Augusztus 1. és 20. között a Trend Micro mintegy 3300 új rosszindulatú kódot (számítógépférget, vírust, trójait és más rosszindulatú programot) azonosított, amelyek nagy része a trójai, a hátsó ajtó és a féreg kategóriák valamelyikébe sorolható. A hónap tíz legjelentősebb fenyegetése:
- WORM_NETSKY.B
- PE_ZAFI.B
- WORM_NETSKY.P
- HTML_NETSKY.P
- WORM_NETSKY.D
- WORM_NETSKY.B
- WORM_NETSKY.Z
- WORM_MYDOOM.M
- JAVA_BYTEVER.A
- TROJAN_AGENT.AE
A WORM_BAGLE, WORM_MYDOOM és WORM_NETSKY szerzői közötti vírusháború hatása még mindig érezhető, a tíz legjelentősebb fenyegetésből hat e kódok valamelyikéhez kapcsolódik. Ebben a hónapban a japán cég két globális közepes riasztást adott ki: a WORM_BAGLE.AC, illetve a WORM_RATOS.A férgekhez kapcsolódóan. Ezek a férgek semmilyen új technikát nem vezettek be. Közelebbről vizsgálva az e hónapban újonnan azonosított rosszindulatú kódok körülbelül 53%-a hátsó ajtó vagy trójai program, 21%-a pedig féreg volt.
A rosszindulatú kódok íróinak célja már nem a lehető legtöbb számítógép megrongálása, hanem az, hogy a gépekhez hozzáférést szerezve adatokhoz jussanak. Egy lehetséges végcél a jelszavak és hitelkártya-számok értékesítése. Egy másik motiváció lehet olyan rejtett „sötét” hálózatok kiépítése, amelyeket a jövőben nagyléptékű támadásokhoz használhatnak fel.
A hónap során elemzett legjelentősebb kódok valószínűleg a 64 bites operációs rendszerek megtámadására készült programok voltak. A W64_RUGRAT.A jelent meg elsőként az ilyen kódok közül. Ez a vírus az IA64 (Intel Itanium) processzorokon futó 64 bites fájlokat és az AMD 64 bites rendszerein működő PE fájlokat fertőzi. A másodikként azonosított W64_SHRUGGLE.A a 64 bites Windows Portable Executable (PE) fájlokat fertőzi.
Úgy tűnik, hogy ezeket a vírusokat ugyanaz a – magát „roy g biv”-nek nevező – szerző készítette. Mindkét 64 bites vírust koncept-vírusnak tekinthetjük, amelyek azért készültek, hogy bizonyítsák az ilyen rendszerek vírusok általi fertőzhetőségét. A két vírus viselkedése és fertőzési technikája hasonló. Mindkettő közvetlenül fertőz, és a Thread Local Storage (TLS) mechanizmust használja a kód elindításához. A futtatás után a vírus célfájlokat keres az aktuális mappában és az almappákban, és megfertőzi az összes megtalált 64 bites fájlt (AMD64 rendszereken). Ezután megvizsgálja a fájlt bizonyos szűrőfeltételek alapján, a saját kódját hozzáfűzi a gazdafájl utolsó szakaszához, amelyet futtathatóként jelöl meg. A felismerés elkerülése érdekében a vírus esetleg némi szemetet is hozzáfűzhet a víruskód végéhez. A vírus nem fertőzi meg a 32 bites fájlokat és az olyan 32 bites processzoron futó rendszereket, melyek nem tartalmaznak AMD64 bites programokat támogató szoftvert.
