Угрозы, заблокированные на компьютерах пользователей

Ниже приведена статистика угроз, заблокированных на компьютерах пользователей в момент активации вредоносных файлов либо при попытке их записи на компьютер-жертву.

 

Распределение вредоносных программ, заблокированных на компьютерах пользователей, по поведениям

В этом квартале пальму первенства по частоте нападения на компьютеры пользователей взяли троянские программы (+0,66%), сместив с первого места червей (-1,39%), лидировавших в течение нескольких кварталов. Объясняется это снижением активности очень популярных у злоумышленников Autorun-червей, что, в свою очередь, связанно с появлением в сентябре патча KB971029 от компании Microsoft, который убирает функцию автозапуска из различных версий Windows. Рост доли классических вирусов (+0,94%) связан с появлением нетривиального файлового вируса Virus.Win32.Induc. Его особенность заключается в способе заражения: зловредный код внедряется в программу еще на этапе ее разработки (на рабочей станции в компании-разработчике ПО или на компьютере разработчика, работающего удаленно). Попадая на компьютер, вирус первым делом ищет среду разработки (в данном случае Delphi 4.0-7.0) и пытается ее заразить путем проникновения в файл базовых констант sysconst.pas и последующей его компиляции. Так как фактически все программы, написанные на Delphi, используют модуль sysconst, количество легальных программ, зараженных на этапе компиляции, в результате оказалось весьма значительным. Как следствие, антивирусы стали детектировать многие популярные легальные программы. Обнаружено также несколько случаев заражения вирусом Induc творений самих вирусописателей − в основном зараженными оказались бразильские троянцы-банкеры. Подобные концептуальные вирусы встречались и раньше, однако такого широкого распространения они не получали. Заметим, что Induc почти год оставался незаметным для антивирусных компаний: по нашим данным, впервые инфицированные им объекты появились в ноябре-декабре 2008 года. Возникает вопрос: почему антивирусные программы не детектировали вирус? Ответить на него весьма просто – в Induc нет вредоносной составляющей! Поэтому ни эвристика, ни проактивные методы не могли выявить в поведении зараженных вирусом Induc программ ничего опасного. Тогда зачем же вообще был создан Induc? Возможно, это была «проба пера» или кто-то просто развлекался. Наличие сетевых червей в списке самых распространенных вредоносных программ, обнаруженных на компьютерах пользователей, обусловлено только одним (!) фактором – вошедшей в вялотекущую стадию эпидемией Net-Worm.Win32.Kido. Следующий график наглядно иллюстрирует этот факт.

 

Статистика детектирования Net-worm.Win32.Kido в третьем квартале 2009 г.

Спады на графике соответствуют воскресеньям – в выходные дни в мире работает меньше всего компьютеров, поэтому детектируется меньше всего заражений. В этом квартале также активизировались P2P-черви (+0,4%). Наибольший «вклад» в их активность внесли представители семейства P2P-Worm.Win32.Palevo, имеющие множество путей распространения: с помощью рассылки сообщений в MSN Messenger, заражения USB Flash-дисков, а также через внушительный список уже установленных клиентов P2P-сетей (BearShare, Ares P2P, iMesh, Shareaza, Kazaa, DC++ и т.д.). После установки червя злоумышленник может использовать зараженный компьютер для осуществления DDoS-атак, а также получить полный доступ к скомпрометированной системе через VNC. В классе Trojan-Droppers наблюдается следующая тенденция: для их создания все чаще используются скриптовые языки Flystudio и Autoit. Язык Flystudio многим нашим читателям может быть неизвестен, поскольку разработан он был в Китае и особенной популярностью пользуется именно у себя на родине − как и вредоносные программы, написанные на нем. Flystudio и Autoit позволяют создавать вредоносные программы, не обладая высоким уровнем знаний: несколько кликов в удобном фреймворке − и троянец-дроппер готов.

Теперь посмотрим на распределение вредоносных программ по платформам, на которых они исполняются.

