vírus permanecia dormente até 6 de março, aniversário do artista renascentista Michelangelo. Não há referência ao artista no vírus, e é duvidoso que o(s) desenvolvedor(es) do vírus pretendiam que Michelangelo fosse referenciado ao vírus. O nome foi escolhido por pesquisadores que perceberam a coincidência da data de ativação. O significado real da data para o autor é desconhecido. Michelangelo é uma variante do já endêmico Stoned (1987) virus.

1993

Leandro & Kelly

Se espalha rapidamente devido a popularidade das BBS e distribuição de softwares sharewares. O Leandro e Kelly fazia parte dos vírus de boot, de apenas 1024 Bytes (2K), este é não por acaso o tamanho de 2 setores (2 X 512 Bytes) e por isto era limitado neste tamanho, sua função era somente contaminar ouras mídia e exibir a frase: “Leandro and Kelly ! GV-MG-Brazil“.

1994

OneHalf

É um vírus de computador polimórfico baseado em DOS descoberto em outubro deste ano. É também conhecido como Eslovaco Bomber, Freelove ou Explosion-II. Ele infecta o registro de inicialização (MBR) do disco rígido e quaisquer arquivos com extensões .COM, .SCR e .EXE. No entanto, ele não infectará arquivos que contenham SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV ou CHKDSK no nome.

1995

Concept

A plataforma afetada pelos vírus criados até então não era sempre a mesma: haviam vírus para Amiga, DOS, Windows e até alguns Unix foram alvo de vírus (sendo o Morris o exemplo mais notável). No entanto, todos os códigos maliciosos tinham algo em comum: infectavam arquivos executáveis, ou seja, programas. Somente a chegada do vírus “Concept”, em 1995, mudou isso. Infectando documentos do Microsoft Office, o Concept provou que era possível se espalhar por meio de textos armazenados em um tipo de formato muito comum, o .doc, do Word.

Como resultado, espalhou-se rápido, e vários outros vírus de macro o seguiram. Versões do Office lançadas depois de 2000 incluíram cada vez mais restrições nas macros, até inutilizá-las como meio de propagação de vírus.

1996

Ply

Vírus polimórfico complicado baseado em 16 bits do DOS apareceu com um mecanismo de permutação integrado.

Boza

Primeiro vírus projetado especificamente para arquivos do Windows 95.

Laroux

Primeiro vírus de macro para Excel.

Staog

Foi o primeiro vírus de computador escrito para o sistema operacional Linux. Ele foi descoberto no outono de 1996 e as vulnerabilidades que explorava foram corrigidas logo depois. Ele foi capaz de infectar o Linux apesar de seu design orientado para a segurança, que exige que usuários e programas façam login como root antes que qualquer operação drástica possa ser realizada. Funcionou explorando algumas vulnerabilidades do kernel para permanecer residente. Então, ele infectaria binários.

1998

Back Orifice

Essa praga foi a primeira a permitir o controle remoto de um sistema com facilidade. Foi largamente utilizada por pessoas com um pouco mais de conhecimento para “pregar peças” nos mais leigos. Uma série de outros programas do gênero o seguiram, entre eles o SubSeven e o NetBus. Na verdade este é um programa de computador, mais especificamente uma ferramenta de administração remota, que permite a uma pessoa operar remotamente outro computador que esteja executando o sistema operacional Windows 95 ou Windows 98 e que esteja conectado a uma rede de computadores. O nome é uma sátira ao software servidor da Microsoft chamado Back Office. O programa foi lançado na DEF CON 6 no dia 1 de Agosto de 1998, fruto do intelecto de Sir Dystic, membro da organização hacker americana Cult of the Dead Cow. De acordo com o grupo, seu propósito era demonstrar a falta de segurança no sistema operacional Windows 98 da Microsoft.

NetBus

NetBus é um trojan. Ferramenta de administração remota com uma interface muito simples e muito fácil de utilizar que utiliza a porta 12345.Tem funções como abrir e fechar drive de cd, iniciar algum programa, controlar mouse entre outras. o Indivíduo que controla a máquina infectada remotamente, pode fazer download, abrir programas, deletar arquivos e formatar partições. Um perigo se cair em mãos mal-intencionadas, porém sendo muito útil em assistência remota. 

O primeiro Netbus foi desenvolvido por um programador sueco chamado Carl-Fredrik Neikter com a intenção de fazer manutenção de computadores a longa distância, mas caiu nas mãos erradas devido à sua facilidade de uso. Foi disponibilizado na Internet em Março de 1998. Esse programa é composto por duas partes: um cliente (netbus.exe) e o servidor (patch.exe) sendo essa que deverá ser instalada no computador que se queira gerir remotamente. Utilizando algumas portas TCP, o "gestor da rede" tem a capacidade de gerir ficheiros, gravar sons e fazer praticamente o mesmo que poderia fazer com esse computador à sua frente, só que confortavelmente sentado em sua casa.

CIH também conhecido como Chernobyl ou Spacefiller

É um vírus de computador para Microsoft Windows 9x que surgiu pela primeira vez em 1998. Sua capacidade altamente destrutiva para sistemas vulneráveis, substituindo informações críticas em unidades de sistema infectadas e, em alguns casos, destruindo o BIOS do sistema. O vírus foi criado por Chen Ing-hau que era estudante na Universidade Tatung em Taiwan. Acredita-se que 60 milhões de computadores foram infectados pelo vírus internacionalmente, resultando em cerca de US $ 1 bilhão em danos comerciais.

Estima-se que ele tenha infectado mais de 60 milhões de PCs no mundo todo, especialmente na Ásia. Mas ele tinha um gatilho que só fez com que se ativasse um ano depois, em 26 de abril de 1999. Como o acidente nuclear de Chernobyl aconteceu nessa mesma data — só que muitos anos antes —, o CHI ganhou esse novo nome.

No dia da sua ativação, o vírus se infiltrava na BIOS do sistema e apagava tudo! Isso impedia o computador de iniciar, uma vez que a BIOS é o recurso que contém todas as instruções para os testes de hardware e para ligar o sistema. Alguns PCs da época podiam ser consertados porque o chip da BIOS era removível, mas a maioria exigia a troca da placa-mãe.

1999

Happy99 também conhecido como Ska ou I-Worm

É um vírus para Microsoft Windows. Ele apareceu pela primeira vez em meados de janeiro deste ano, se espalhando por e-mail e pela usenet. O vírus se instala e é executado em segundo plano na máquina da vítima, sem o seu conhecimento. Para muitos é considerado o primeiro vírus a se propagar por e-mail e tem servido como modelo para a criação de outros vírus com auto propagação. Happy99 se espalhou em vários continentes, incluindo América do Norte, Europa e Ásia.

Melissa

O vírus Melissa era um vírus de macro de envio em massa lançado por volta de 26 de março deste ano. Como não era um programa autônomo, não foi classificado como worm. Ele tinha como alvo os sistemas baseados no Microsoft Word e Outlook e criou um tráfego de rede considerável. O vírus infectaria computadores por e-mail, sendo o e-mail intitulado "Mensagem importante de", seguido pelo nome de usuário atual. Ao clicar na mensagem, o corpo leria: "Aqui está o documento que você solicitou. Não mostre a ninguém;)." Em anexo estava um documento do Word intitulado list.doc contendo uma lista de sites pornográficos e logins de acompanhamento para cada um. Em seguida, ele se enviaria em massa para as primeiras 50 pessoas na lista de contatos do usuário e, em seguida, desabilitaria vários recursos de proteção no Microsoft Word e no Microsoft Outlook.

