Tag Archives: WMA/TrojanDownloader.GetCodec

ESETs hotrapport januari 2010 – Win32/Patched största virushotet

  • Win32/Patched dominerade tydligt
  • Win32/Kryptik halkar ned till andraplatsen

Under januari har Win32/Patched blivit den mest spridda formen av skadlig kod i Sverige, enligt ESET:s statistikplattform ThreatSense.Net. Hela 13,7 procent av alla infekterade system förra månaden var påverkade av just Win32/Patched.

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt, eller håller sig dolda. Även vissa basprogram i Windows, till exempel Anteckningar, kalkylatorn och defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

Decembers största hot, Win32/Kryptik, kröp ned till andra plats under Januari. Kryptik är en etikett som inbegriper en grupp skadliga program, bland annat falska antivirus- och antispionprogram, maskar och trojaner. Gemensamt för dem alla är liknande uppbyggnad och beteendemönster.

Win32/Agent hittar vi på tredje plats, vilket är en grupp program som stjäl känsliga användaruppgifter. Den lägger även till registernycklar för att kunna aktiveras när systemet startas om.

På fjärde plats hittar vi nykomlingen Win32/TrojanClicker.Delf, en trojan som fick ganska stor spridning under januari. Efterhängsna WMA/TrojanDownloader.GetCodec är nu femte vanligaste infektion. Läs mer om den i förra månadens hotrapport.

Skadlig kod i Sverige januari 2010

Skadlig kod i Sverige, januari 2010


Hotrapport: December – skrämselprogram och PDF-attacker

Ett nytt år på bloggen invigs, och vad passar inte bättre än att titta lite tillbaka på det år som gått – i alla fall slutet av det. Statistiken från by ThreatSense.Net®, ESET:s platform för analys av den skadliga kod som är under spridning i världen, visade att Win32/Kryptik dominerade i Sverige under december.

Det är tydligt att falska antivirusprogram är ett problem för tillfället, denna och andra former av scareware, alltså program som mer är ute efter att skrämma användaren till att installera skadlig kod, än att försöka göra det i hemlighet.

JS/Exploit.Pdfka är ett nytillskott på vår hotkarta. Precis som namnet antyder så angriper JS/Exploit.Pdfka sårbarheter i PDF-formatet.

På tredje plats hittar vi Win32/Agent, en virusgrupp som sprider sig i systemet och lägger till nycklar i registret för att startas automatiskt tillsammans med systemet. Därefter stjäl den känslig information från datorn.

Fjärdeplatsen är den månad efter månad återkommande WMA/TrojanDownloader.GetCodec, en trojan som söker igenom datorn efter mediafiler som den sedan konverterar till WMA-formatet. När användaren spelar upp filerna blir han eller hon uppmanad att ladda ned och installera en codec, ett insticksprogram för att hantera bild- och ljudformat, som visar sig innehålla ytterligare skadlig kod.

Det femte vanligaste hotet under december 2009 var INF/Autorun, som också funnits med i topp fem länge.

Virus i Sverige, December 2009

Virus i Sverige, December 2009

Hotrapport: November – WMA/TrojanDownloader.GetCodec herre på täppan

Mediatrojanen WMA/TrojanDownloader.GetCodec (se hotrapporterna från oktober och juni) var den vanligaste detektionen under november, vilket betyder att förra månadens ledare Win32/Kryptik tappade sin tätposition.

Win32/Kryptik, som förra månaden stod för så mycket som 13,55 procent av den totala virusskörden, har nu minskat rejält. Den består av en grupp liknande program, mestadels spiontrojaner och falska antivirusprodukter.

På tredjeplatsen hittar vi nykomlingen Win32/Wigon, som försöker ladda ner skadliga filer från olika adresser på Internet. Win32/Agent var den fjärde vanligaste detektionen i november och beskrevs lite närmare i oktober. INF/Autorun utnyttjar autorun i Windows och var novembers femte vanligaste detektion.

Virus i Sverige, November 2009

Kriminellas affärsstrategi skapar massiva infektioner

ESET:s forskningsteam har de senaste månaderna analyserat data från vår gratis virusskanner. Vem som helst kan använda verktyget utan att göra en installation så siffrorna härifrån blir extra intressanta genom att de som gör ett onlinetest inte nödvändigtvis använder sig av någon av våra produkter och det är inte heller säkert att de använder sig av något antivirusprogram över huvud taget. De tre senaste månaderna har mer än en halv miljon datorer skannats med skannern. Två väldigt intressanta resultat kom fram i analysen:

  1. På en infekterad dator upptäckte vi att systemet innehöll inte mindre än tretton olika filer som var infekterade med skadlig kod. Det här visar tydligt att en infektion inte innebär att skadlig kod installeras på datorn i en ensam fil, utan att många filer smittas. Datorn är helt enkelt inte bara smittad, den är verkligen infekterad. Ett exempel på den här typen av skadlig kod är WMA/TrojanDownloader.GetCodec som infekterar multimediafiler. Om du kör en sådan fil och har 500 låtar på din dator innebär det att du sedan har 500 infekterade filer på din PC.
  2. På datorer som är infekterade hittade vi dessutom i genomsnitt tre olika familjer av skadlig kod. Det här illustrerar en väldigt aktuell trend inom den kriminella ”virusbranschen”. Mycket skadlig kod har ingen mekanism för att sprida sig, istället betalar upphovsmännen kriminella gäng som samlar ihop ett antal olika typer av skadlig kod, placerar dem i samma viruskärl och när kärlet är installerat på datorn sprider de olika typerna av skadlig kod sig vidare in i systemet. De kriminella gängen tar därmed betalt per installation.

Det här gratisverktyget som analysen bygger på finns att hitta på vår online gratis antivirus-scanner. Vårt viruslabb får in mer än 100 000 nya typer av skadlig kod varje dag och dessa blir hela tiden mer sofistikerade. Det är en spännande utveckling och intressant att se den här typen av data. Man får verkligen klart för sig hur antivirusindustrin ständigt också måste utvecklas.

ESET:s IT-säkerhetsrapport för Sverige: juni 2009

Varje månad följer ESET vilka Internethot som har varit störst och nu är rapporten för juni sammanställd. Det som är nytt för den här månaden är att vi också har en rapport med Sverigespecifika siffror. Hos oss ser topplistan ut så här:

Virus i Sverige, juni 2009

Månadens två största hot fungerar på mycket olika sätt. WMA/TrojanDownloader.GetCodec är en trojan med förmågan att söka upp ljudfiler på datorn och konvertera dem till WMA-formatet utan att ändra filnamn eller filändelse. För att kunna spela upp filen anmodas användaren att ladda ner en kodek, men istället laddas skadlig kod ner till datorn.

WMA/TrojanDownloader.GetCodec kräver alltså en viss form av aktiv inblandning av användaren, medan det andra stora hotet under juni sköter sig helt självt. Win32/Agent är egentligen inte ett enda hot, utan en stor grupp av olika trojaner som skapats för att stjäla information från användarens datorer. När den aktiveras kopierar den sig själv till systemmappen i Windows och kommunicerar därifrån med en fjärransluten server och det är också därifrån den styrs.