Kaspersky Labs topplista för internethot i oktober 2009

Kasperskys lista över internethot i oktober visar bland annat att ett ordentligt försök till massinfektion av legitima sajter har gjorts med trojanen Gumblar. En annan tydlig trend är att allt fler cyberkriminella delar upp skadliga skript för att undvika upptäckt och neutralisering. Kina är det land som har spridit mest skadlig kod, följt av USA och Indien.

Kaspersky Lab har sammanställt en topplista över IT-hoten i oktober månad.

Den första topplistan visar skadliga program som upptäckts och neutraliserats då de upptäckts för första gången (som till exempel vid användning av en onlinescanner).

1 Net-Worm.Win32.Kido.ir                   
2 Net-Worm.Win32.Kido.ih                      
3 not-a-virus:AdWare.Win32.Boran.z           
4 Virus.Win32.Sality.aa                         
5 Worm.Win32.FlyStudio.cu                     
6 Trojan-Downloader.Win32.VB.eql           
7 Virus.Win32.Induc.a
8 Packed.Win32.Black.d                            
9 Worm.Win32.AutoRun.awkp                 
10 Virus.Win32.Virut.ce                           
11 Packed.Win32.Black.a
12 Worm.Win32.AutoRun.dui                       
13 Trojan-Dropper.Win32.Flystud.yo           
14 Trojan-Dropper.Win32.Agent.bcyx         
15 Packed.Win32.Klone.bj
16 Trojan.Win32.Swizzor.b
17 Trojan-Downloader.WMA.GetCodec.s     
18 Worm.Win32.Mabezat.b
19 Trojan-GameThief.Win32.Magania.cbrt  
20 Trojan-Dropper.Win32.Agent.ayqa Ny

Masken Win32.Kido.ir (alias Conficker/ Downup), som dök upp för första gången under föregående månad har ersatt den tidigare ledaren Kido.ih. Detta visar på att det blivit allt vanligare att skadlig kod sprids via flyttbar media.

Autorun.dui, som ofta finns med på listorna har fått sällskap av ett liknande program, Autorun.awkp, som kommit in på listans nionde plats. Dessa skadliga program sprider skadlig kod automatiskt via flyttbar media.

Packed.Win32.Black.a, Packed.Win32.Klone.bj och Trojan.Win32.Swizzor.b har återvänt till denna månads topplista. Black.a har dessutom fått sällskap av en ny version - Black.d. Familjen Packed.Win32.Black inkluderar program som har packats med olicensierade versioner av legitima hjälpprogram, som används för att skydda programfiler. I detta specifika fall gäller det programmet ASProtect, som ofta används av cyberkriminella.

En annan nykomling är GetCodec.s, som är ett multimedia Trojan-downloader-program. Denna trojan hör ihop med GetCodec.r, som vi skrev om i december förra året (http://www.viruslist.com/en/analysis?pubid=204792047), och som sprids med hjälp av P2P-Worm.Win32.Nugg. Föregående variant spreds på samma sätt.

Denna månad har många nya aktiviteter strömmat till från den en gång ökända familjen Magania. I juli i år var Trojan-GameThief.Win32.Magania.biht bland de 20 mest vanliga skadliga programmen på internet. I oktober dök den nya versionen Magania.cbrt upp i listan över de oftast upptäckta skadliga programmen på användares datorer, tillsammans med Trojan-Dropper.Win32.Agent.ayqa som är länkad till Magania.

En summering av den första listan är att skadliga program som sprids via flyttbar media dominerar även denna månad, samt att aktiviteten av gaming-trojaner har ökat påtagligt.

Den andra topplistan visar hoten på internet och presenterar de skadliga program som har infekterat datorer via webbsidor och nedladdningar från nätet.

1 Trojan-Downloader.JS.Gumblar.x               
2 Trojan-Downloader.JS.Gumblar.w         
3 Trojan-Downloader.HTML.IFrame.sz
4 not-a-virus:AdWare.Win32.Boran.z  
5 Trojan.JS.Redirector.l                       
6 Trojan-Clicker.HTML.Agent.aq         
7 Trojan-Downloader.JS.Zapchast.m     
8 Trojan.JS.Agent.aat
9 Trojan-Downloader.JS.Small.oj           
10 Exploit.JS.Agent.apw                         
11 Exploit.JS.Pdfka.ti                          
12 Trojan.JS.Popupper.f                             
13 Trojan-Downloader.JS.IstBar.bh            
14 Trojan.JS.Zapchast.an                          
15 Trojan-Downloader.JS.LuckySploit.q        
16 Trojan-Downloader.JS.Agent.env           
17 Trojan-Dropper.Win32.Agent.ayqa    
18 Trojan-Clicker.HTML.IFrame.mq
19 Trojan-GameThief.Win32.Magania.bwsr 
20 Exploit.JS.Agent.anr                               

Trojanen Gumbla
På listans första och andra plats ligger två nya versioner av trojanen Gumbla. Detta program skapade stor oreda i slutet på maj och toppade sedan listan i juni.

De nya versionerna av Gumblar använder sig av klart mer avancerade tekniker till att sprida skadlig kod till sajter än sina föregångare. Tidigare har legitima webbsidor fått skadlig kod inplanterad som gör att ett skript som finns på en cyberkriminell sajt har körts automatiskt, utan att användaren vetat om detta. Nu innehåller däremot infekterade sajter länkar till skript som ligger på andra legitima men infekterade sajter. Detta gör analysen svårare och det blir också svårare att neutralisera ett sådant nätverk av skadlig kod. Skriptet i sig är utformat för att utnyttja ett antal svagheter i följande program:

- Adobe Acrobat/Reader: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659,
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992 och
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927
- Adobe Flash Player: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071
- Microsoft Office: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496. Genom dessa svagheter laddar man ner det huvudsakliga skadliga programmet - Trojan-PSW.Win32.Kates.j.

Några versioner av skriptet ovan innehåller trojanen inom sig; när skriptet körs försöker det att ladda ner Kates.j till den utsatta datorn och se till att det körs automatiskt. Den skadliga koden är utformad för att stjäla konfidentiell information, inklusive inloggningsuppgifter till andra sajter som sedan kan användas för att infektera ytterligare sajter.

Attacken via Gumblar planerades metodiskt av de cyberkriminella. Trots detta gick det att det genom noggrant arbete samla ihop alla små pusselbitar och uppdatera alla antivirusdatabaser med ett skydd för all den skadlig kod som ingår i detta nätverk.

Metoden att dela upp ett skadligt skript i flera delar för att undvika upptäckt och analys har blivit allt mer populärt. Cirka en fjärdedel av alla program i denna månads topplista har utformats på detta sätt: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an och Trojan-Downloader.JS.Agent.env.

För mer information vänligen kontakta:
Ronald Binnerstedt, teknikchef
Kaspersky Lab AB
Mobil: 070-323 19 94
E-post: ronald.binnerstedt@kaspersky.se

Om Kaspersky Lab
Kaspersky Lab är en ledande leverantör av världens mest omedelbara skydd mot IT-hot som antivirus, spionprogram, crime-ware, hackare, phishing och spam. Kaspersky Lab erbjuder överlägsen upptäcktstakt och har branschens snabbaste reaktionstid vid utbrott av IT-virus för hemmaanvändare, företag och organisationer av alla storlekar samt den mobila IT-miljön. Kaspersky-teknologin används i IT-säkerhetslösningar av IT-säkerhetsleverantörer över hela världen. Läs mer på www.kaspersky.se. För de senaste nyheterna om antivirus, anti-spionprogram, anti-spam och andra IT-säkerhetsfrågor och -trender, besök www.viruslist.com.