 

Распределение вредоносных программ, заблокированных на компьютерах пользователей, по платформам

Как видно, пара лидеров по сравнению со вторым кварталом 2009 года не изменилась − это все те же Win32- и JS-зловреды. Такое положение дел обусловлено тем, что наиболее распространенные вредоносные программы − Net-worm.Win32.Kido, Virus.Win32.Sality, Virus.Win32.Virut и др. – исполняются именно на этих платформах. В остальном же распределение вредоносных программ существенно поменялось. Во-первых, бросается в глаза уменьшение доли WMA-зловредов, которая значительно снизилась по сравнению с первым кварталом этого года (-2,22%), когда они были на втором месте среди самых распространенных вредоносных программ. Связано это с тем, что их существование было обусловлено наличием уязвимостей в Windows Media Player, а так как за последние месяцы новых уязвимостей такого рода обнаружено не было, данный вид вредоносных программ практически вымер. Также уменьшилась доля SWF-зловредов, но об этом мы расскажем в следующей главе.

Угрозы в интернете

 

Распределение вредоносных программ в интернете по поведениям

В этом квартале значительно увеличилось количество атак на компьютеры пользователей с использованием троянцев-загрузчиков: их доля по отношению ко всем вредоносным программам, заблокированным веб-антивирусом, выросла на 7,73%. Основной вклад внесли различные Trojan-downloader.JS/HTML.Iframe, Trojan-downloader.JS.Gumblar.a, которые используются для заражения веб-страниц различных легитимных сайтов (Gumblar был подробно рассмотрен в прошлом отчете). Именно вредоносные программы, компрометирующие популярные сайты, приносят злоумышленникам наибольший «улов», ведь в этом случае пользователя даже не надо заманивать на зараженную страницу − он сам туда приходит. В прошедшем квартале также проявляли активность два других примечательных зловреда: Trojan-Downloader.JS.Major.c и Trojan-Downloader.JS.LuckySploit.q. Оба используют различные уязвимости для проникновения в систему пользователя, но если первый просто использует ряд уязвимостей в ОС Windows и в офисном пакете MS Office, то второй является весьма «интеллектуальным» троянцем. Trojan-Downloader.JS.LuckySploit.q собирает сведения о конфигурации системы пользователя и отправляет эти данные в зашифрованном виде на сервер злоумышленников, откуда затем посылается набор эксплойтов, соответствующий конфигурации ПО на компьютере пользователя. Получается очень эффективная (с точки зрения злоумышленников) схема, которая обеспечивает высокий процент заражений компьютеров. Кроме того, далеко не все эксплойты сразу попадают в после зрения антивирусных компаний. Увеличение доли троянцев на 4,23% обусловлено активностью всего лишь одного зловреда − Trojan.JS.Redirector.l, осуществляющего простое перенаправление пользователей для накрутки кликов на сайтах. Количество задетектированных эксплойтов в этом квартале также существенно увеличилось (+8,42%). В июле была обнаружена уязвимость в Interet Explorer 6 и 7, позволяющая выполнить произвольный код на уязвимой машине. IE по данным NetApplications пользуются около 65% пользователей во всем мире. Эта статистика не является тайной за семью печатями и, разумеется, доступна злоумышленникам − поэтому тут же появились эксплойты, использующие эту уязвимость и детектируемые нами как Exploit.JS.DirektShow. Кроме того, в августе была обнаружена опасная уязвимость в MS Office (MS09-043), которая также позволяла атакующему удаленно выполнить произвольный код на уязвимой машине. Эксплойты, использующие эту уязвимость, детектируются нами как Exploit.JS.Sheat. Тот факт, что уязвимости были закрыты (первая в июле, вторая в августе), а эксплойты мы детектировали на протяжении всего третьего квартала, указывает на беспечность пользователей, которые не ставят патчи и вообще не заботятся о безопасности компьютеров. Мало того, что они подставляют под удар свои системы и данные, так еще и остальным пользователям достается, поскольку зараженные машины в подавляющем большинстве случаев становятся частью зомби-сетей, с которых распространяются вредоносные программы и огромное количество спамовых писем. Даже уничтожив командные центры ботнетов, вывести последние из строя удается далеко не всегда. Ведь компьютеры, входившие в бот-сеть, по-прежнему остаются зараженными, и ботмастерам хватает всего нескольких дней, чтобы восстановить работоспособность своих зомби-сетей и продолжить криминальную деятельность.

