Kaspersky Labs topplista för internethot i juni 2009

Som föregående månader så har dessa topplistor sammanställts ur information från Kaspersky Security Network. Bland annat återfinns en trojan som manipulerar Googles sökresultat på ena listan. Kaspersky har ändrat något på metoderna för rapportera de månatliga listorna, men trots detta toppar masken Conficker/Kido/Downup fortfarande listan över antal infekterade datorer.

Den nya delen i denna månadsrapport syns på bilden ovan. Tabellen visar vilka länder som har de flesta försöken att infektera datorer via internet.

Den första topplistan visar skadliga program som upptäckts och neutraliserats då de upptäckts för första gången (som vid användning av en realtids scanner online). Genom användning av realtids-statistik på användares datorer så blir det möjligt att analysera även de allra senaste och farligaste skadliga programmen men som blockerades då de startades på användares datorer, eller då de laddades ner från internet.

Position/Namn/Antal infekterade datorer
1 Net-Worm.Win32.Kido.ih 58200
2 Virus.Win32.Sality.aa 28758
3 Trojan-Dropper.Win32.Flystud.ko 13064
4 Trojan-Downloader.Win32.VB.eql 12395
5 Worm.Win32.AutoRun.dui 8934
6 Trojan.Win32.Autoit.ci 8662
7 Virus.Win32.Virut.ce 6197
8 Worm.Win32.Mabezat.b 5967
9 Net-Worm.Win32.Kido.jq 5934
10 Virus.Win32.Sality.z 5750
11 Trojan-Downloader.JS.LuckySploit.q 4624
12 Virus.Win32.Alman.b 4394
13 Packed.Win32.Black.a 4317
14 Net-Worm.Win32.Kido.ix 4284
15 Worm.Win32.AutoIt.i 4189
16 Trojan-Downloader.WMA.GetCodec.u 4064
17 Packed.Win32.Klone.bj 3882
18 Email-Worm.Win32.Brontok.q 3794
19 Worm.Win32.AutoRun.rxx 3677
20 not-a-virus:AdWare.Win32.Shopper.v 3430

Trots att Kaspersky har ändrat på sättet genom vilket hot analyseras så har detta inte påverkat de elakaste virusen i denna topplista.

Net-Worm.Win32.Kido.ih (Conficker/Downup) står fortfarande kvar på listans förstaplats. Två andra varianter av denna mask, Kido.jq och Kido.ix, har också dykt upp i listan. Denna mängd av Kidomaskar beror på att denna familj av skadlig kod kan spridas på ett antal olika sätt, inklusive via flyttbar media som sen kopplas in i oskyddade datorer.

Två maskar från AutoRun-familjen, AutoRun.dui och AutoRun.rxx, nådde även de rankingen genom att använda liknande metoder.

På tjugonde plats finns ett adware-program, Shopper.v. Detta är ett av de vanligaste programmen av denna typ (företaget som utvecklade programmet, Zango, före detta Hotbar, lades ner för några månader sedan). Applikationen installerar olika verktygsfält till webbläsaren och e-postprogrammet och använder dessa för att visa reklam. Dessa verktygsfält kan vara mycket svåra att avinstallera.

Topplista nummer två innehåller data genererat från webbaserade antivirus-komponenter. Dessa siffror reflekterar därmed alla hot inom internet. Denna topplista inkluderar skadliga program upptäckta på webbplatser. Med andra ord, besvarar den andra topplistan två frågor: Vilken skadlig kod infekterar oftast webbsidor samt vilket skadligt program är mest nedladdat - med eller utan användarens vetskap - från infekterade webbsidor.

Position/Namn/Antal infekterade webbsidor
1 Trojan-Downloader.JS.Gumblar.a 27103
2 Trojan-Downloader.JS.Iframe.ayt 14563
3 Trojan-Downloader.JS.LuckySploit.q 6975
4 Trojan-Clicker.HTML.IFrame.kr 5535
5 Trojan-Downloader.HTML.IFrame.sz 4521
6 Trojan-Downloader.JS.Major.c 4326
7 Trojan-Downloader.Win32.Agent.cdam 3939
8 Trojan-Clicker.HTML.IFrame.mq 3922
9 Trojan.JS.Agent.aat 3318
10 Trojan.Win32.RaMag.a 3302
11 Trojan-Clicker.SWF.Small.b 2894
12 Packed.JS.Agent.ab 2648
13 Trojan-Downloader.JS.Agent.czm 2501
14 Exploit.JS.Pdfka.gu 2441
15 Trojan-Clicker.JS.Agent.fp 2332
16 Trojan-Dropper.Win32.Agent.aiuf 2002
17 Exploit.JS.Pdfka.lr 1995
18 not-a-virus:AdWare.Win32.Shopper.l 1945
19 not-a-virus:AdWare.Win32.Shopper.v 1870
20 Exploit.SWF.Agent.az 1747

Förstaplatsen är rättvist tilldelad Gumblar.a, en trojan, vilket utgör ett bra exempel på hur skadliga program används genom nedladdning via så kallade drive-by downloads - kod som automatiskt installeras när en användare besöker en webbsida.

Gumblar.a är ett litet krypterat script som styr användaren till en skadlig webbsida. En rad skadliga objekt laddas sedan ner till användaren dator. När dessa sedan är installerade påverkar filerna användares webbtrafik genom att modifiera Googles sökresultat. Den söker även igenom datorn efter lösenord till FTP-servrar för att infektera dessa.

Resultatet blir därmed ett botnet av infekterade servrar som kan användas av kriminella för att ladda ner alla former av skadliga program till användarnas datorer. Antalet infekterade servrar är enormt, och utöver detta sprids viruset fortfarande till oskyddade datorer.

Ett annat anmärkningsvärt exempel av virus som återfinns via olika webbplatser är en trojan kallad LuckySploit.q, vilket finns på tredjeplats i denna andra topplista, men finns även representerad i den första listan.

Detta är ett manipulerande script vilket först förstör webbläsarens konfiguration på användarens dator. Sedan krypterar programmet data genom att använda en offentlig RSA-nyckel och sänder användaren till en skadlig webbsida. Sedan packas data upp på servern genom att använda den privata RSA-nyckeln, och några script skickas sedan tillbaka till användaren. Skripten utnyttjar sårbarheter i offrens datorer och laddar ner fler skadliga program till den. Utöver detta hindrar det här flerstegsprogrammet seriösa hinder för analys av originalskriptet som förstör webbläsarens information. Om man inte hittar servern som packar upp data är det i princip omöjligt att förutsäga vart de andra scripten kommer sändas.

Ett antal andra skadliga program blottlägger svagheter i produkter från populära tillverkare. Närvaron av sådana program, likt Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr och Exploit.SWF.Agent.az, på topplistan bevisar både populariteten och svagheterna hos Adobes Flash Player och Adobe Reader. Svagheterna i Microsoft-produkter syns också tydligt på topplistan. Trojanen Downloader.JS.Major.c utnyttjar samtidigt flera olika svagheter i olika Windows och Microsoft Office-komponenter.

En klar trend är att internetbrottslingar använder flera olika sofistikerade drive-by downloads för att installera virus på offrens datorer. Utöver detta blir internetbrottslingar alltmer webborienterade. Detta gör det mycket viktigt för användare att uppdatera sina operativsystem och program regelbundet samt se till så att sitt antivirusprogram är uppdaterat.

För mer information vänligen kontakta:
Ronald Binnerstedt, Kaspersky Lab AB
E-post: ronald.binnerstedt@kaspersky.se

Om Kaspersky Lab
Kaspersky Lab är en ledande leverantör av världens mest omedelbara skydd mot IT-hot som antivirus, spionprogram, crime-ware, hackare, phishing och spam. Kaspersky Lab erbjuder överlägsen upptäcktstakt och har branschens snabbaste reaktionstid vid utbrott av IT-virus för hemmaanvändare, företag och organisationer av alla storlekar samt den mobila IT-miljön. Kaspersky-teknologin används i IT-säkerhetslösningar av IT-säkerhetsleverantörer över hela världen. Läs mer på www.kaspersky.se. För de senaste nyheterna om antivirus, anti-spionprogram, anti-spam och andra IT-säkerhetsfrågor och -trender, besök www.viruslist.com.