Criado pelo estadunidense David L. Smith, o Melissa disseminou-se através de emails como um arquivo DOC compatível com as versões 97, 98 (Mac OS) e 2000 do Office Word. Acompanhado da instigante mensagem “Aqui está o documento que você me pediu, não o mostre para mais ninguém”, o anexo fazia uma cópia de si mesmo ao ser executado e forçava o redirecionamento de si próprio para os 50 primeiros contatos da agenda do internauta infectado.

O malware atingiu diretamente o sistema de comunicação de grandes empresas, afetando até mesmo a Intel e a Microsoft. Apesar de ter causado danos milionários até mesmo para empresas do setor público dos Estados Unidos, Smith recebeu uma sentença razoavelmente leve: 20 meses de prisão e multa de US$ 5 mil. O programador também foi proibido de acessar redes de computador sem a autorização do tribunal.

ExploreZip também conhecido como I-Worm.ZippedFiles

É um vírus destrutivo que ataca máquinas que executam o Microsoft Windows. Foi descoberto pela primeira vez em Israel em 6 de junho deste ano. Worm.ExploreZip é um worm que contém uma carga maliciosa. O worm utiliza o Microsoft Outlook, Outlook Express ou Exchange para se enviar por e-mail, respondendo a mensagens não lidas em sua caixa de entrada. O anexo de e-mail é Zipped_files.exe

 

O vírus também pesquisa unidades mapeadas e computadores em rede para instalações do Windows. Se encontrado, ele se copia para a pasta \Windows do computador remoto e, a seguir, modifica o arquivo Win.ini do computador infectado. Em 8 de janeiro de 2003, o Security Response descobriu uma variante compactada dessa ameaça que exibe as mesmas características.

CTX

Criado na Espanha. O CTX foi inicialmente descoberto como parte do worm "Cohlera". Embora o worm "Cholera" tivesse a capacidade de se enviar por e-mail, o worm CTX rapidamente o ultrapassou em prevalência. O "Cohlera" agora é considerado obsoleto, enquanto o CTX permanece no campo, embora com apenas raras descobertas.

KAK (Kagou Anti Kro$oft)

Worm JavaScript que usa um bug no Outlook Express para se espalhar.

05192621137631.jpg
2000

I Love You

Uma carta de amor não tão apaixonada, o I Love You ou Love Letter, além de se espalhar rapidamente usando e-mail, foi uma praga única por ter sido programada numa linguagem chamada de “VBScript”. Pela natureza do VBScript, o código inteiro do vírus podia ser visto por qualquer um.

Com suas primeiras vítimas registradas no dia 5 de maio de 2000, o ILOVEYOU (por vezes chamado de Love Bug ou Love Letter) foi disseminado via email, se escondendo em um documento de texto simples que teoricamente era uma carta de amor escrita por um admirador secreto do destinatário.

Ao clicar na suposta declaração romântica, contudo, um script escrito em Visual Basic excluía arquivos pessoais do computador, fazia configurações não autorizadas no Internet Explorer e retransmitia a mesma mensagem para toda a agenda de contatos do internauta infectado. Isso criou uma sobrecarga em quase todos os serviços de email da época e fez com que o malware atingisse mais de 80 milhões de máquinas ao redor do mundo – até o Pentágono e a CIA tiveram problemas com a praga.

A parte engraçada da história é que o criador do ILOVEYOU, o filipino Onel de Guzman, havia criado o vírus como um trabalho de faculdade (e foi rejeitado, obviamente). Frustrado com seus professores, Guzman decidiu espalhar o script no dia 4 de maio – um dia antes de sua formatura.

2001

Anna Kournikova (Vbs.OnTheFly, VBS/SST ou VBS_Kalamar)

Foi um worm de computador que se espalhou na Internet em todo o mundo. Ele foi desenvolvido por um estudante holandês de 20 anos de idade, Jan de Wit - que se autodenominava "OnTheFly" - em 11 de fevereiro. Foi projetado para enganar os usuários de e-mail para que clicassem em um arquivo anexo a mensagem de e-mail, que prometia mostrar uma foto da Tenista, enquanto na verdade escondia um programa malicioso. 

O worm chegava através de um e-mail com o assunto "Here you have, ;0)" e um arquivo anexo chamado AnnaKournikova.jpg.vbs. Quando iniciado no Microsoft Windows, o arquivo não exibe uma imagem de Anna Kournikova, mas lança um programa VBScript viral que se encaminha para todos no catálogo de endereços do Microsoft Outlook da vítima. Os usuários de outros sistemas operacionais (MacOS, Linux, etc) não foram afetados.

Code Red

Worm descoberto na Internet em 15 de julho. Ele atacava computadores que executam o servidor IIS da Microsoft. Foi o primeiro ataque de ameaças mistas em grande escala a atingir com sucesso redes corporativas.

O worm Code Red foi descoberto e pesquisado pela primeira vez pelos funcionários da "eEye Digital Security", Marc Maiffret e Ryan Permeh, quando explorou uma vulnerabilidade descoberta por Riley Hassell. Eles o chamaram de "Code Red" porque Code Red Mountain Dew era o que eles estavam bebendo na época.

O worm direcionava computadores com o servidor Web Microsoft IIS instalado, explorando um problema de estouro de buffer no sistema. Deixava muito pouco rastreio no disco rígido, pois é capaz de rodar inteiramente na memória, com um tamanho de 3.569 bytes.

Uma vez infectado, ele faria uma centena de cópias de si mesmo, mas devido a um erro na programação, ele duplicaria ainda mais e acabaria consumindo muitos recursos do sistema.

Em seguida, lançaria um ataque de negação de serviço em vários endereços IP, famoso entre eles foi o ataque no site da Casa Branca. Além disso, também permitia acesso backdoor ao servidor, permitindo acesso remoto à máquina.

O sintoma mais memorável é a mensagem que deixava para trás nas páginas afetadas, “Hacked By Chinese!”, que se tornou um meme em si. Um patch foi lançado mais tarde e foi estimado que causou US $ 2 bilhões em perda de produtividade. Um total de 1 a 2 milhões de servidores foram afetados, o que é incrível quando você considera que existiam 6 milhões de servidores IIS na época.

Code Red II

Worm semelhante ao worm Code Red. Lançado duas semanas após o Code Red em 4 de agosto, é semelhante em comportamento ao original, mas a análise mostrou que se trata de um novo worm em vez de uma variante. Ao contrário do primeiro, o segundo não tem função de ataque; em vez disso, tem uma porta dos fundos que permite ataques. O worm foi projetado para explorar uma falha de segurança no software de indexação incluído como parte do software de servidor da Web Internet Information Server (IIS) da Microsoft.

