Услуга Botnet as a service становится все более популярной. За примерами далеко ходить не надо — во втором квартале владельцы ботнета Kido предоставили «услугу» по загрузке спам-бота и фальшивого антивируса.  Впрочем, судя по статистике, семейство Worm.Win32.Autorun представляет собой не меньшую опасность, чем Kido. Флэшки и другие съемные носители продолжают играть существенную роль в распространении вредоносных программ.

Наиболее интересные события второго квартала 2009 года

Social networks: Twitter и другие

Вирусописатели, создающие программы под Windows, не представили в этом квартале ничего принципиально нового и в основном использовали давно испытанные приемы и реанимировали старые технологии, подавая их под другим соусом. Основной тенденцией квартала стала все увеличивающаяся заинтересованность злоумышленников в использовании сервисов Web 2.0 для распространения зловредов.

Все растущая популярность и новые технологии, реализуемые в соцсетях, привлекают злоумышленников, превращая соцсети в настоящее поле боя. Ежедневные атаки на пользователей социальных сетей стали практически нормой. Причина здесь одна — рост популярности сетей и высокий уровень доверия пользователей друг другу. Пользователи охотно переходят по ссылкам, пришедшим якобы от друзей, иногда даже не вчитываясь в текст сообщения, а если и вчитываются, то тоже часто попадают на удочку к преступникам — приемы социальной инженерии становятся все изощренней. Как следствие, через социальные сети зловреды распространяются в 10 раз эффективнее, чем по электронной почте.

В этом квартале появился первый сетевой червь, распространяемый через популярнейшую службу микроблоггинга Twitter. Червь размножался, используя атаку типа «межсайтовый скриптинг» (xss) и модифицируя личные страницы пользователей социальной сети. Исполнение вредоносного JavaScript-сценария происходило в момент посещения зараженной страницы или при переходе по гиперссылке, рассылаемой червем от имени участников сети. Уязвимость в Twitter, позволявшая совершать XSS-атаку, была оперативно исправлена. Сам червь, детектируемый «Лабораторией Касперского» как Net-Worm.JS.Twettir, не нес в себе какой-либо серьезной угрозы безопасности. Однако обращает на себя внимание опасный своей простотой механизм заражения: от пользователя требуются только вполне обычные действия — переходить по гиперссылкам. Автором червя оказался 17-летний Мики Муни (Mikey Mooney), писавший его от скуки, преследуя две цели: показать уязвимости в Twitter и продвинуть свой сайт, ссылки на который рассылал червь. Простой рецепт, который поможет пользователю защититься от xss-атак, — блокировать выполнение в браузере JS-скриптов.

Кроме того, в течение квартала были зафиксированы спам-атаки на сеть Twitter, направленные на распространение ссылок на вредоносные программы, а также ряд атак фишеров.

Twitter — не единственная социальная сеть, которая подвергается атакам фишеров и хакеров. Пользователи Facebook, MySpace, Vkontakte, Orkut, Odnoklassniki — все они находятся под ударом злоумышленников. Чаще всего используется простая схема: от одного из ваших друзей приходит сообщение, в котором есть ссылка на внешний ресурс. Это может быть фишинг, попытка заражения или же простое мошенничество. Пример такого мошенничества, основанный на извечной любви людей к даровым деньгам и невозможности долго держать что-либо в секрете, вы можете видеть ниже. В полученном якобы от друга сообщении раскрывается «конфиденциальная» информация о способе пополнения счета на мобильном телефоне и предлагается отправлять раз в день SMS на короткий номер. Естественно, вместо того чтобы пополнить свой счет, пользователь отдаст злоумышленникам от 145 до 180 рублей. С виду все очень просто, однако текст составлен весьма интересно. Именно так, чтобы заставить пользователя поверить, что это действительно правда. Прогресс в социальной инженерии — налицо. Поймать любопытного пользователя на сообщение вида «Интригующее фото Бритни http://.....com/film.exe» становится все сложнее.

Ботнеты: Kido

От сетей социальных перейдем к сетям из зомби-компьютеров, к которым злоумышленники проявляют не меньший интерес.

