Tag Archives: Win32/Agent

Hotrapport april 2010

Under april månad kunde vi kanske inte helt oväntat konstatera att Conficker fortfarande klassas som det största internationella hotet, med 9,47%. Även INF/Autorun (7,98%) fortsätter härska på den onda sidan, även om det nu är relativt enkelt att inaktivera den felaktiga inställning som gör attacken möjlig. Det har också upptäckts en front av EICAR-testfiler, vilket antyder att någon utför en hel massa tester…

Förutom Win32/Conficker och INF/Autorun ligger Win32/Agent (3,53%) och Win32/PSW.OnLineGames (3,48%) också kvar i toppen.

Överblick topp 10-hoten under april 2010

Den fullständiga hotrapporten för april tar även en titt på ESET-representationen vid årets expo på Earls Court i London, SEO-förgiftning (SEO – Search Engine Optimization) och Apple-säkerhet vid den kommande EICAR-konferensen i Paris.

Win32/Patched sveper över Sverige

Under hela februari månad har vi sett väldigt mycket av Win32/Patched i Sverige – faktiskt hela 28,34% av det totala antalet detektioner. Detta hot kan bero på skadlig kod som patchar vissa systemfiler, men det kan även tyda på annat. Det finns till exempel patchade versioner av samma systemfiler redan med i vissa piratversioner av Windows. Jag citerar mig själv från förra veckans hotrapport:

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt. Även vissa basprogram i Windows, till exempel Anteckningar, Kalkylatorn och Defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

På andraplatsen hittar vi Win32/Agent med 2,39% och därefter Win32/Injector med 1,55%. Medan Win32/Agent hotar identiteten genom att ta fram känslig användarinformation så infogar Win32/Injector skadlig kod i pågående processer.

Fjärde- och femteplatsen över svenska säkerhetshot just nu hålls av Win32/Lethic (1,01%) och Win32/TrojanDownloader.Bredolab (0,87%).

Skadlig kod i Sverige, februari 2010

ESETs hotrapport januari 2010 – Win32/Patched största virushotet

  • Win32/Patched dominerade tydligt
  • Win32/Kryptik halkar ned till andraplatsen

Under januari har Win32/Patched blivit den mest spridda formen av skadlig kod i Sverige, enligt ESET:s statistikplattform ThreatSense.Net. Hela 13,7 procent av alla infekterade system förra månaden var påverkade av just Win32/Patched.

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt, eller håller sig dolda. Även vissa basprogram i Windows, till exempel Anteckningar, kalkylatorn och defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

Decembers största hot, Win32/Kryptik, kröp ned till andra plats under Januari. Kryptik är en etikett som inbegriper en grupp skadliga program, bland annat falska antivirus- och antispionprogram, maskar och trojaner. Gemensamt för dem alla är liknande uppbyggnad och beteendemönster.

Win32/Agent hittar vi på tredje plats, vilket är en grupp program som stjäl känsliga användaruppgifter. Den lägger även till registernycklar för att kunna aktiveras när systemet startas om.

På fjärde plats hittar vi nykomlingen Win32/TrojanClicker.Delf, en trojan som fick ganska stor spridning under januari. Efterhängsna WMA/TrojanDownloader.GetCodec är nu femte vanligaste infektion. Läs mer om den i förra månadens hotrapport.

Skadlig kod i Sverige januari 2010

Skadlig kod i Sverige, januari 2010


Hotrapport: December – skrämselprogram och PDF-attacker

Ett nytt år på bloggen invigs, och vad passar inte bättre än att titta lite tillbaka på det år som gått – i alla fall slutet av det. Statistiken från by ThreatSense.Net®, ESET:s platform för analys av den skadliga kod som är under spridning i världen, visade att Win32/Kryptik dominerade i Sverige under december.

Det är tydligt att falska antivirusprogram är ett problem för tillfället, denna och andra former av scareware, alltså program som mer är ute efter att skrämma användaren till att installera skadlig kod, än att försöka göra det i hemlighet.

JS/Exploit.Pdfka är ett nytillskott på vår hotkarta. Precis som namnet antyder så angriper JS/Exploit.Pdfka sårbarheter i PDF-formatet.

På tredje plats hittar vi Win32/Agent, en virusgrupp som sprider sig i systemet och lägger till nycklar i registret för att startas automatiskt tillsammans med systemet. Därefter stjäl den känslig information från datorn.

Fjärdeplatsen är den månad efter månad återkommande WMA/TrojanDownloader.GetCodec, en trojan som söker igenom datorn efter mediafiler som den sedan konverterar till WMA-formatet. När användaren spelar upp filerna blir han eller hon uppmanad att ladda ned och installera en codec, ett insticksprogram för att hantera bild- och ljudformat, som visar sig innehålla ytterligare skadlig kod.

Det femte vanligaste hotet under december 2009 var INF/Autorun, som också funnits med i topp fem länge.

Virus i Sverige, December 2009

Virus i Sverige, December 2009

Hotrapport: November – WMA/TrojanDownloader.GetCodec herre på täppan

Mediatrojanen WMA/TrojanDownloader.GetCodec (se hotrapporterna från oktober och juni) var den vanligaste detektionen under november, vilket betyder att förra månadens ledare Win32/Kryptik tappade sin tätposition.

Win32/Kryptik, som förra månaden stod för så mycket som 13,55 procent av den totala virusskörden, har nu minskat rejält. Den består av en grupp liknande program, mestadels spiontrojaner och falska antivirusprodukter.