Klez

Worm que se propagava por e-mail. Ele apareceu pela primeira vez em outubro. Existem dezenas de variantes deste worm. Ele infecta sistemas Microsoft Windows, explorando uma vulnerabilidade no mecanismo de layout Trident do Internet Explorer, usado tanto pelo Microsoft Outlook quanto pelo Outlook Express para processar email em HTML.

Nimda

Tirando proveito de duas falhas de segurança, o Nimda conseguia infectar servidores de páginas web e ainda se espalhar por e-mail sem que fosse necessária a execução do anexo. Além disso, tinha a capacidade de infectar pastas na rede local e programas armazenados no disco rígido.

Sadmind

Foi um worm que explorava vulnerabilidades no Solaris da Sun Microsystems (Boletim de Segurança 00191) e nos Serviços de Informações da Internet da Microsoft (MS00-078), para os quais um patch havia sido disponibilizado sete meses antes. Foi descoberto no dia 8 de maio.

Sircam

Foi um worm que se propagou pela primeira vez em 2001 por email nos sistemas Microsoft Windows. O email começava com uma linha de texto e um anexo que consistia no executável do worm com algum arquivo infectado.

Zmist

Enquanto muitas pragas chamavam atenção por se espalhar de formas diferentes e mais eficientes, o Zmist não conseguiu se espalhar. No entanto, surpreendeu pesquisadores antivírus com sua capacidade metamórfica de “integração de código” -- talvez a técnica de infecção mais complicada e mais avançada já criada.

Muitos antivírus tiveram problemas para criar uma rotina de detecção e desinfecção, pois o vírus “quebrava” o alvo a ser infectado em partes, e se injetava em qualquer espaço disponível, “reconstruindo” o arquivo depois. Para fazer isso, ele não necessitava de nada menos que 32MB de memória. 

2002

Beast

 

É um cavalo de tróia (backdoor) para Windows, mais comumente conhecido como Ferramenta de Administração Remota ou "RAT" (Remote Access Trojan). É capaz de infectar versões do Windows 95 a 10. Foi escrito em Delphi e lançado pela primeira vez por seu autor Tataye em 2002 e tornou-se bastante popular devido às suas características únicas. Ele usava o modelo cliente-servidor típico em que o cliente estaria sendo operado pelo invasor e o servidor é o que infectaria a vítima. O Beast foi um dos primeiros trojans a apresentar uma conexão reversa com suas vítimas e, uma vez estabelecido, dá ao invasor o controle completo sobre o computador infectado. O vírus seria inofensivo até que fosse aberto. Quando aberto, o vírus usaria o método de injeção de código para se injetar em outros aplicativos.

 

 

Mylife

Foi descoberto pela MessageLabs em 2002 e é um worm que se espalha enviando e-mail para os endereços encontrados na lista de contatos do Microsoft Outlook. Escrito em Visual Basic, ele exibe a imagem de uma garota segurando uma flor enquanto tenta excluir arquivos com certas extensões de nome de arquivo. Seu nome vem de uma frase que aparece nas linhas de assunto dos e-mails que envia. Uma variante, MyLife.B, também chamada de worm "Bill Clinton", em vez disso usa uma linha de assunto "bill caricature" e exibe uma imagem de desenho animado de Bill Clinton tocando um saxofone. Várias variantes adicionais foram descobertas. Quando o arquivo infectado é executado e a imagem é fechada, o worm executa sua carga. MyLife verifica a data atual. Se o valor do minuto for maior ou 45 (por exemplo: 11h45 às 11h59), o worm pesquisa o diretório C:\ e exclui os arquivos .SYS, .COM e o mesmo em D:\Drives.

Simile (Etap ou MetaPHOR)

Foi um vírus metamórfico escrito em linguagem assembly para o ambiente Windows. O vírus foi lançado na versão mais recente no início de março de 2002. Ele foi escrito pelo criador de vírus "Mental Driller". Alguns de seus vírus anteriores, como Win95/Drill (que usava o mecanismo polimórfico TUAREG), provaram ser de difícil detecção.

2003

Agobot

O Agobot foi um dos primeiros “bots” de uso massivo, permitindo que mesmo criminosos com pouco conhecimento criassem suas próprias redes zumbis. Novamente, a brecha usada era a mesma, embora outras seriam adicionadas ao repertório, com o passar dos anos. 

Blaster (Lovsan, Lovesan ou MSBlast)

Worm que se espalhou em computadores com sistemas operacionais Windows XP e Windows 2000. O worm foi detectado pela primeira vez e começou a se espalhar em 11 de agosto. A taxa de disseminação aumentou até o pico do número de infecções em 13 de agosto de 2003. Depois que uma rede (como uma empresa ou universidade) foi infectada, ela se espalhou mais rapidamente dentro da rede porque os firewalls normalmente não impedem que máquinas internas usem uma determinada porta. A filtragem por ISPs e a publicidade generalizada sobre o worm impediram a propagação do Blaster.

Utilizava os computadores infectados como zumbis para organizar um gigantesco ataque de negação de serviço (DDoS) contra o site de atualização do Windows. Além disso, as máquinas também apresentavam instabilidade no sistema e fechavam o SO sem nenhum motivo aparente.

Além de causar um grande estrago em PCs domésticos, o vírus atrapalhou o funcionamento do maior sistema ferroviário dos EUA, prejudicou a intranet da marinha estadunidense e afetou até mesmo alguns escritórios da montadora automobilística BMW. De acordo com a Symantec, pelo menos 188 mil máquinas já haviam sido infectadas pelo Blaster dois dias após seu descobrimento.

Bolgimo

Worm Win32, um programa de computador que se auto-reproduz semelhante a um vírus de computador, que se propaga ao tentar explorar computadores Windows não corrigidos vulneráveis à vulnerabilidade de sobrecarga de buffer de interface DCOM RPC usando a porta TCP 445 em uma rede. Foi descoberto em 10 de novembro de 2003 e tem como alvo os sistemas operacionais Windows NT, 2000 e XP. Se um computador de destino for infectado com sucesso, o worm chamará a atenção do usuário para o fato de que a máquina está vulnerável, baixará o patch para a área de trabalho do usuário e executará o instalador do patch. O worm também tenta desligar processos vinculados a outro malware conhecido por explorar a mesma vulnerabilidade, como o MSBlaster.

Graybird

Cavalo de tróia que oculta sua presença em computadores comprometidos e baixa arquivos de sites remotos. Existem muitas variações desse vírus, como o Backdoor.Graybird.P. Afeta o Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP e Windows Vista.

Hacker Defender

Muitos disseram que não era possível ser infectado apenas estando conectado na internet com um computador doméstico. O Blaster conseguiu derrubar esse mito, ao usar uma falha do Windows para infectar qualquer computador que não estivesse com as atualizações de segurança da Microsoft instaladas.

O Welchia usou a mesma falha para se espalhar, mas tentava remover o Blaster do sistema e ainda instalar a correção imunizadora, levantando uma polêmica a respeito de “pragas benéficas”.

ProRat

Cavalo de tróia backdoor para Microsoft Windows desenvolvido na Turquia, mais conhecido como RAT (Ferramenta de Administração Remota).

Spy Wiper / Spy Deleter

Marca o início dos “softwares de segurança fraudulentos”, criando um “mercado” enorme, que em menos de dois anos contaria mais com mais de 200 programas diferentes. Ainda é um negócio muito lucrativo, embora ações de órgãos do governo norte-americano tenham derrubado alguns desenvolvedores fajutos.