Приходится констатировать факт, что количество и размер ботнетов продолжает расти. В нашей коллекции продолжают появляться новые семейства вредоносных программ типа botclients . Управление сложными распределенными сетями является не самой простой задачей и требует как временных ресурсов, так и материальных затрат. Схема Botnet as a Service (BaaS)продолжает набирать популярность у хозяев ботнетов. Модель, как не сложно догадаться из названия, аналогична модели Software as a service, при которой разработчик предоставляет свое приложение в виде сервиса, самостоятельно им управляя. При оказании одной из услуг по схеме BaaS ботнеты используются как средство доставки различных вредоносных программ на зараженные компьютеры пользователей по всему миру. При этом и заказчики, и сами владельцы ботнетов не остаются в накладе: первым не надо строить и поддерживать в рабочем состоянии собственные ботнеты, а вторые могут достаточно легко зарабатывать деньги, специализируясь только на ботнетах и сохраняя контроль над ними.

И самой большой на сегодняшний день, по нашим данным, является зомби-сеть, построенная и управляемая с помощью червя Net-Worm.Win32.Kido. О ней мы уже писали в прошлом отчете, поэтому здесь упомянем лишь вкратце самые важные события, связанные с этим ботнетом.

Первого апреля многие исследователи ожидали активации этого многомиллионного ботнета. Второго апреля исследователи увидели, что сеть Kido осталась необновленной и не проявляла никакой новой активности. Однако затишье было недолгим. В ночь с 8 на 9 апреля обновился сам Kido и заодно загрузил на зараженные компьютеры две программы: спам-бот семейства Net-Worm.Win32.Iksmas и лжеантивирус FraudTool.Win32.SpywareProtect2009. С этого момента огромный ботнет начал приносить деньги по схеме BaaS за счет установленных программ. Подробнее о них можно прочить в нашем блоге здесь и здесь.

С середины апреля шумиха вокруг Kido улеглась. Однако это не значит, что сеть перестала существовать — просто лавинообразный рост зомби-сети замедлился, и количество компьютеров в ней стабилизировалось. Очевидно, злоумышленники поняли, что такая огромная сеть неизбежно окажется под пристальным наблюдением специалистов по интернет-безопасности, и затаились. Однако в течение последних трех месяцев Kido уверенно держит пальму первенства по количеству зараженных машин, что отражено в наших ежемесячных вирусных двадцатках.

Drive-by загрузки: Gumblar

Чем еще активно пользовались вирусописатели в этом квартале, чтобы распространять свои творения? Ответ — drive-by загрузки. Суть технологии — при посещении пользователем легитимного взломанного сайта незаметно загрузить на его компьютер вредоносную программу. Такие атаки особенно опасны, ведь на взломанные легитимные сайты заходят тысячи ничего не подозревающих пользователей, и каждый из них является потенциальной жертвой. И с каждым месяцем drive-by загрузки набирают популярность. Вообще угрозам посвящен отдельный раздел отчета, но здесь мы рассмотрим четвертого по встречаемости в веб-трафике троянца Trojan-Downloader.JS.Gumblar.a. Свое название этот представитель киберфауны получил по причине того, что его первые версии перенаправляли пользователей на домен gumblar.cn.

Этот троянец представляет собой вредоносный зашифрованный сценарий JavaScript, вставленный в тысячи страниц различных взломанных сайтов и перенаправляющий посетителей этих сайтов на вредоносную веб-страницу. Компьютеры пользователей, попавших на зараженный сайт, подвергаются атаке с помощью эксплойтов, использующих уязвимости в Adobe Acrobat Reader и Adobe Flash Player. (Отметим, что эти эксплойты во втором квартале 2009 года вошли в число наиболее популярных у злоумышленников.) Если один из эксплойтов срабатывает, то в систему пользователя незаметно загружается троянская программа. Этот троянец изменяет результаты поиска через Google таким образом, что полученные ссылки могут вести на вредоносные сайты, и заодно собирает с компьютеров ftp-логины и пароли.

Украденные данные в дальнейшем используются злоумышленниками для доступа к учетной записи на сервере и заражения новых сайтов. Собственно заражением страниц занимался инфектор, написанный на PHP, вставляющий код троянца Gumblar во все веб-документы на сервере после тега <body>.

Для тиражирования своих поделок киберпреступники создали огромную сеть из зараженных веб-серверов. Причем от их действий пострадали не только пользователи, но и владельцы ресурсов. Так, одна из самых популярных поисковых машин Google.com помечала все зараженные сайты как опасные и блокировала доступ к ним. И многие сайты даже после лечения не сразу были выведены из черных списков (например, браузер Firefox использует эти списки для блокирования подозрительных сайтов), и доступ к ним был заблокирован.

Количество зараженных страниц исчисляется тысячами, и это не может не настораживать. Для проведения успешных drive-by атак требуются эффективные эксплойты, и их роль (как и стоимость), очевидно, будет расти в течение года.

