I augusti har internetbrottslingarna fortsatt att utnyttja sårbarheter i populära programvaror för att sprida skadlig kod. Sårbarheter i Microsoft Office och Internet Explorer har utnyttjats aktivt. Även denna månad är Kina det land som sprider flest virus och skadlig kod. Däremot har Kinas dominans minskat sedan juli.

Månadens två topplistor har sammanställts ur information från Kaspersky Security Network (KSN) under augusti 2009.

Den första topplistan visar skadliga program som upptäckts och neutraliserats då de upptäckts för första gången (som till exempel vid användning av en onlinescanner).

1 Net-Worm.Win32.Kido.ih
2 Virus.Win32.Sality.aa
3 AdWare.Win32.Boran.z
4 Trojan-Downloader.Win32.VB.eql
5 Trojan.Win32.Autoit.ci
6 Virus.Win32.Virut.ce
7 Worm.Win32.AutoRun.dui
8 Net-Worm.Win32.Kido.jq
9 Virus.Win32.Sality.z
10 Virus.Win32.Induc.a
11 Worm.Win32.Mabezat.b
12 Net-Worm.Win32.Kido.ix
13 Packed.Win32.Klone.bj
14 Trojan.Win32.Swizzor.b
15 Packed.Win32.Katusha.b
16 Worm.Win32.AutoIt.i
17 AdWare.Win32.Shopper.v
18 Trojan-Dropper.Win32.Flystud.yo
19 Email-Worm.Win32.Brontok.q
20 P2P-Worm.Win32.Palevo.jaj

Masken Win32.Kido.ih och viruset Win32.Sality.aa har behållit sina platser i listans topp. Det finns sex nykomlingar i denna månads lista och några av dessa förklaras närmare nedan.

Den mest intressanta nykomlingen är Win32.Induc.a som Kaspersky Lab har skrivit om i ett antal artiklar under de senaste veckorna (http://www.kaspersky.com/news?id=207575885 och http://www.viruslist.com/en/weblog?weblogid=208187832). För att viruset ska kunna sprida sig utnyttjar Win32.Induc.a att programspråket Delphi har en tvåstegsmetod för att skapa programfiler. Applikationens källkod kompileras först till mellanliggande DCU-moduler som sen sammanförs till Windows programfiler. Program som kompilerats på datorer som har haft infekterade versioner av Delphi har därmed infekterats av viruset under kompileringen. I och med att det finns en stor mängd sådana program är det inte så förvånansvärt att Induc gått raka vägen in på listans tionde plats.

En annan nykomling, AdWare-programmet Win32.Boran.z, kom in på plats nummer tre. Programmet är en komponent från Baidu Toolbar för Internet Explorer, som är mycket populär i Kina. Win32.Boran.z använder sig av en mängd olika rootkit-tekniker som förhindrar att användare tar bort verktygsraden.

Trojan.Win32.Swizzor.b och Packed.Win32.Katusha.b ligger på plats 14 och 15 i listan. Dessa två ersätter tidigare versioner av samma program som har dykt upp i tidigare topplistor. I jämförelse med de tidigare versionerna använder båda dessa program sig av mycket avancerade och innovativa metoder för att undgå upptäckt.

Palevo.jaj ligger på sista plats i listan och har tagit över platsen från sin släkting P2P-Worm.Win32.Palevo.ddm som dök upp i maj. Palevo utgör ett allvaligt hot eftersom denna version kan spridas via en rad olika sätt som fildelningsnätverk, genom att infektera flyttbar media och genom snabbmeddelanden (IM). Palevo har en bakdörr som ger virusspridaren möjligheten att kontrollera infekterade datorer.
I övrigt har det inte skett några stora förändringar i augustis första topplista, till skillnad från månadens andra topplista. Mer än hälften av den skadliga kod som finns i andra listan är nya exempel på cyberkriminell kreativitet.

Topplista nummer två visar hoten på internet och presenterar de skadliga program som har infekterat datorer via webbsidor och nedladdningar från nätet.