Sober

É uma família de worms descoberta em 24 de outubro. Como muitos worms, o Sober envia a si mesmo como um anexo de e-mail, páginas da Web falsas, anúncios pop-up falsos e anúncios falsos. Os arquivos do Sober devem ser descompactados e executados pelo usuário. Na execução, ele se copia para um dos vários arquivos no diretório do Windows, dependendo da variante. Em seguida, ele adiciona as chaves apropriadas ao registro do Windows, junto com alguns arquivos vazios no diretório do Windows. Esses arquivos vazios são usados para desativar as variantes anteriores do Sober.

Sobig

Infectou milhões de computadores Microsoft Windows conectados à Internet em agosto de 2003. Embora houvesse indicações de que os testes do worm foram realizados já em agosto de 2002, Sobig.A foi encontrado pela primeira vez na natureza em janeiro de 2003. Sobig.B foi lançado em 18 de maio de 2003. Inicialmente chamado de Palyh, mas foi renomeado para Sobig.B depois que os especialistas em antivírus descobriram que era uma nova geração do Sobig. O Sobig.C foi lançado em 31 de maio e corrigiu o bug de tempo no Sobig.B. Sobig.D veio algumas semanas depois, seguido por Sobig.E em 25 de junho. Em 19 de agosto, Sobig.F tornou-se conhecido e estabeleceu um recorde em volume absoluto de e-mails.

SQL Slammer

Worm que causou negação de serviço em alguns hosts da Internet e reduziu drasticamente o tráfego geral da Internet. Ele se espalhou rapidamente, infectando a maioria de suas 75.000 vítimas em dez minutos. O programa explorou um bug de estouro de buffer nos banco de dados SQL Server e Desktop Engine da Microsoft. Embora o patch MS02-039 tenha sido lançado seis meses antes, muitas Organizações ainda não o haviam aplicado.

Swen

Worm de envio de email em massa escrito em C++. Envia um email que contém o instalador do vírus, disfarçado de atualização do Microsoft Windows, embora também funcione em redes de compartilhamento P2P, IRC e sites de newsgroups. Ele foi visto pela primeira vez em 18 de setembro, mas pode ter infectado computadores antes disso. Desativa firewalls e programas antivírus.

Welchia (Nachi)

Worm que explora uma vulnerabilidade no serviço de chamada de procedimento remoto (RPC) da Microsoft, semelhante ao Blaster. No entanto, ele primeiro procura e exclui o Blaster (se ele existir), depois tenta baixar e instalar patches de segurança da Microsoft que impediriam novas infecções pelo Blaster, portanto, é classificado como um worm útil. Welchia foi bem-sucedido em excluir o Blaster, mas a Microsoft afirmou que nem sempre teve sucesso na aplicação de seu patch de segurança.

2004

Bagle (ou Beagle)

Worm de envio de emails em massa que afetava o Microsoft Windows. A primeira variante Bagle.A, não se propagou amplamente. Uma segunda variante Bagle.B, era consideravelmente mais virulenta. O Bagle usou seu próprio mecanismo de SMTP para se enviar em massa como um anexo para destinatários coletados do computador infectado. Ele se copia no diretório do sistema Windows (Bagle.A como bbeagle.exe, Bagle.B como au.exe) e abre um backdoor na porta TCP 6777 (Bagle.A) ou 8866 (Bagle.B). Ele não se envia para endereços que contenham certas strings, como "@hotmail.com", "@msn.com", "@microsoft" ou "@avp".

Bifrost

Família worms com mais de 10 variantes que podem infectar o Windows 95 e outras versões do Windows (embora em versões atuais do Windows, depois do Windows XP, sua funcionalidade seja limitada). O Bifrost usa o servidor típico, o construtor de servidores e a configuração do programa backdoor do cliente para permitir que um invasor remoto, que usa o cliente, execute código na máquina comprometida.

Cabir (Caribe, SybmOS/Cabir, Symbian/Cabir ou EPOC.cabir)

Worm de desenvolvido para infectar telefones celulares que executam o sistema operacional Symbian. Acredita-se que seja o primeiro worm de computador que pode infectar telefones celulares. Quando um telefone está infectado com Cabir, a mensagem "Caribe" é exibida no visor do telefone e é exibida sempre que o telefone é ligado. O worm então tenta se espalhar para outros telefones na área usando sinais Bluetooth.

O Cabir era inofensivo, da mesma forma que o Brain. Ele também foi criado de forma experimental para mostrar para as empresas de antivírus que era possível, sim, invadir um celular com Symbian.

O único efeito do Cabir era mostrar a palavra “Caribe” na tela do smartphone na hora da inicialização. Depois, sempre que o dispositivo infectado se conectava por Bluetooth com outro aparelho, o Cabir era disseminado novamente.

Mydoom (W32.MyDoom@mm, Novarg, Mimail.R ou Shimgapi)

Worm de computador que afeta o Microsoft Windows. Ele foi visto pela primeira vez em 26 de janeiro. Se tornou o worm de e-mail de disseminação mais rápida de todos os tempos, ultrapassando os recordes anteriores do worm Sobig e do ILOVEYOU, um recorde que em 2020 ainda não foi superado. O Mydoom parece ter sido encomendado por spammers de e-mail para enviar lixo eletrônico por meio de computadores infectados. O worm contém a mensagem de texto "andy; I'm just doing my job, nothing personal, sorry", levando muitos a acreditar que o criador do worm foi pago. No início, várias empresas de segurança expressaram sua crença de que o worm se originou de um programador na Rússia. O verdadeiro autor do worm é desconhecido.

O MyDoom estava programado para cessar seus ataques no dia 12 de fevereiro – ou seja, 12 dias após suas primeiras infecções. Contudo, as brechas abertas pelo script continuaram sendo utilizadas como portas de entrada para outros malwares por um bom tempo, causando prejuízos inestimáveis para cidadãos e grandes corporações.

Netsky

Netsky é uma "família de worms" que afetam os sistemas operacionais Windows. A primeira variante apareceu no dia 16 de fevereiro. A variante "B" foi a primeira de distribuição em massa. Ele apareceu no dia18 de fevereiro. Sven Jaschan, da Alemanha (na época com 18 anos), confessou ter escrito estes e outros worms, como o Sasser. Embora as funções individuais variem amplamente de vírus para vírus, a família Netsky talvez seja mais famosa pelos comentários contidos no código de suas variantes insultando os autores das famílias de worm Bagle e Mydoom e, em alguns casos, as rotinas que removiam versões desses vírus. A "guerra", como foi referida na mídia, causou um aumento constante no número de vírus variantes produzidos nessas famílias. Em junho de 2004, Bagle tinha aproximadamente 28 variantes, Netsky aproximadamente 29 variantes e MyDoom aproximadamente 10 variantes.

Nuclear RAT

Malware de RAT. Trojan backdoor que infecta os sistemas da família Windows NT (Windows 2000, Windows XP, Windows 2003).

Santy

Criado em Perl para explorar uma vulnerabilidade no software phpBB e usava o Google para se espalhar pela Internet.

