Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En septembre 2009, les indices des 2 classements sont en léger recul, en raison de la migration des utilisateurs vers les nouvelles versions de Kaspersky Anti-Virus et de Kaspersky Internet Security.
Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d’analyse à la demande de Kaspersky Security Network.
L’utilisation des statistiques permet d’analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l’ordinateur de l’utilisateur.
| Rang | Evolution | Programme malicieux | Nombre de PC infectés |
| 1 |  0 |
Net-Worm.Win32.Kido.ih | 41033 |
| 2 | 0 |
Virus.Win32.Sality.aa | 18027 |
| 3 | 0 |
not-a-virus:AdWare.Win32.Boran.z | 12470 |
| 4 |  Nouveauté |
Net-Worm.Win32.Kido.ir | 11384 |
| 5 | -1 |
Trojan-Downloader.Win32.VB.eql | 6433 |
| 6 | -1 |
Trojan.Win32.Autoit.ci | 6168 |
| 7 | 3 |
Virus.Win32.Induc.a | 5947 |
| 8 | -2 |
Virus.Win32.Virut.ce | 5433 |
| 9 |  Nouveauté |
P2P-Worm.Win32.Palevo.jdb | 5169 |
| 10 | -2 |
Net-Worm.Win32.Kido.jq | 4288 |
| 11 |  Nouveauté |
Worm.Win32.FlyStudio.cu | 4104 |
| 12 | -5 |
Worm.Win32.AutoRun.dui | 4071 |
| 13 | -4 |
Virus.Win32.Sality.z | 4056 |
| 14 | 6 |
P2P-Worm.Win32.Palevo.jaj | 3564 |
| 15 | -4 |
Worm.Win32.Mabezat.b | 2911 |
| 16 |  Nouveauté |
Exploit.JS.Pdfka.ti | 2823 |
| 17 |  Nouveauté |
Trojan-Downloader.WMA.Wimad.y | 2544 |
| 18 | 0 |
Trojan-Dropper.Win32.Flystud.yo | 2513 |
| 19 |  Nouveauté |
P2P-Worm.Win32.Palevo.jcn | 2480 |
| 20 |  Nouveauté |
Trojan.Win32.Refroso.bpk | 2387 |
Kido est toujours actif. Outre Kido.ih, en pôle position des précédents Tops 20, apparaît Kido.ir qui désigne l’ensemble des fichiers autorun-inf que le ver crée pour se diffuser via des supports amovibles.
Le ver Palevo se diffuse rapidement et en 3 versions : Palevo.jdb, Palevo.jcn et Palevo.jaj.
Ces 2 programmes malveillants se diffusent via des supports mobiles, tout comme le ver chinois FlyStudio.cu, qui possède toujours les mêmes fonctions populaires de porte dérobée.
Parmi les nouveautés, les chercheurs de Kaspersky Lab remarquent une nouvelle version du téléchargeur multimédia Wimad : Trojan-Downloader.WMA.Wimad.y. Au lancement, il déclenche une requête de chargement du fichier malveillant. Dans ce cas-ci, not-a-virus:AdWare.Win32.PlayMP3z.a.
Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.
| Rang | Evolution | Programme malicieux | Nombre de tentatives de téléchargement |
| 1 | 0 |
not-a-virus:AdWare.Win32.Boran.z | 17624 |
| 2 | 1 |
Trojan.JS.Redirector.l | 16831 |
| 3 | -1 |
Trojan-Downloader.HTML.IFrame.sz | 6586 |
| 4 |  Nouveauté |
Exploit.JS.Pdfka.ti | 3834 |
| 5 | Nouveauté |
Trojan-Clicker.HTML.Agent.aq | 3424 |
| 6 | 4 |
Trojan-Downloader.JS.Major.c | 2970 |
| 7 | -3 |
Trojan-Downloader.JS.Gumblar.a | 2583 |
| 8 |  Nouveauté |
Exploit.JS.ActiveX.as | 2434 |
| 9 | -1 |
Trojan-Downloader.JS.LuckySploit.q | 2224 |
| 10 | -3 |
Trojan-GameThief.Win32.Magania.biht | 1627 |
| 11 |  Nouveauté |
Exploit.JS.Agent.ams | 1502 |
| 12 | 4 |
Trojan-Downloader.JS.IstBar.bh | 1476 |
| 13 |  Nouveauté |
Trojan-Downloader.JS.Psyme.gh | 1419 |
| 14 |  Nouveauté |
Exploit.JS.Pdfka.vn | 1396 |
| 15 | Retour |
Exploit.JS.DirektShow.a | 1388 |
| 16 | -10 |
Exploit.JS.DirektShow.k | 1286 |
| 17 | Retour |
not-a-virus:AdWare.Win32.Shopper.l | 1268 |
| 18 | Retour |
not-a-virus:AdWare.Win32.Shopper.v | 1247 |
| 19 |  Nouveauté |
Trojan-Clicker.JS.Agent.jb | 1205 |
| 20 |  Nouveauté |
Exploit.JS.Sheat.f | 1193 |
Les chercheurs de Kaspersky Lab observent la performance de 2 représentants de la famille Exploit.JS.Pdfka, fichiers JavaScript contenus dans des documents PDF qui exploitent diverses vulnérabilités des logiciels Adobe (y compris Adobe Reader).
Pdfka.ti exploite une vulnérabilité identifiée pour la 1ère fois il y a 2 ans dans la fonction Collab.collectEmailInfo (cve.mitre.org). Pdfka.vn exploite une vulnérabilité un peu plus récente dans la fonction getIcon du même objet Collab (cve.mitre.org).
Ces vulnérabilités dans les logiciels Adobe, nombreuses ces dernières années, sont massivement exploitées par les cybercriminels, quelle que soit la version du logiciel, afin de d’accroître la probabilité du téléchargement du programme malveillant principal sur les ordinateurs des victimes. En effet, il est toujours probable que certains utilisateurs n’aient pas actualisé leurs applications. Par conséquent, les équipes de Kaspersky Lab recommande à nouveau d’actualiser en temps opportuns les logiciels les plus utilisés, dont les produits Adobe.
Les chercheurs de Kaspersky Lab observent aussi le retour de DirektShow.a et l’apparition de Sheat.f et l’apparition des cliqueurs iframes.
En conclusion, la tendance des mois précédents se maintient : le nombre de paquets Web d’applications malveillantes qui exploitent toutes les vulnérabilités possibles des logiciels standards continue à augmenter. Ceci donne aux cybercriminels de nombreuses opportunités pour développer leurs activités. Cette diffusion est favorisée par des cliqueurs iframe élémentaires situés sur des sites légitimes infectés. Les cybercriminels peuvent accéder à ces sites grâce aux infections d’applications malveillantes volant les données confidentielles. La boucle est ainsi bouclée.
Enfin, pour les chercheurs de Kaspersky Lab, en septembre 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :
