Analiza ESET ThreatSense.Net, un sistem de depistare si raportare a continutului malware a intocmit un nou raport lunar asupra amenintarilor globale de malware.

Noua lista arata ca familia malware, Win32/Conficker stabileste, iar, cel mai mare numar de detectii in luna august 2009, detinand peste 8,56% din totalul acestora.

1. Win32/Conficker, ramane tot pe prima pozitie cu un procentaj de detectie de 8,56%. Win32/Conficker este un vierme de retea care s-a propagat initial prin exploatarea unei vulnerabilitati recente a sistemului de operare Windows.

Aceasta vulnerabilitate este prezenta in sub-sistemul RPC si poate fi exploatata de la distanta de catre un atacator, fara a avea nevoie de date de autentificare valide. In functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate si prin medii amovibile, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows.

Cei de la Microsoft au anuntat ca functionalitatea Autorun va fi dezactivata in versiunea 7. Win32/Conficker incarca un DLL prin intermediul procesului svchost. Aceasta amenintare contacteaza servere web cu nume de domenii prestabilite pentru a descarca si alte componente malware.

2. Win32/PSW.OnLineGames s-a aflat in luna iulie pe locul trei si are un procent de detectie de 8,28%. Programul a fost conceput in special pentru atacurile phishing indreptate in directia gamerilor.

Aceasta familie de Troieni are capabilitati de keylogging si uneori de rootkit, colectand informatii despre jocurile online instalate si date de autentificare folosite. De obicei, datele sunt transmise catre PC-ul atacatorului.

3. INF/Autorun este un alt program malware care cade o pozitie si are un procentaj de detectie de 7,80%. Aceasta denumire este folosita pentru a descrie o varietate de malware care foloseste fisierul autorun.inf pentru a compromite un PC.

Acest fisier contine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare).

Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dintr-o anumita familie malware.

4. Win32/Agent are un procent de detectie de 3,57%. Aceasta detectie de cod este periculoasa, fiind generica, deoarece acopera o familie mai mare de malware care poate fura informatii de pe calculatoarele infectate.
 
Pentru a-si atinge scopul, malware-ul se auto-copiaza de obicei intr-o locatie temporara si adauga chei in registri pentru a face referire la acele fisiere, sau la altele similare create aleator in diferite directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului.  

5. INF/Conficker, ramane pe locul 5, programul are o rata de detectie de 1,76%. INF/Conficker are legatura cu detectia INF/Autorun si se aplica unei versiuni a fisierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker.

6. Win32/Pacex.Gen are un procent de detectie de 1,66%. Eticheta Pacex.gen desemneaza o gama larga de aplicatii care folosesc un nivel specific de disimulare. Sufixul .Gen inseamna "generic": adica, aceasta eticheta acopera un numar mare de variante cunoscute si poate de asemenea detecta variante necunoscute care prezinta caracteristici similare.

7. Win32/TrojanDownloader.Swizzor este un nou intrat in clasament cu un procent de detectie de 1,39%. Familia malware Win32/TrojanDownloader.Swizzor este folosita in mod normal pentru a descarca si instala alte componente daunatoare pe un sistem infectat.

Malware-ul Swizzor a fost observat incercand sa instaleze multiple componente virale pe gazdele infectate. Unele variatii ale familiei Swizzor nu se executa pe sisteme ce folosesc limba Rusa.

8. Win32/Qhost urca o pozitie in topul amenintarilor globale si are un procent de detectie de 0,93%. Aceasta amenintare se auto-copiaza in directorul "%system32%" din Windows inainte de a fi lansat.

Ulterior, aceasta comunica peste DNS cu serverul sau de comanda si control. Win32/Qhost se poate raspandi prin e-mail si obtine controlul computerului afectat. Acest grup de troieni modifica fisierele gazdei pentru a redirectiona traficul spre domenii specifice.

9. Win32/TrojanDownloader.Bredolab sare de pe locul 21 pe 9 si are un procent de detectie de 0,81%. Acesta reprezinta o clasa de aplicatii care a fost construita pentru a fi intermediarul procesului de infectare.

Acest malware se infiltreaza iîn procese active si incearca sa dezactiveze procese de securitate. Se auto-copiaza in folderul de sistem ca wbem\grpconv.exe, si creaza o intrare in registri care asigura pornirea sa la fiecare pornire de sistem. Comunica cu serverul sau de comanda si control (C&C) prin HTTP.

10. WMA/TrojanDownloader.GetCodec are un procent de detectie de doar 0,78%. Win32/GetCodec.A este un tip de malware ce modifica fisierele media.

Acest Troian converteste toate fisierele gasite intr-un computer in fisiere WMA si adauga un camp in header, care contine un link spre un codec ce pretinde ca trebuie descarcat pentru ca fisierele respective sa poata sa fie rulate.

WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care faciliteaza infectiile cu variante GetCodec, precum Win32/GetCodec.A.