Sasser

Worm que afeta computadores que executam versões vulneráveis dos sistemas operacionais da Microsoft Windows XP e Windows 2000. O Sasser se espalha explorando o sistema por meio de uma porta vulnerável. Portanto, é particularmente virulento, pois pode se espalhar sem a intervenção do usuário, mas também é facilmente interrompido por um firewall configurado corretamente ou baixando atualizações do sistema do Windows Update. A vulnerabilidade que o Sasser explora é documentado pela Microsoft em seu boletim MS04-011, para o qual um patch foi lançado dezessete dias antes.

Uma vez que ele infectasse um computador, procurava por outros sistemas frágeis fazendo um rastreamento de endereços IP aleatórios. Obviamente, para isso, o malware usava o poder de processamento da máquina, causando uma lentidão sofrível e impossibilitando seu uso. Além disso, ele impedia que o computador fosse desligado das maneiras convencionais, sendo necessário retirá-lo da tomada para que o hardware pudesse “descansar em paz”.

Entre os efeitos mais devastadores do Sasser, podemos destacar o fato de que o malware bloqueou todas as comunicações via satélite da agência de notícias Agence France-Presse (AFP) e forçou uma companhia aérea estadunidense a cancelar uma série de voos transatlânticos, já que boa parte de suas máquinas foi infectada pelo vírus.

Vundo (Virtumonde, Virtumondo, ou MS Juan)

Worm conhecido por abrir pop-ups e publicidade de programas anti-spyware nocivos e, esporadicamente outros comportamentos inadequados, incluindo degradação de desempenho e negação de serviço com alguns sites, incluindo Google e Facebook. Ele também é usado para entregar outro malware aos seus computadores host. As versões posteriores incluem rootkits e ransomware.

Witty

Worm de computador que atacava o firewall e outros produtos de segurança de computador desenvolvidos por uma empresa específica, no caso a "Internet Security Systems (ISS)", agora IBM Internet Security Systems. Foi o primeiro worm a tirar proveito das vulnerabilidades nos próprios softwares projetadas para aumentar a segurança da rede e, carregava uma carga destrutiva, ao contrário dos worms anteriores. É assim denominado porque a frase "(^.^) insert witty message here (^.^)" aparece na carga. O incidente do worm Witty foi o único que o worm se espalhou muito rapidamente após o anúncio da vulnerabilidade do ISS (um dia depois) e infectou uma população de hosts muito menor e presumivelmente mais difícil de infectar, uma vez que os administradores tomaram medidas de segurança.

2005

Aurora

Um exemplo muito claro de como um programa feito para exibir anúncios publicitários “patrocinadores” pode exceder todos os limites. Desenvolvido pela Direct-Revenue, o Aurora se “colava”, ou melhor, se “pregava” nas vítimas usando um arquivo chamado “Nail.exe”, que era muito difícil de ser retirado.

Ele ainda eliminava softwares concorrentes . A empresa acabou sendo alvo de vários processos e de ações do governo norte-americano, cessando suas operações em 2007 após ser condenada a pagar uma multa de U$ 1,5 milhão. 

Zlob trojan (Trojan.Zlob)

Cavalo de Tróia que se mascara como um codec de vídeo necessário na forma de ActiveX. Foi detectado pela primeira vez no final de 2005, mas só começou a ganhar atenção em meados de 2006. Depois de instalado, ele exibe anúncios pop-up que parecem semelhantes aos pop-ups reais de aviso do Microsoft Windows, informando ao usuário que o computador está infectado por spyware. Clicar nesses popups ativa o download de um programa anti-spyware falso (como o Virus Heat e o MS Antivirus (Antivirus 2009)) no qual o cavalo de Tróia está escondido.

Zotob

É um worm de computador que explora vulnerabilidades de segurança em sistemas operacionais Windows 2000, incluindo a vulnerabilidade plug-and-play MS05-039. Este worm é conhecido por se espalhar através do serviço Microsoft-ds ou na porta TCP 445. Estima-se queu ataque deste worm custa em média U$97.000, bem como 80 horas de limpeza por empresa afetada.

2006

 

Blackworm (Grew.a, Grew.b, Blackmal.e, Nyxem.e, Nyxem.d, Mywife.d, Tearec.a, CME-24, ou Kama Sutra)

Se espalha principalmente enviando anexos de e-mail infectados, mas também infecta outros computadores copiando a si mesmo em compartilhamentos de rede. O vírus remove programas antivírus de computadores remotos antes de tentar infectá-los. Quando instalado pela primeira vez, ele se copia para os diretórios do Windows e do sistema. Ele usa nomes de arquivo que se assemelham aos de arquivos legítimos do sistema do Windows na tentativa de permanecer oculto. É ativado no terceiro dia de cada mês. Na ativação, o vírus sobrescreve arquivos de dados de muitos tipos comuns, incluindo documentos do Word, Excel e PowerPoint; Arquivos ZIP e RAR; e PDFs. Tenta desabilitar os programas antivírus removendo as entradas do registro que os executam automaticamente e excluindo os programas.

Brontok (W32/Rontokbro.gen@MM, W32.Rontokbro@mm, BackDoor.Generic.1138, W32/Korbo-B, Worm/Brontok.a, Win32.Brontok.A@mm, Worm.Mytob.GH, W32/Brontok.C.worm, Win32/Brontok.E, ou W32.Rontokbro.D@mm)

Originário da Indonésia. O nome refere-se a "Elang Brontok", uma espécie de ave nativa do Sul e Sudeste Asiático. Chega como um anexo de e-mail chamado kangen.exe

 

O worm também realizou um ataque tipo "ping flood" em dois sites: Israel.gov.il e playboy.com. Este pode ser um exemplo de hacktivismo. Brontok inspirou a criação de um trojan mais persistente, como o Daprosy, que atacou cyber cafés em julho de 2009.

Oompa-Loompa (OSX/Oomp-A ou Leap.A)

Malware que infecta aplicativos e espalha-se por LAN para Mac OS X, descoberto pela empresa de segurança da Apple Intego no dia 14 de fevereiro. O Leap não pode se espalhar pela Internet e só pode se espalhar por uma rede local acessível usando o protocolo Bonjour. Na maioria das redes, isso o limita a uma única sub-rede IP.

Starbucks

Vírus que atacava o StarOffice e do OpenOffice.

Stration (Stratio ou Warezov)

Família de worms que pode afetar computadores com Windows, desativando recursos de segurança e se propagando para outros computadores por meio de anexos de e-mail. Esta família de worms é incomum, pois novas variantes são produzidas periodicamente e replicdas em servidores remotos. Isso torna a detecção e a remoção um desafio particular para os fornecedores de software antivírus, porque novos arquivos de assinatura para cada variante precisam ser emitidos para permitir que seu software os detecte.

2007

Storm Worm

O Storm Worm começou a atacar milhares de computadores (a maioria particulares) na Europa e nos Estados Unidos na sexta-feira, 19 de janeiro, usando uma mensagem de e-mail com uma linha de assunto sobre um desastre climático recente, "230 dead as storm batters Europe" . Durante o fim de semana, houve seis ondas subsequentes de ataque. Em 22 de janeiro, o Storm Worm foi responsável por 8% de todas as infecções por malware em todo o mundo. Há evidências, de acordo com a PCWorld, de que o Storm Worm era de origem russa, possivelmente rastreável até a Russian Business Network.

