Piąta analiza danych zgromadzonych przy użyciu skanera on-line pozwoliła na zidentyfikowanie dwóch najbardziej rozpowszechnionych trojanów. Banker.anv gości w pierwszej dziesiątce listy już od stycznia, Banker.ark – od lutego. W maju obydwa wspięły się na czołowe pozycje zestawienia. W porównaniu z resztą zestawienia, gdzie prawie połowa złośliwych programów zmienia się każdego miesiąca, trojany te to prawdziwi weterani.
Szkodniki te są niemal identycznymi bliźniakami. Oba zostały napisane przy użyciu środowiska programistycznego Delphi i służą do kradzieży danych klientów wielu brazylijskich banków. Brazylijscy hakerzy wykorzystują wszelkie możliwe metody w celu dostarczenia trojanów do komputerów użytkowników, łącznie ze spamem, trojanami osadzonymi w plikach instalacyjnych niektórych aplikacji, lukami w przeglądarkach itd.
Analitycy z Kaspersky Lab zarejestrowali ponad 3 000 niewielkich modyfikacji samego trojana Banker.anv. W przypadku wersji .ark, ich liczba jest jeszcze większa i wynosi ponad 4 000. W przeciwieństwie do poprzednich miesięcy, w maju nie wykryto dużej liczby programów typu Trojan-Downloader. Zestawienie zawiera tylko dwa. Pierwszym z nich jest nowość (Agent.td, piąte miejsce), drugim Delf.aif, który na przestrzeni miesiąca spadł o 15 pozycji. Na liście znalazła się za to ogromna liczba robaków pocztowych. Interesujące jest to, że nie są to te same robaki, które tworzą zestawienie 20 najpopularniejszych szkodników w ruchu pocztowym.
Na czwartą pozycję wspiął się Rays, co w przypadku tak prymitywnego robaka pocztowego stanowi dość imponujący wynik. Scano.v jest debiutantem w naszym zestawieniu (dwa inne robaki z tej samej rodziny zakwalifikowały się do listy 20 najpopularniejszych szkodników wykrytych w ruchu pocztowym). Dość interesującym przypadkiem jest inny robak, Brontok.a, który po raz pierwszy pojawił się w październiku zeszłego roku, pozostał jednak niezauważalny aż do momentu, gdy spowodował lokalne epidemie w wielu dużych firmach europejskich.
Spore przemieszczenia na liście dotyczą klasycznych wirusów plikowych. Zniknęły wirusy Redlof.a i Hidrag.a, które w kwietniu zajmowały środkowe miejsca zestawienia, powrócił natomiast Parite.b. Wirus ten zwiększył swoją obecność w lutym i marcu, w kwietniu zniknął nagle z zestawienia. Parite.b. jest bardzo trudny do usunięcia z systemu.
Jak zwykle, majowe zestawienie zawiera exploity, backdoory oraz programy adware i „greyware”. Wśród nich znajdują się dwie nowości: Ardamax.k (komercyjny keylogger) i AdvertMen.a (program adware).
Ardamax nie jest klasyfikowany jako trojan, ponieważ został opracowany przez legalną firmę produkującą oprogramowanie i jest sprzedawany jako legalny produkt. Jednak autorzy wielu złośliwych programów często traktują go jako gotowy moduł spyware, dzięki któremu nie muszą już pisać własnych. Komercyjne keyloggery wywołują najwięcej kontrowersji pomiędzy firmami antywirusowymi i producentami oprogramowania. Nawet jeśli mogą być wykorzystywane jako trojany, programy te mają legalne zastosowania.
AdvertMen.a jest typowym programem adware. Rozprzestrzeniany jest z wieloma programami „shareware”. Po zainstalowaniu na komputerze program ten łączy się ze stroną jego autora i co pewien czas pokazuje reklamy w oknie przeglądarki. W ten sposób działają praktycznie wszystkie programy adware, jednak w maju to właśnie AdvertMen.a okazał się najskuteczniejszym z nich.