Kaspersky Lab prezentuje listę "On-line Scanner Top 20" opartą na analizie danych zgromadzonych przez ekspertów z laboratorium antywirusowego przy użyciu skanera on-line w kwietniu 2006 roku. Ranking ten daje prawdziwy obraz zagrożeń znajdujących się w komputerach użytkowników w danym momencie, podczas gdy lista najpopularniejszych wirusów, oparta wyłącznie na danych z ruchu pocztowego, informuje o zagrożeniach, które zostały zablokowane zanim dotarły do użytkowników.

Kwietniowe zestawienie dobitnie ukazuje, że programy szpiegowskie Trojan-Spy oraz spyware stały się dominującym typem zagrożeń w komputerach użytkowników.

Częste zmiany na pierwszym miejscu są typowe dla rankingów opartych na danych ze skanerów online. W Sieci krąży olbrzymia ilość wirusów i większość z nich posiada bardzo krótki cykl życia. W rezultacie zestawienie On-line Scanner Top 20 jest bardzo dynamiczne i nie ma w nim miejsca na długoterminowych liderów, jak w przypadku listy najpopularniejszych wirusów. Wystarczy zauważyć, że wynik kwietniowego lidera - Trojan-Downloader.Win32.Delf.alf - jest zaledwie o 3% wyższy od rezultatu backdoora Backdoor.Win32.Rbot.gen, który zajmuje ostatnie miejsce.

Trojan LdPinch stanowi poważne zagrożenie już drugi miesiąc z rzędu. Śledzimy ewolucję tej rodziny już od kilku lat: pierwsze wersje były prymitywnymi złodziejami haseł, natomiast najnowsze są wielofunkcyjnymi i skomplikowanymi botami. Duża liczba wersji tego szkodnika wynika z tego, że jego twórca zorganizował nielegalny interes polegający na tworzeniu i sprzedawaniu nowych odmian każdemu, kto zapłaci. Całe tłumy potencjalnych cyberprzestępców, którzy nie wiedzą nic o programowaniu, bardzo szybko dostrzegły szansę posiadania trojana stworzonego specjalnie dla nich. Drugie miejsce trojana LdPinch jest bezpośrednio powiązane z tym, że pierwszą lokatę zajmuje Trojan-Downloader.Win32.Delf.alf. Delf.alf został rozesłany w wiadomościach e-mail przy użyciu technik spamowych. Zaraz po zainstalowaniu się na atakowanym komputerze Delf.alf pobiera z Internetu trojana LdPinch.akv. Warto zauważyć, że downloadery są obecnie najszerzej rozprzestrzenionym zagrożeniem - w pierwszej piątce kwietniowego zestawienia znalazły się aż trzy szkodniki z tej kategorii. Po dostaniu się do atakowanego komputera downloadery najczęściej zajmują się pobieraniem oprogramowania adware.

Banker.ark oraz Banker.anv, dwa trojany szpiegowskie wykorzystywane do kradzieży informacji związanych z bankowością online, znajdują się na trzecim i szóstym miejscu. Trojany te znajdowały się we wszystkich dotychczasowych zestawieniach On-line Scanner Top 20 ze względu na to, że są pobierane przez szeroko rozprzestrzenione programy typu Trojan-Downloader.

Jeszcze bardziej interesująca jest obecność w zestawieniu dwóch klasycznych wirusów - Hidrag.a oraz Redlof.a. Szkodniki te nie są nowe, ani też szczególnie popularne. Po raz kolejny mamy jednak dowód na to, że klasyczne wirusy ciągle krążą w Sieci i stanowią realne zagrożenie. Pomimo tego, że klasyczne wirusy rozprzestrzeniają się znacznie wolniej od robaków, infekują wiele komputerów a ich usunięcie jest często trudne.

VBS.Redlof.a jest klasycznym wirusem napisanym w języku programowania Visual Basic. Poza tradycyjną metodą infekowania plików HTML, wirus ten wykorzystuje bardzo interesującą technikę rozprzestrzeniania się wewnątrz zainfekowanych komputerów. Redlof.a infekuje plik folder.htt, który domyślnie znajduje się w większości folderów systemu Windows. W rezultacie wirus jest aktywowany zawsze, gdy użytkownik otwiera jakikolwiek folder przy użyciu Eksploratora Windows, ponieważ plik folder.htt jest uruchamiany automatycznie przez system operacyjny. Innymi słowy, Redlof aktywuje się automatycznie podczas każdej próby uzyskania dostępu do foldera.

Hidrag.a również jest klasycznym wirusem i infekuje pliki wykonywalne. Dziwnym trafem Hidrag znalazł się na wielu płytach CD zawierających pirackie oprogramowanie, co znacznie pomogło mu w globalnym rozprzestrzenieniu się.

Na koniec warto wspomnieć, że Polip, wirus, który w kwietniu wywołał wiele emocji, nie znalazł się w zestawieniu. Pomijając fakt, że Polip został rozprzestrzeniony w sieciach P2P, okazało się, że trojany takie jak LdPinch i Banker stanowiły w ubiegłym miesiącu znacznie większe zagrożenie. Ponadto, same sieci P2P nie stanowią już jednego z głównych źródeł szkodliwego oprogramowania, ale to jest temat na oddzielny artykuł.

Podsumowanie:

• nowoÅ›ci:
  • Trojan-Downloader.Win32.Delf.alf
  • Trojan-PSW.Win32.LdPinch.akv
  • Trojan-Downloader.Win32.Delf.ake
  • Email-Worm.Win32.Rays
  • Packed.Win32.Tibs
  • Trojan.Win32.Agent.qt
  • Virus.VBS.Redlof.a
  • Trojan-Downloader.Win32.Harnig.bh
  • Trojan-Downloader.Win32.Harnig.bg
  • not-a-virus:Monitor.Win32.Perflogger.ad

• do góry:
  • Trojan-Downloader.Win32.Small.axy
  • Trojan-Downloader.Win32.Agent.xz

• w dół:
  • Trojan-Spy.Win32.Bancos.ha
  • not-a-virus:Porn-Dialer.Win32.PluginAccess.gen
  • not-a-virus:PSWTool.Win32.RAS.a
  • Exploit.HTML.CodeBaseExec

• bez zmian:
  • Trojan-Spy.Win32.Banker.ark
  • Trojan-Spy.Win32.Banker.anv

• powroty:
  • Virus.Win32.Hidrag.a
  • Backdoor.Win32.Rbot.gen