1 AdWare.Win32.Boran.z
2 Trojan-Downloader.HTML.IFrame.sz
3 Trojan.JS.Redirector.l
4 Trojan-Downloader.JS.Gumblar.a
5 Trojan-Clicker.HTML.Agent.w
6 Exploit.JS.DirektShow.k
7 Trojan GameThief.Win32.Magania.biht
8 Trojan-Downloader.JS.LuckySploit.q
9 Trojan-Clicker.HTML.IFrame.kr
10 Trojan-Downloader.JS.Major.c
11 Exploit.JS.Sheat.c
12 Trojan-Downloader.JS.FraudLoad.d
13 Trojan-Clicker.HTML.IFrame.mq
14 Trojan.JS.Agent.aat
15 Exploit.JS.DirektShow.j
16 Trojan-Downloader.JS.IstBar.bh
17 Trojan-Downloader.JS.Iframe.bmu
18 Exploit.JS.DirektShow.l
19 Exploit.JS.DirektShow.q
20 Trojan Downloader.Win32.Agent.ckwd

I samband med topplistan i juli rapporterades en sårbarhet i Internet Explorer (läs mer: http://www.kaspersky.com/news?id=207575877 och http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx). Scriptet som utnyttjar denna sårbarhet identifieras av Kaspersky Labs produkter som JS.DirektShow. I augustilistan finns fyra versioner av detta script, vilket är ett tecken på att det fortfarande är populärt att utnyttja denna sårbarhet. Det verkar som att internetbrottslingar antar att många användare ännu inte har installerat patchen, och därför fortsätter de att försöka attackera system via detta kryphål.

En annan sårbarhet utnyttjades också aktivt av internetbrottslingar i augusti - denna gång är det Microsoft Office som är sårbart (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx). En variant av hur man kan utnyttja denna sårbarhet, JS.Sheat, har hamnat på listans elfte plats.

Falska eller så kallade "rouge" antivirusapplikationer sprids från en mängd webbsidor. Ett av de script som gör detta har hamnat på plats 12 i denna lista. Kaspersky Antivirus identifierar scriptet som Trojan-Downloader.JS.FraudLoad.d. Om användare går in på en webbsida som är infekterad med detta script meddelas de att deras dator är infekterad av en mängd skadliga program och att dessa program kan elimineras. Om användaren sen godkänner detta laddas ett rouge antivirus (klassificerat som FraudTool) ned på deras dator.

Trojanen Redirector.l fungerar genom att peka om användares sökningar till specifika servrar för att utöka träffarna på dessa servrar. Trojan-Downloader-programmet Iframe.bmu är ett typiskt exempel på skadlig kod som innehåller en rad olika sätt att utnyttja sårbarheter. I detta fall är det sårbarheter i Adobeprodukter.

Rogue antivirusapplikationer och så kallade iframe-clickers sprids också snabbt. Det är osannolikt att situationen kommer att förändras nämnvärt till nästa månad eftersom internetbrottslingar har testat sig genom dessa metoder och kommit fram till att de är framgångsrika och effektiva.

För mer information vänligen kontakta:
Ronald Binnerstedt, teknikchef
Kaspersky Lab AB
Mobil: 070-323 19 94
E-post: ronald.binnerstedt@kaspersky.se

Om Kaspersky Lab
Kaspersky Lab är en ledande leverantör av världens mest omedelbara skydd mot IT-hot som antivirus, spionprogram, crime-ware, hackare, phishing och spam. Kaspersky Lab erbjuder överlägsen upptäcktstakt och har branschens snabbaste reaktionstid vid utbrott av IT-virus för hemmaanvändare, företag och organisationer av alla storlekar samt den mobila IT-miljön. Kaspersky-teknologin används i IT-säkerhetslösningar av IT-säkerhetsleverantörer över hela världen. Läs mer på www.kaspersky.se. För de senaste nyheterna om antivirus, anti-spionprogram, anti-spam och andra IT-säkerhetsfrågor och -trender, besök www.viruslist.com.