Tag Archives: trojan

Hotrapport: Oktober – Win32/Kryptik höll greppet månaden ut

I hotrapporten för september månad var det Win32/Kryptik som dominerade med omkring åtta procent av detektionerna och under oktober fick denna virusgrupp en alltmer dominerande ställning. Totalt stod den för hela 13,55 procent av det totala antalet detektioner.

Virus i Oktober, 2009

Virus i Oktober, 2009

Win32/Kryptik är, som vi tidigare skrivit inte ett enskilt virus, utan en etikett som betecknar en större grupp av falska antivirusprodukter och spiontrojaner med liknande funktioner.

Näst största hot i oktober med 5,38 procent var Win32/TrojanDownloader.FakeAlert, en trojan som visar falska virusmeddelanden. Ett annat mindre kärt återseende på hotrapporten är tredjeplatsens WMA/TrojanDownloader.GetCodec, en trojan som funnits med i flera månader nu. Den söker upp mediefiler på datorn, konverterar dem till WMA-format och försöker få användaren att ladda ner ännu mer skadlig mjukvara.

På fjärdeplatsen hittar vi Win32/Agent, en grupp av olika sorters skadlig kod som stjäl känslig information från datorn. Femte vanligaste hot i oktober var INF/Autorun.

Clampi tömmer bankkonton i USA och Storbritannien

USA och Storbritannien drabbas av en hyfsat ny trojan som kallas för Clampi. Med hjälp av Clampi får cyberkriminella tillgång till känslig information på drabbade datorer. Brottslingarna är särskilt intresserade av att komma åt lösenord till bankkonton. Än så länge har inga fall rapporterats i Sverige. USA har däremot blivit hårdare drabbat, bland annat har tre skolor i Chicago blivit av med runt 3 miljoner kronor på grund av deras datorer smittas med Clampiviruset.

Att Clampi, eller liknande trojaner som loggar tangenttryckningar, ska slå till på samma sätt i Sverige är osannolikt. De svenska bankerna använder betydligt säkrare inloggningsmetoder. För att kunna göra överföringar till andra konton krävs alltid någon extra form av autentisering, som till exempel koddosor, skrapkoder eller säkerhetscertifikat. Jag förstår dock inte varför Swedbanks E-kort fortfarande bara behöver en kod för att skapa kortnummer. De borde implementera deras koddosa även där.

Tar Bredolab över efter Conficker?

Under juni har trojanen Win32/TrojanDownloader.Bredolab.AA seglat upp i täten bland de fem största virushoten i flera europeiska länder. Här i Sverige hittar vi den på topp 10-listan. Den här trojanen är ny bland de internationella hoten och ser ut att kunna bli ett stort problem på vissa håll – i Österrike och på Irland har antalet detektioner av Bredolab ökat med flera hundra procent den senaste månaden.

Bredolab angriper säkerhetsluckor i programvaror från Adobe med hjälp av filer i PDF- och SWF-format, genom att användaren öppnar en infekterad fil.

Den här typen av skadlig kod kopierar sig själv till datorns systemfiler och startas automatiskt när du sätter på datorn. Den etablerar kontakt med en fjärrserver och har sedan som enda mål att ladda ned annan skadlig kod till datorn. Kod som i sin tur stjäl information, laddar ner annonser eller ställer till med andra förtretligheter.

Vad som sker med den här trojanen under resten av sommaren återstår att se, men som vanligt gäller försiktighet. Tänk på vad du laddar ner och vilka filer du väljer att öppna.

ESET:s IT-säkerhetsrapport för Sverige: juni 2009

Varje månad följer ESET vilka Internethot som har varit störst och nu är rapporten för juni sammanställd. Det som är nytt för den här månaden är att vi också har en rapport med Sverigespecifika siffror. Hos oss ser topplistan ut så här:

Virus i Sverige, juni 2009

Månadens två största hot fungerar på mycket olika sätt. WMA/TrojanDownloader.GetCodec är en trojan med förmågan att söka upp ljudfiler på datorn och konvertera dem till WMA-formatet utan att ändra filnamn eller filändelse. För att kunna spela upp filen anmodas användaren att ladda ner en kodek, men istället laddas skadlig kod ner till datorn.

WMA/TrojanDownloader.GetCodec kräver alltså en viss form av aktiv inblandning av användaren, medan det andra stora hotet under juni sköter sig helt självt. Win32/Agent är egentligen inte ett enda hot, utan en stor grupp av olika trojaner som skapats för att stjäla information från användarens datorer. När den aktiveras kopierar den sig själv till systemmappen i Windows och kommunicerar därifrån med en fjärransluten server och det är också därifrån den styrs.