 

Распределение вредоносных программ в интернете по платформам

Распределение вредоносных программ в интернете по платформам не сильно изменилось за квартал − доминируют по-прежнему JS, Win32, HTML. Однако есть один примечательный факт: SWF-зловреды, использующие среду Flash для своего исполнения, сместились с 4-го места на 7-е. Этому способствовали и регулярные патчи от компании Adobe, и действия других игроков софтверного рынка. По данным Trusteer, опубликованным в середине третьего квартала, 80% всех пользователей интернет-браузеров использовали уязвимую версию flash-плеера. Последняя версия браузера Firefox при установке и обновлении проверяет версию flash-плеера, и если она является устаревшей, предлагает пользователю обновить этот компонент системы. Похоже, что меры, принятые Adobe и Mozilla, приносят свои плоды, и взломщикам становится все сложнее найти пользователя с уязвимой версией flash-плеера, что не может не радовать.

 

Предупреждение Firefox о необходимости обновления устаревшей версии Adobe Flash

Неуклонно возрастающее количество эксплойтов и троянцев-загрузчиков говорит об активном использовании drive-by-загрузок и специализации киберпреступников на определенных видах криминальной деятельности. Тем, что эксплойты, чья доля среди всех вредоносных программ в интернете составляет 18%, продаются пачками (exploitpack), никого не удивишь, однако злоумышленники постоянно стремятся повысить эффективность своих систем, тем самым увеличив количество покупателей и полученных денег. Так, создатели одного из наборов эксплойтов добавили в него функционал проверки наличия в таких системах, как MDL (malwaredownloadlist.com), Google Safe Browsing, Malwareurl и Trustedcheck имен зараженных доменов, с которых производятся атаки на пользователей. Как только URL или домен появляется в одной из этих систем, владельцу exploitpack приходит уведомление об этом. В результате в будущем можно ожидать еще более частой смены доменов и, как следствие, дальнейшего уменьшения «продолжительности жизни» вредоносных URL, которая в начале года в среднем составляла всего 4 дня.

География зловредов

Посмотрим, в каких же странах в третьем квартале вирусописатели покупали или взламывали больше всего доменов для распространения своих творений.

 

Распределение вредоносных доменов по странам

98,8% всех доменов, с которых распространялись вредоносные объекты, находятся в 20 странах, 69,5% − в 5. Состав пятерки лидирующих стран не изменился, но в самом рейтинге произошли серьезные изменения.

Таблица 1. TOP 5 стран, в которых наиболее часто размещаются вредоносные домены.
Источник: «Лаборатория Касперского».

На первое место вышли Соединенные Штаты Америки (21,87%), потеснив с него Китай (20,97%). Это, увы, не означает, что в Китае стало меньше доменов, с которых распространяются вредоносные программы − наоборот, их доля увеличилась на 1,54%. Однако в третьем квартале злоумышленники предпочитали США, в результате чего на их долю пришлось на 8,74% вредоносных доменов больше, чем в предыдущем квартале. Третье место заняла Россия − 13,36% всех вредоносных доменов (-4% по сравнению с прошлым кварталом). Очевидно, ужесточение в России правил регистрации доменных имен, введенное в прошлом квартале, принесло плоды. Далее в TOP 5 располагается стабильная пара: Германия, занимающая четвертое место (+0,43%), а на пятом месте – Бразилия с традиционными для нее троянцами-банкерами. На 1% уменьшилась доля вредоносных доменов в Тайване и Румынии. Доля вредоносных доменов в Индии составила 3,02%, в связи с чем страна переместилась в рейтинге с 10-го на 6-е место. Скорее всего, это обусловлено не только уменьшением доли других стран, но и тем, что в Индии многие образованные молодые люди потеряли работу, а в период кризиса им проще всего заработать деньги незаконным путем.  Читать дальше