Ganhou esse nome por se fantasiar como um email aparentemente inofensivo que noticiava a morte de 230 cidadãos em uma fortíssima tempestade na Europa. Ao clicar na mensagem, o internauta era instantaneamente infectado por um cavalo de Troia. Contudo, mais perigosa ainda era uma versão alternativa do vírus, capaz de transformar o PC contaminado em um zumbi para que o cibercriminoso pudesse utilizá-lo em sua rede de máquinas remotamente controláveis.

O Storm Worm é considerado um dos vírus mais marcantes da História por dois motivos distintos. Primeiramente, seu criador jamais foi conhecido – especula-se que o script seja de origem russa, mas nenhuma empresa especialista em segurança cibernética conseguiu encontrar alguma informação concreta acerca desse assunto.

Além disso, o malware destaca-se dos demais por ser utilizado até hoje (obviamente, de formas mais modernas e com técnicas aprimoradas) por hackers interessados em criar uma bot-net de spam. Dessa forma, é difícil apontar a quantidade de pessoas atingidas pelo script.

Zeus (ZeuS ou Zbot)

É um malware cavalo de Tróia executado em versões do Microsoft Windows. Embora possa ser usado para realizar muitas tarefas maliciosas e criminosas, é frequentemente usado para roubar informações bancárias por meio de registro de pressionamento de tecla man-in-the-browser e obtenção de formulários. Também é usado para instalar o ransomware CryptoLocker. O Zeus se espalha principalmente por meio de downloads  e campanhas de phishing. Identificado pela primeira vez em julho, quando era usado para roubar informações do Departamento de Transporte dos Estados Unidos, tornou-se mais difundido em março. Em junho, a empresa de segurança Prevx descobriu que o Zeus havia comprometido mais de 74.000 contas FTP em sites de tais empresas como o Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon e BusinessWeek. Da mesma forma que o Koobface, o Zeus também foi usado para enganar as vítimas de golpes de suporte técnico, fazendo-os dar dinheiro aos golpistas por meio de mensagens pop-up que afirmam que o usuário tem um vírus, quando na realidade eles não tinham nenhum vírus. Os golpistas podem usar programas como prompt de comando ou visualizador de eventos para fazer o usuário acreditar que seu computador está infectado.

As tarefas mais comuns são geralmente o registro de man-in-the-browser e a captura de formulários. Além disso, a maioria dos computadores foi infectada por downloads drive-by ou golpes de phishing.

Identificado pela primeira vez em 2009, conseguiu comprometer milhares de contas e computadores FTP de grandes empresas multinacionais e bancos como Amazon, Oracle, Bank of America, Cisco, etc. Os controladores da botnet Zeus o usaram para roubar as credenciais de login da rede social, e-mail e contas bancárias.

Somente nos EUA, estimou-se que mais de 1 milhão de computadores foram infectados, com 25% nos EUA. Toda a operação foi sofisticada, envolvendo pessoas de todo o mundo para agir como mulas de dinheiro para contrabandear e transferir dinheiro para os líderes da Europa Oriental.

Cerca de US $ 70 milhões foram roubados e na posse do anel. 100 pessoas foram presas em conexão com a operação. No final de 2010, o criador de Zeus anunciou sua aposentadoria, mas muitos especialistas acreditam que isso seja falso.

2008

Bohmini.A

 

Explora falhas de segurança no Adobe Flash 9.0.115 com Internet Explorer 7.0 e Firefox 2.0 no Windows XP SP2. Em julho deste ano se espalhou como malvertising da 247mediadirect por meio de uma rede de publicidade no Facebook.

Conficker

Infiltrando-se em milhões de computadores, a praga digital “Conficker” mostrou que muitos especialistas estavam errados quando tentaram prever, em 2004, que a era dos “grandes vírus que se espalham pela internet” tinha acabado. Espalhando-se também por pen drives, o vírus forçou a Microsoft a lançar uma correção para a configuração de “AutoRun” no Windows e a oferecer uma recompensa de U$ 250 mil por informações que levem a polícia ao autor do código malicioso.

Várias organizações se uniram para tentar parar o avanço da praga, que faz um uso inteligentes de endereços aleatórios na internet para impossibilitar sua desativação. 

Koobface

Worm que ataca as plataformas Microsoft Windows, Mac OS X e Linux. Este worm originalmente visava usuários de sites de rede como Facebook, Skype, Yahoo Messenger e sites de e-mail como GMail, Yahoo Mail e AOL Mail. Ele também tem como alvo outros sites como MySpace, Twitter e pode infectar outros dispositivos na mesma rede local. Os golpistas usam popups falsos e programas integrados do Windows na utilização deste Worm.

Mocmex

Foi o primeiro vírus de computador sério em um frame digital. O vírus foi rastreado até um grupo na China. O Mocmex coleta senhas para jogos online. O vírus é capaz de reconhecer e bloquear a proteção antivírus de mais de cem empresas de segurança e do firewall interno do Windows. Ele baixa arquivos de locais remotos e oculta arquivos nomeados aleatoriamente em computadores infectados. Além disso, ele se espalha para outros dispositivos de armazenamento portáteis que foram conectados a um computador infectado. Os especialistas do setor descrevem o Mocmex como uma "bomba nuclear de malware".

Rustock.C

Malware do tipo spambot até então comentado com recursos avançados de rootkit, foi anunciado como tendo sido detectado em sistemas da Microsoft e analisado, tendo estado à solta e não detectado desde outubro de 2007.

Torpig (Anserin ou Sinowal)

Tipo de rede de bots propagada por sistemas comprometidos pelo rootkit Mebroot por uma variedade de cavalos de tróia com o objetivo de coletar dados pessoais e corporativos confidenciais, como contas bancárias e informações de cartão de crédito. Ele tem como alvo computadores Windows, recrutando uma rede de zumbis para o botnet. O Torpig bypassa o antivírus e verifica o sistema infectado em busca de credenciais, contas e senhas, além de permitir que os invasores tenham acesso total ao computador. Ele também é supostamente capaz de modificar dados no computador e pode realizar ataques man-in-the-browser.

2009

Daprosy Worm

Era um programa de malicioso que se espalhava através de conexões de rede local (LAN), e-mails de spam e dispositivos de armazenamento em massa USB. A infecção vem de um único arquivo read1st.exe, em que várias dezenas de clones são criados de uma vez com os nomes das pastas comprometidas. O sintoma mais óbvio de infecção por Daprosy é a presença de arquivos "Classified.exe" ou "Do not open - secrets!.exe" de pastas infectadas.

Kenzero

Ataca computadores que baixam arquivos por meio de redes ponto a ponto (P2P). Assim que o arquivo é aberto, o vírus localiza o histórico de navegação da vítima e o publica online. As pessoas podem então ver o(s) arquivo(s).