SMS-биллинг: российская специфика

В России у мошенников все более популярным становится выкачивание денег у пользователей с помощью SMS, отправленных на премиум-номера. В этом квартале такую схему использовали два представителя Trojan-Ransom: Blocker и Smser.

Эти вредоносные программы имеют сугубо российскую специфику и, к слову сказать, русский «интерфейс». Trojan-Ransom.Win32.Blocker и Trojan-Ransom.Win32.Smser после успешного запуска и записи в автозагрузку блокируют запуск операционной системы. Требуется послать SMS-сообщение с определенным текстом на короткий номер и в ответ получить код, с помощью которого можно разблокировать ОС. Последние версии троянцев семейства Blocker примечательны еще и тем, что они блокируют загрузку ОС под предлогом того, что у пользователя якобы установлена нелицензионная версия. Памятуя о том, что у многих русских установлено нелицензионное ПО, предлог для них является вполне убедительным, и жертвой троянцев большей частью становится именно русскоязычная аудитория.

 

Отметим, что эти троянцы попали в наше поле зрения не столько из-за большого количества пострадавших пользователей, сколько из-за своих ярких проявлений.

Атаки на *nix

Как мы и прогнозировали в конце прошлого года, злоумышленники вспомнили о существовании *nix платформ. Развитие вредоносных программ в целом следует за развитием рынка операционных систем. Растущая популярность той или иной платформы не может не привлекать вирусописателей. Тенденция к расползанию зловредов по различным платформам четко просматривается.

Во втором квартале 2009 года появилось 48 новых вредоносных программ для *nix. Наиболее интересными из них были троянские программы Trojan-Dropper.Linux.Prl и Trojan-Mailfinder.Perl.Hnc. Первая, проникая в систему, запускает процесс интерпретатора perl и передает ему скрипт, содержащий основную вредоносную нагрузку, которой является рассылка с зараженных серверов спама. По нашим данным, это первый прецедент использования зараженного *nix-сервера для рассылки спама.

В середине квартала появились сообщения об обнаружении ботсети из компьютеров под управлением Mac OS X. Заметим, что распространение вредоносных программ-ботов велось в январе этого года через торрент-сети вместе с пиратской версией популярного пакета офисных программ Apple iWork’09, тогда же было добавлено детектирование этих программ под именем Backdoor.OSX.iWorm в наши антивирусные базы. Это лишний раз подчеркивает необходимость использовать защитное ПО вне зависимости от платформы.

Закон в действии

Но есть и такие тенденции, которые не могут не радовать. Развивается борьба с киберпреступлениями на юридическом уровне: закрываются провайдеры, судят киберпреступников.

В июне по решению федеральной торговой комиссии США (FTC) был закрыт хостинг-провайдер 3FN, специализировавшийся на размещении командных центров ботнетов, фишинговых веб-сайтов, детской порнографии и другого нелегального контента. Основанием для иска стало обвинение в сознательном нарушении федеральных законов. В частности, на серверах этого провайдера были размещены командные центры нескольких крупных ботнетов, в том числе Pushdo/Cutwail, рассылающих почти треть всех спам-писем. К сожалению, такого уменьшения количества спама, как после закрытия McColo, ждать не приходится. Владельцы ботнетов учли опыт McColo и теперь предпочитают иметь несколько запасных вариантов для управления зомби-сетями. По временному решению суда все серверы 3FN были отключены от интернета, а счета управляющей компании заморожены. Пример послужит уроком и другим провайдерам, предоставляющим хостинг под нелегальные проекты.

Как в глазах обывателей, так и в глазах правоохранительных органов, киберпреступники перестали быть чем-то абстрактным и не представляющим особой опасности. Какая разница: потерять сто долларов из своего кошелька или потерять сто долларов с учетной записи в каком-нибудь интернет-магазине? В киберпространстве крутятся вполне реальные деньги, и за преступлением должно следовать вполне реальное наказание, что собственно и происходит. Подобная практика должна принести свои плоды и уменьшить количество желающих нелегально заработать в интернете.

Немного статистики

В этой главе мы рассмотрим статистические данные, характеризующие ситуацию с вредоносными программами во втором квартале 2009 года. Все данные получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран мира.