På tredjeplatsen hittar vi nykomlingen Win32/Wigon, som försöker ladda ner skadliga filer från olika adresser på Internet. Win32/Agent var den fjärde vanligaste detektionen i november och beskrevs lite närmare i oktober. INF/Autorun utnyttjar autorun i Windows och var novembers femte vanligaste detektion.

Virus i Sverige, November 2009

Hotrapport: Oktober – Win32/Kryptik höll greppet månaden ut

I hotrapporten för september månad var det Win32/Kryptik som dominerade med omkring åtta procent av detektionerna och under oktober fick denna virusgrupp en alltmer dominerande ställning. Totalt stod den för hela 13,55 procent av det totala antalet detektioner.

Virus i Oktober, 2009

Virus i Oktober, 2009

Win32/Kryptik är, som vi tidigare skrivit inte ett enskilt virus, utan en etikett som betecknar en större grupp av falska antivirusprodukter och spiontrojaner med liknande funktioner.

Näst största hot i oktober med 5,38 procent var Win32/TrojanDownloader.FakeAlert, en trojan som visar falska virusmeddelanden. Ett annat mindre kärt återseende på hotrapporten är tredjeplatsens WMA/TrojanDownloader.GetCodec, en trojan som funnits med i flera månader nu. Den söker upp mediefiler på datorn, konverterar dem till WMA-format och försöker få användaren att ladda ner ännu mer skadlig mjukvara.

På fjärdeplatsen hittar vi Win32/Agent, en grupp av olika sorters skadlig kod som stjäl känslig information från datorn. Femte vanligaste hot i oktober var INF/Autorun.

Hotrapport: September – Win32/Kryptik dominerar i virus-Sverige

En ny virusgrupp har intagit det svenska viruslandskapet. På första plats i ESET:s hotrapport för september ligger Win32/Kryptik, en stor grupp av olika skadliga program som inte fanns med på förra månadens hotrapport. Oftast rör det sig om falska antivirusprogram och spiontrojaner. Så mycket som 7,98 % av all skadlig kod utgjordes av Win32/Kryptik.

Virus, Sverige September 2009

Virus, Sverige September 2009

På andra plats hittar vi Win32/Agent. Den här gruppen av virus kopierar sig själva och lägger till nycklar i registret för att kunna aktiveras vid varje omstart och har till uppgift att stjäla känslig information. Som vi skrev förra månaden är det ett väldigt generellt hot, så det är svårt att tipsa om några särskilda åtgärder för att komma runt dem. Som alltid är det viktigt att använda ett uppdaterat antivirusprogram, tänka efter varje gång du ska klicka på något och stänga av Autorun-funktionen i Windows.

På hotrapportens tredjeplats hittar vi WMA/TrojanDownloader.GetCodec. Den kan du läsa om i hotrapporten för juni.

Rötmånad även på nätet

Ett potentiellt mycket skadligt virus dominerade i Sverige under förra månaden, det visar ESET:s sammanfattande hotrapport för augusti.

Win32/Agent kan vara relativt osynligt i en drabbad dator, men ändå ställa till med stor skada, även rent ekonomisk skada. Att bli av med personlig information drabbar ofta inte bara användaren, utan även vänner och bekanta, om exempelvis ett Facebook-konto kapas.

Win32/Agent innefattar en större familj av skadlig kod som kopierar sig själv in till olika platser i datorn och lägger till nycklar i Windows-registret. Detta gör att denna skadliga kod aktiveras vid varje start av datorn. Därigenom stjäl Win32/Agent känslig information och skickar iväg den till de cyberkriminella. Eftersom det här hotet är så pass generellt är det inte riktigt möjligt att tipsa om några specifika åtgärder som datoranvändare kan göra för att komma runt hotet från den här skadliga koden, men som alltid är det viktigt att använda ett uppdaterat antivirusprogram, tänka efter före man klickar på en länk, samt stänga av Autorun-funktionen i Windows.

Det hot som hamnar som nummer två på listan, WMA/TrojanDownloader.GetCodec, skrev vi lite om i samband med hotrapporten för juni.

De fem största Internethoten i Sverige, augusti 2009

De fem största Internethoten i Sverige, augusti 2009

ESET:s IT-säkerhetsrapport för Sverige: juni 2009

Varje månad följer ESET vilka Internethot som har varit störst och nu är rapporten för juni sammanställd. Det som är nytt för den här månaden är att vi också har en rapport med Sverigespecifika siffror. Hos oss ser topplistan ut så här:

Virus i Sverige, juni 2009

Månadens två största hot fungerar på mycket olika sätt. WMA/TrojanDownloader.GetCodec är en trojan med förmågan att söka upp ljudfiler på datorn och konvertera dem till WMA-formatet utan att ändra filnamn eller filändelse. För att kunna spela upp filen anmodas användaren att ladda ner en kodek, men istället laddas skadlig kod ner till datorn.

WMA/TrojanDownloader.GetCodec kräver alltså en viss form av aktiv inblandning av användaren, medan det andra stora hotet under juni sköter sig helt självt. Win32/Agent är egentligen inte ett enda hot, utan en stor grupp av olika trojaner som skapats för att stjäla information från användarens datorer. När den aktiveras kopierar den sig själv till systemmappen i Windows och kommunicerar därifrån med en fjärransluten server och det är också därifrån den styrs.