Kaspersky Labs topplista för internethot i juli 2009

Trenden för semestermånaden juli var en minskning av mängden datorer som infekterades av skadlig kod. Kina toppar listan av länder som infekterar flest datorer, följt av USA och Ryssland.

Den första topplistan visar skadliga program som upptäckts och neutraliserats då de upptäckts för första gången (som till exempel vid användning av en onlinescanner). Som tidigare så har månadens två topplistor sammanställts ur information från Kaspersky Security Network (KSN). Genom KSN är det möjligt att få statistik i realtid på användares datorer och analysera de allra senaste och farligaste skadliga programmen.

Det finns inga stora förändringar i den första topplistan för juli: Kido och Sality ligger fortfarande högst upp på listan. Däremot så har mängden datorer som infekterats av de mest vanliga skadliga programmen minskat en aning. Detta kan ha att göra med att användare spenderar mindre tid framför datorn under sommar- och semestertider vilket resulterar i att färre datorer infekteras.

1 Net-Worm.Win32.Kido.ih
2 Virus.Win32.Sality.aa
3 Trojan-Downloader.Win32.VB.eql
4 Trojan.Win32.Autoit.ci
5 Worm.Win32.AutoRun.dui
6 Virus.Win32.Virut.ce
7 Virus.Win32.Sality.z
8 Net-Worm.Win32.Kido.jq
9 Worm.Win32.Mabezat.b
10 Net-Worm.Win32.Kido.ix
11 Trojan-Dropper.Win32.Flystud.ko
12 Packed.Win32.Klone.bj
13 Virus.Win32.Alman.b
14 Worm.Win32.AutoIt.i
15 Packed.Win32.Black.a
16 Trojan-Downloader.JS.LuckySploit.q
17 Email-Worm.Win32.Brontok.q
18 not-a-virus:AdWare.Win32.Shopper.v
19 Worm.Win32.AutoRun.rxx
20 IM-Worm.Win32.Sohanad.gen

Den andra topplistan, som visar hotbilden på internet, är klart mer intressant denna månad. Listan representerar de skadliga program som har infekterat datorer via webbsidor och nedladdningar från nätet.

I listan finns tre script-exploits som heter DirektShow. Kaspersky skrev i början av juli om sårbarheten hos Internet Explorer som detta skript utnyttjar (www.viruslist.com/en/weblog?weblogid=208187760). Eftersom Internet Explorer är den mest populära webbläsaren bland datoranvändare är det föga överraskande att denna svaghet utnyttjas av många internetbrottslingar.

1 Trojan-Downloader.JS.Gumblar.a
2 Trojan-Clicker.HTML.IFrame.kr
3 Trojan-Downloader.HTML.IFrame.sz
4 Trojan-Downloader.JS.LuckySploit.q
5 Trojan-Downloader.HTML.FraudLoad.a
6 Trojan-Downloader.JS.Major.c
7 Trojan-GameThief.Win32.Magania.biht
8 Trojan-Downloader.JS.ShellCode.i
9 Trojan-Clicker.HTML.IFrame.mq
10 Exploit.JS.DirektShow.o
11 Trojan.JS.Agent.aat
12 Exploit.JS.DirektShow.j
13 Exploit.HTML.CodeBaseExec
14 Exploit.JS.Pdfka.gu
15 Trojan-Downloader.VBS.Psyme.ga
16 Exploit.JS.DirektShow.a
17 Trojan-Downloader.Win32.Agent.cdam
18 Trojan-Downloader.JS.Agent.czm
19 Trojan-Downloader.JS.Iframe.ayt
20 Trojan-Downloader.JS.Iframe.bew

På sistone har allt fler internetbrottslingar börjat dela upp skadliga skript i flera delar. När det gäller DirektShow så innehåller huvudsidan med sårbarheten en länk till ett annat skript som laddar ner koden med dess egen skadliga data. Trojan-Downloader.JS.ShellCode.i, på åttonde plats i listan, är den skadliga kod som allra oftast utnyttjar denna sårbarhet. Detta tillvägagångssätt är extra användbart för internetbrottslingar, eftersom skriptet kan bytas ut när som helst, medan länken till huvudsidan förblir den samma. Detta upplägg gör det extra svårt att analysera och upptäcka denna typ av skadlig kod, och i de fall man använder sig av automatiserade system så kan det vara rentav omöjligt.

För att göra det lättare att sprida skadlig kod så används samma webbmallar upprepade gånger. Trojan-Downloader.HTML.FraudLoad.a, som är ett nytt tillskott till listan i juli är ett exempel på detta. Denna typ av skadlig kod börjar bli allt mer vanlig bland internetbrottslingar. Resultatet är att ett stort antal webbsidor dyker upp med information om att användarens dator är infekterad och som sedan laddar ner program som inte bara är irriterande utan som också kan utgöra ett allvarligt hot mot användaren. På julilistans tjugonde plats finns Trojan-Downloader.JS.Iframe.bew, som är ett skript som används för nedladdning av skadliga program från denna typ av webbsidor.

Den andra topplistan ger en översikt över de aktuella hoten online och även över de underliggande trenderna. För det första så framgår det att internetbrottslingar fokuserar på att hitta nya svagheter i de mest populära programmen för att utnyttja dessa för att infektera datorer. För det andra så ser man också att internetbrottslingar försöker att dölja sina aktiviteter så att de antingen inte upptäcks alls, alternativt får det att verka som att aktiviteterna endast skadar den smittade datorn minimalt.

För mer information och produkttest vänligen kontakta:
Ronald Binnerstedt, teknikchef
Kaspersky Lab AB
Mobil: 070-323 19 94
E-post: ronald.binnerstedt@kaspersky.se

Om Kaspersky Lab
Kaspersky Lab är en ledande leverantör av världens mest omedelbara skydd mot IT-hot som antivirus, spionprogram, crime-ware, hackare, phishing och spam. Kaspersky Lab erbjuder överlägsen upptäcktstakt och har branschens snabbaste reaktionstid vid utbrott av IT-virus för hemmaanvändare, företag och organisationer av alla storlekar samt den mobila IT-miljön. Kaspersky-teknologin används i IT-säkerhetslösningar av IT-säkerhetsleverantörer över hela världen. Läs mer på www.kaspersky.se. För de senaste nyheterna om antivirus, anti-spionprogram, anti-spam och andra IT-säkerhetsfrågor och -trender, besök www.viruslist.com.