Den första topplistan är baserad på data som hämtats av Kaspersky Labs antivirusprodukter ur 2009-familjen. Listan består av skadliga program, adware och potentiellt oönskade program som upptäckts på användares datorer.

1. Virus.Win32.Sality.aa
2. Packed.Win32.Krap.b
3. Trojan-Downloader.Win32.VB.eql
4. Worm.Win32.AutoRun.dui
5. Trojan.HTML.Agent.ai
6. Trojan-Downloader.WMA.GetCodec.c
7. Virus.Win32.Alman.b
8. Trojan.Win32.AutoIt.ci
9. Packed.Win32.Black.a
10. Worm.Win32.AutoIt.ar
11. Worm.Win32.Mabezat.b
12. Worm.Win32.AutoRun.eee
13. Trojan-Downloader.JS.Agent.czm
14. Trojan.Win32.Obfuscated.gen
15. Email-Worm.Win32.Brontok.q
16. Virus.Win32.VB.bu
17. Trojan.Win32.Agent.abt
18. Trojan-Downloader.JS.IstBar.cx
19. Worm.VBS.Autorun.r
20. Trojan-Downloader.WMA.GetCodec.r

Ledarna från novembers topplista, Virus.Win32.Sality.aa och Packed.Win32.Krap.b toppar fortfarande listan. Generellt så har positionerna i listan inte ändrats avsevärt sen föregående månad, men det finns dock några saker som är intressanta.

Förra månadens nykomlingar, maskarna Mabezat.b och AutoRun.eee avancerade båda tre platser uppåt i listan i december. Detta visar på den effektivitet med vilken de sprids genom portabla enheter, utöver den klassiska metoden för spridning genom delade nätverksresurser. Mabezat.b kan också infektera filer. Viruset Sality.aa använde sig av en liknande metod vilket gjorde att det snabbt avancerade till toppen av listan. Nu använder sig Mabezat.b av samma knep.

Virus.Win32.Alman.b avancerade hela tio platser denna månad. En del av Almanvirusets metod är att stjäla lösenord till en mängd onlinespel. Eftersom gamingaktiviteter på nätet toppar just under vintermånaderna kan man lätt förklara denna snabba avancering i topplistan. Det kommer att vara intressant att se vad som kommer att hända med detta skadliga programs positionering i listan under de kommande månaderna.

Ytterligare två nykomlingar, Trojan.HTML.Agent.ai och Trojan-Downloader.JS.Agent.czm, är run-of-the-mill script downloaders men har inga speciellt intressanta drag.
En hög procentandel av skadliga program har på sistone skrivits med AutoIT script-språket. Detta eftersom språket är lätt att bemästra vilket gör det enkelt att skapa nya program. Den snabba avanceringen i listan av Trojan.Win32.AutoIt.ci och uppkomsten av Worm.Win32.AutoIt.ar bland december månads nykomlingar bekräftar denna utveckling. Liksom Mabezat.b och AutoRun.eee, sprids Autolt.ar genom portabla enheter.

Något som också är intressant är att två skadliga program som representerar en familj av icke standardanpassade sabotageprogram - Trojan-Downloader.WMA.GetCodec - har dykt upp i listan. Ett av dem dök upp i topplistan för första gången i november månad och hamnade direkt på tredje plats, men har tappat sin positionering i december.

Det andra programmet, Trojan-Downloader.WMA.GetCodec.r, är mycket intressant. Genom att spela en mediefil laddas en programfil ner – denna fil är P2P-Worm.Win32.Nugg.w, vanligtvis kallad codec. När den körs så laddar den ner ett flertal arkivfiler som innehåller programfiler och multimediefiler från Internet. Dessa programfiler är olika varianter av P2P-Worm.Win32.Nugg, medan mediafilerna infekteras av olika varianter av Trojan-Downloader.WMA.Getcodec. Masken ersätter dessa filers namn med “keygen RELOADED.zip”, “(hot remix).mp3” och andra namn som gör att de verkar intressanta för datoranvändare och gör dem tillgängliga på det populära P2P-nätverket Gnutella.

Oerfarna användare laddar sedan ner dessa filer vilket gör att den skadliga koden sprids. Detta leder oss till slutsatsen att även vanliga multimediafiler inte längre är att lita på och att användare som uppmanas att ”ladda ner en codec” bör vara på sin vakt. Alla skadliga program, adware-program och potentiellt oönskade program i denna topplista kan delas in i ett antal huvudkategorier av hot som upptäckts av Kaspersky Lab.

Procentfördelningen har inte förändrats avsevärt sen november. Självkopierande skadliga program utgör hela 45 procent, vilket bekräftar oron att sådana program börjar bli allt vanligare. Procentandelarna för självkopierande och trojanska program har balanserats ut, vilket ger en korrekt bild av det rådande landskapet av skadliga program.

Totalt har 38 190 olika skadliga och potentiellt oönskade program upptäckts på användares datorer i december. Detta betyder att antalet hot ”in-the-wild” har minskat en aning: i december upptäcktes 7 500 färre hot än i november (45 690).

Den andra topplistan visar siffror på de vanligaste skadliga programmen bland alla upptäckta smittade objekt på användares datorer. Majoriteten av programmen i listan nedan kan infektera filer.
1. Virus.Win32.Sality.aa
2. Worm.Win32.Mabezat.b
3. Virus.Win32.Xorer.du
4. Trojan-Downloader.HTML.Agent.ml
5. Net-Worm.Win32.Nimda
6. Virus.Win32.Alman.b
7. Virus.Win32.Parite.b
8. Virus.Win32.Virut.n
9. Virus.Win32.Sality.z
10. Virus.Win32.Virut.q
11. Virus.Win32.Parite.a
12. Email-Worm.Win32.Runouce.b
13. Worm.Win32.Otwycal.g
14. P2P-Worm.Win32.Bacteraloh.h
15. Trojan.Win32.Obfuscated.gen
16. Worm.Win32.Fujack.cf
17. Worm.VBS.Headtail.a
18. Virus.Win32.Hidrag.a
19. Worm.Win32.Fujack.k
20. Virus.Win32.Small.l

Den andra topplistan är rätt stabil med få ändringar sen novembers topplista. En nykomling är Agent.ml, en Trojan downloader. Den har endast en liten andel skadlig kod – ett skadligt Iframe-avsnitt som läggs till i slutet på webbsidor. När huvudsidan laddas ner så laddas även sidan som specifieras i Iframe också ner. I detta fall innehåller denna sida ett skadligt Javascript.

En annan nykomling i denna topplista är masken Fujack.cf, en senare variant av Fujack.bd, som dök upp på 19:e plats i topplistan i oktober och som åkte ur listan i november.