SpyEye

Malware que ataca usuários que executam Google Chrome, Opera, Firefox e Internet Explorer em sistemas operacionais Microsoft Windows. Este malware usa registro de pressionamento de tecla e obtenção de formulários para roubar credenciais do usuário para uso malicioso. O SpyEye permite que hackers roubem dinheiro de contas bancárias online e iniciem transações, mesmo enquanto usuários válidos estão logados em suas contas bancárias. possui a capacidade de inserir novos campos e alterar campos existentes quando o navegador de um usuário comprometido exibe uma página da web, permitindo que ele solicite nomes de usuário, senhas ou números de cartão, fornecendo assim aos hackers informações que lhes permitem roubar dinheiro sem titulares de conta nunca percebendo. Ele pode salvar o saldo falso do usuário (com transações fraudulentas ocultas) para que da próxima vez que o usuário fizer login, as transações fraudulentas e o saldo real não sejam exibidos no navegador do usuário (embora o banco ainda veja as transações fraudulentas).

MiniPanzer and MegaPanzer

São duas variantes do Bundestrojaner escrito pela ERA IT Solutions (um contratante do governo federal suíço) pelo engenheiro de software Ruben Unteregger e, posteriormente usado pelo Departamento Federal de Meio Ambiente, Transporte, Energia e Comunicações da Suíça (UVEK ) para interceptar o Skype e, de maneira mais geral, o tráfego de voz sobre IP em sistemas Windows XP.

IMG_0023.PNG
2010

Alureon (TDSS ou TDL-4)

Trojan e bootkit criado para roubar dados interceptando o tráfego de rede de um sistema e procurando por: nomes de usuário e senhas bancárias, dados de cartão de crédito, informações do PayPal, números de previdência social e outros dados de usuários confidenciais. Após uma série de reclamações de clientes, a Microsoft determinou que o Alureon causou uma onda de BSoDs em alguns sistemas Microsoft Windows de 32 bits. A atualização, MS10-015, desencadeou essas falhas quebrando suposições feitas pelo(s) autor(es) do malware.

Here you have

Worm que atacou com sucesso dezenas de milhares de computadores Windows, quando foi enviado como um link dentro de uma mensagem de e-mail com o texto "Here you have" na linha de assunto. O worm chegou às caixas de entrada de e-mail por volta de 9 de setembro com o simples assunto "Here you have". A extensão final do link foi oculta por padrão, levando usuários desavisados a pensar que era um mero arquivo PDF. Ao abrir o anexo, o worm enviava uma cópia de si mesmo para todos no Catálogo de endereços do Windows. 

Psyb0t

Tirando proveito de senhas fracas e softwares desatualizados, essa praga digital consegue infectar modems ADSL e roteadores baseados em Linux. Esses equipamentos, por serem normalmente mais simples do que computadores “completos”, eram considerados bem mais seguros e não havia um código malicioso que os atacasse. Isso até a semana passada, quando pesquisadores divulgaram a descoberta do Psyb0t.

Stuxnet

Worm malicioso, descoberto pela primeira vez em 2010, que possível que j;a estava em desenvolvimento desde 2005. O Stuxnet visa sistemas de controle de supervisão e aquisição de dados (SCADA) e acredita-se que seja responsável por causar danos substanciais ao programa nuclear do Irã . Embora nenhum dos países tenha admitido abertamente a responsabilidade, o worm é amplamente conhecido como uma arma cibernética construída em conjunto pelos Estados Unidos e Israel. O Stuxnet visa especificamente controladores lógicos programáveis ​​(PLCs), que permitem a automação de processos electro mecânicos, como aqueles usados ​​para controlar máquinas e processos industriais, incluindo centrífugas de gás para separação de material nuclear. Explorando quatro falhas de dia zero, o Stuxnet funciona mirando em máquinas que usam o sistema operacional e redes Microsoft Windows e, em seguida, procurando o software Siemens Step7. O Stuxnet comprometeu PLCs iranianos, coletando informações sobre sistemas industriais e fazendo com que as centrífugas de rotação rápida se separassem.

Waledac botnet (Waled ou Waledpak)

Era uma botnet com foco em spam de e-mail e malware. Em março, o botnet foi retirado do ar pela Microsoft. Antes de sua eventual queda, o botnet Waledac possuía cerca de 70.000-90.000 computadores infectados com o worm de computador "Waledac". A própria botnet era capaz de enviar cerca de 1,5 bilhão de mensagens de spam por dia, ou cerca de 1% do volume total de spam global.

2011

Anti-Spyware 2011

 

Cavalo de Tróia que ataca o Windows 9x, 2000, XP, Vista e Windows 7, fingindo ser um programa anti-spyware. Ele desabilita processos relacionados à segurança de programas antivírus, enquanto também bloqueia o acesso à Internet, o que impede atualizações

Duqu

Malware descoberto em 1 de setembro e foi diretamente relacionado ao worm Stuxnet. O Laboratório de Criptografia e Segurança do Sistema (CrySyS Lab) da Universidade de Tecnologia e Economia de Budapeste, na Hungria, descobriu a ameaça, analisou o malware e escreveu um relatório de 60 páginas nomeando a ameaça Duqu. O nome Duqu vem do prefixo "~DQ" que ele atribui aos nomes dos arquivos que cria.

FlashBack

Embora não seja tão prejudicial quanto o restante do malware nesta lista, este é um dos poucos malwares para Mac que ganharam notoriedade, pois mostrou que os Macs não são imunes. O cavalo de troia foi descoberto pela primeira vez em 2011 pela empresa de antivírus Intego como uma instalação falsa do Flash.

Em sua versão mais recente, um usuário simplesmente precisa ter o Java ativado (o que provavelmente é a maioria de nós). Ele se propaga usando sites comprometidos que contêm código JavaScript que fará o download da carga útil. Uma vez instalado, o Mac se torna parte de uma botnet de outros Macs infectados.

The Morto

Tenta se propagar para outros computadores por meio do Microsoft Windows Remote Desktop Protocol (RDP). Se espalha, forçando os sistemas infectados a procurarem servidores Windows que permitem o login RDP. Uma vez que encontra um sistema acessível por RDP, ele tenta entrar em um domínio ou conta de sistema local chamada 'Administrador' usando várias senhas comuns. 

ZeroAccess botnet

Malware que afeta os sistemas operacionais Microsoft Windows. Ele é usado para baixar outro malware em uma máquina infectada de um botnet, enquanto permanece oculto. Estima-se que o rootkit ZeroAccess responsável pela disseminação do botnet esteja presente em pelo menos 9 milhões de sistemas. As estimativas do tamanho do botnet variam entre as fontes; o fornecedor de antivírus Sophos estimou o tamanho do botnet em cerca de 1 milhão de máquinas ativas e infectadas no terceiro trimestre de 2012, e a empresa de segurança Kindsight estimou 2,2 milhões de sistemas infectados e ativos.

2012

Flame (Flamer, sKyWIper ou Skywiper)

Malware modular que ataca computadores que executam o Microsoft Windows. Usado para espionagem cibernética direcionada em países do Oriente Médio. Sua descoberta foi anunciada em 28 de maio de 2012 pelo MAHER Center of Iranian Computer Emergency Response Team (CERT), Kaspersky Lab e CrySyS Lab da Budapest University of Technology and Economics. A CrySyS afirmou em seu relatório que "o sKyWIper é certamente o malware mais sofisticado que encontraram durante a prática naquele ano; sem dúvida, é o malware mais complexo já encontrado no ano de 2012".

NGRBot

Worm descoberto em setembro, que usa a rede IRC para transferência de arquivos, envio e recebimento de comandos entre máquinas zumbis da rede e o servidor IRC do invasor, e monitoramento e controle de conectividade e interceptação de rede. Ele usa uma técnica de rootkit de modo de usuário para ocultar e roubar as informações de sua vítima. Essa família de bots também é projetada para infectar páginas HTML com frames em linha (iframes), causando redirecionamentos, impedindo que as vítimas obtenham atualizações de produtos de segurança e eliminando esses serviços. O bot é projetado para se conectar através de um canal IRC predefinido e se comunicar com um botnet remoto.

Shamoon

Projetado para atingir computadores que executam o Microsoft Windows no setor de energia. Symantec, Kaspersky Lab e Seculert anunciaram sua descoberta em 16 de agosto de 2012.

2013

CryptoLocker Trojan horse (CopyCat)

O CryptoLocker criptografa os arquivos no disco rígido do usuário e, em seguida, solicita que ele pague um resgate ao desenvolvedor para receber a chave de decriptografia. Nos meses seguintes, vários Trojans ransomware copycat também foram descobertos.

Ele usa vários métodos para se espalhar, como e-mail, e quando um computador é infectado, ele criptografa certos arquivos no disco rígido e qualquer armazenamento montado conectado a ele com a criptografia de chave pública RSA.

A operação de resgate acabou sendo interrompida quando agências policiais e empresas de segurança conseguiram assumir o controle de parte da rede de bots que opera o CryptoLocker e o Zeus.

Evgeniy Bogachev, o líder do anel, foi cobrado e as chaves de criptografia foram liberadas para os computadores afetados. A partir dos dados coletados no ataque, o número de infecções é estimado em 500.000, com o número de pessoas que pagaram o resgate em 1,3%, totalizando US $ 3 milhões.

The Gameover ZeuS

Descoberto em dezembro. Esse tipo de vírus rouba os dados de login de uma pessoa em sites populares que envolvem transações financeiras. Ele detecta uma página de login e, em seguida, injeta um código malicioso na página, digitando os detalhes do usuário no computador.

Linux.Darlloz

Descoberto em dezembro e tinha como alvo hardwares de IoT e, infecta roteadores, câmeras de segurança, decodificadores, explorando uma vulnerabilidade do PHP. 

2014

Regin

Descoberto em novembro. O Regin é um propagado principalmente por meio de páginas da Web falsificadas. Depois de instalado, baixa silenciosamente o malware adicional, dificultando a detecção dos programas antivírus baseados em assinaturas. Acredita-se que tenha sido criado pelos Estados Unidos e pelo Reino Unido como uma ferramenta de espionagem e vigilância em massa.

2015

Bashlite

Malware voltado para execução de ataques DDoS.

2016

Locky Ransomware

Com suas mais de 60 variantes, se espalhou pela Europa e infectou milhões de computadores. No auge da disseminação, mais de cinco mil computadores por hora foram infectados somente na Alemanha. Embora o ransomware não fosse uma coisa nova na época, a segurança cibernética insuficiente, bem como a falta de padrões de TI, foram responsáveis pelo alto número de infecções. Infelizmente, mesmo antivírus e software de segurança de internet atualizados não foram capazes de proteger os sistemas das primeiras versões do Locky.

Memz

O criador, Leurak, explicou que o trojan era apenas uma piada. O trojan alerta o usuário para o fato de que é um trojan e avisa que, se continuar, o computador pode não ser mais utilizável. Ele contém cargas complexas que corrompem o sistema, exibindo artefatos na tela enquanto ele é executado. Uma vez executado, o aplicativo não pode ser fechado sem causar mais danos ao computador, que irá parar de funcionar corretamente. Quando o computador é reiniciado, no lugar do bootsplash há uma mensagem que diz "Your computer has been trashed by the MEMZ Trojan. Now enjoy the Nyan cat… ...", que segue com uma animação do Gato Nyan.

Mirai

Entra em evidência nas manchetes, ao lançar alguns dos ataques DDoS mais poderosos e perturbadores vistos até hoje ao infectar a Internet das Coisas. Mirai acaba sendo usado no ataque DDoS em 20 de setembro de 2016 no site Krebs on Security que atingiu 620 Gbit/s. A Ars Technica também relatou um ataque de 1 Tbit/s ao host francês OVH. Em 21 de outubro de 2016, vários grandes ataques DDoS em serviços de DNS do provedor de serviço de DNS Dyn ocorreram usando malware Mirai instalado em um grande número de dispositivos IoT, resultando na inacessibilidade de vários sites como GitHub, Twitter, Reddit, Netflix, Airbnb e muitos outros. A atribuição do ataque ao botnet Mirai foi originalmente relatada pela BackConnect Inc.

Tiny Banker Trojan (Tinba)

Chega às manchetes em fevereiro. Desde sua descoberta, descobriu-se que infectou mais de duas dezenas de grandes instituições bancárias nos Estados Unidos, incluindo TD Bank, Chase, HSBC, Wells Fargo, PNC e Bank of America. O Tiny Banker Trojan usa injeção de HTTP para forçar o computador do usuário a acreditar que está no site do banco. Esta página falsa terá a mesma aparência e funcionamento da página real. O usuário então insere suas informações para fazer logon, momento em que Tinba pode lançar o retorno de "informações de logon incorretas" da página da web do banco e redirecionar o usuário para o site real. Isso serve para enganar o usuário, fazendo-o pensar que inseriu as informações erradas e continuar normalmente, embora o Tinba tenha capturado as credenciais e as enviado ao seu host.

2017

Kedi RAT

Em setembro, uma nova variedade do RAT "Kedi RAT", é distribuída em uma campanha de Spear Phishing. O ataque tinha como alvo os usuários Citrix. O Trojan foi capaz de escapar dos scanners de sistema usuais. O Kedi tinha todas as características de um RAT comum e podia se comunicar com seu centro de comando e controle via Gmail usando os protocolos HTML e HTTP comuns.

Petya

Em junho aparece o malware Petya, afetando globalmente os sistemas Windows. Pesquisadores da Symantec revelam que este ransomware usa o exploit EternalBlue, semelhante ao usado no ataque de ransomware WannaCry.

Xafecopy Trojan

Em setembro o Trojan Xafecopy ataca 47 países, afetando apenas os sistemas operacionais Android. A Kaspersky Lab o identificou como um malware da família Ubsod, roubando dinheiro por meio de sistemas de faturamento WAP baseados em cliques.

WannaCry ransomware

Em maio deste ano o ataque de ransomware WannaCry se espalha globalmente. Exploits revelados no vazamento do kit de ferramentas de hacking da NSA no final de 2016 foram usados para permitir a propagação do malware. Logo após a notícia das infecções, um pesquisador de cibersegurança do Reino Unido em colaboração com outros encontrou e ativou um "interruptor de eliminação" escondido dentro do ransomware, efetivamente interrompendo a onda inicial de sua propagação global. No dia seguinte, os pesquisadores anunciaram que encontraram novas variantes do malware sem o interruptor de eliminação.