Современные средства антивирусной защиты — это комплексные решения, которые блокируют попытки заражения компьютера на различных уровнях. Ниже мы рассмотрим статистику, полученную в результате работы таких компонентов защиты, как веб-антивирус, система обнаружения вторжения (IDS) и on-access scanner (OAS). Во всех случаях мы оценивали число уникальных попыток заражения компьютеров пользователей вредоносным контентом, заблокированных антивирусным ПО. Например, случаи, когда на один и тот же компьютер одна и та же вредоносная программа пыталась проникнуть несколько раз, мы рассматривали как один инцидент.

Веб-антивирус: детектируемые объекты в интернете

Приведенная в этой главе статистика получена на основе работы веб-антивируса, который защищает компьютеры пользователей от загрузки угроз с зараженных веб-страниц.

Более 60% вредоносных программ, распространяемых на вебе, составляют программы пяти поведений:

 
Рис.1. Распределение поведений вредоносных объектов, распространяемых на вебе.
Источник: «Лаборатория Касперского»

Лидером рейтинга стало поведение Trojan-Downloader, доля которого во втором квартале уменьшилась на 10,48% и составила 27,16%. Основной вклад внес Trojan-Downloader.JS.Gumblar.a, скачивающий вредоносный объект по заданной автором зловреда ссылке.

Вторую позицию заняло поведение Trojan: его доля за квартал изменилась на -7,37% и составила 13,80%. Своей популярностью поведение Trojan обязано в основном троянскому скриптовому загрузчику Trojan.JS.Agent.xy.

На третьем месте в пятерке лидеров оказалось поведение Exploit, на долю которого пришлось 9,90% — это меньше результатов предыдущего квартала на 2,25%. Главную роль здесь сыграл Exploit.HTML.CodeBaseExec, о котором мы подробнее расскажем в разделе «Уязвимости и эксплойты».

Предпоследнюю позицию в рейтинге по результатам второго квартала заняло поведение Trojan-Clicker — 7,36%. За квартал Trojan-Clicker потеряло 0,89%.

И, наконец, последняя строка рейтинга досталась поведению, которое включает запакованные вредоносные объекты — Packed. Это поведение стало единственным новичком рейтинга и вытеснило поведение Backdoor. На долю Packed пришлось чуть более 2% — на 0,33% меньше, чем в первом квартале. Самым популярным представителем данного поведения стал вредоносный объект Packed.JS.Agent.ab, которым были поражены тысячи хостов.

В таблице 1 представлена пятерка самых популярных сред, в которых функционируют 94% вредоносных программ, распространяемых на вебе.

	Платформа	Доля вредоносных программ	Изменение доли во втором квартале	Изменение позиции в рейтинге
1	JS	47,77%	+8,28%	-
2	Win32	27,11%	-9,13%	-
3	HTML	16,19%	+1,63%	-
4	SWF	1,66%	-1,24%	-
5	VBS	1,27%	-0,13%	-

Таблица 1. пять самых популярных сред обитания вредоносных программ, обнаруженных на вебе.
Источник: «Лаборатория Касперского»

Страны, на ресурсах которых размещены вредоносные программы

Рассмотрим подробнее географию распространения вредоносных объектов на хостингах разных стран мира. В таблице 2 приведен список стран, на хостингах которых киберкриминал наиболее часто размещает свои творения.

	Страна	Регион	Доля вредоносных хостингов	Изменение доли во втором квартале	Изменение позиции в рейтинге
1	Китай	Азия	19,43%	+0,73%	-
2	Россия	Европа	17,35%	+1,62%	-
3	США	Северная Америка	13,13%	-1,35%	-
4	Германия	Европа	8,06%	+0,47%	-
5	Бразилия	Южная Америка	5,45%	+1,65%	+3

Таблица 2. пять самых популярных стран, где на хостингах размещается вредоносное ПО.
Источник: «Лаборатория Касперского»

На эту пятерку приходится 63,43% всех выявленных вредоносных хостингов.

В пятерке лидеров по сравнению с итогами первого квартала не произошло почти никаких изменений. Исключение составила лишь Бразилия, которая поднялась в рейтинге сразу на три позиции и вытеснила с пятого места Италию.

Общее число вредоносных хостингов в мире увеличилось по сравнению с первым кварталом 2009 года на 5,65%.

Имеющиеся данные показывают, в каких странах находятся зараженные веб-сервера. Однако эта статистика не дает полного представления о том, посещая веб-ресурсы каких стран пользователь подвергается максимальному риску заражения.

Для того чтобы понять, с веб-серверов каких стран вредоносные программы распространялись наиболее активно, сравним, сколько попыток заражения уникальными вредоносными объектами с веб-серверов, расположенных в каждой отдельной стране, в среднем пришлось на одного пользователя.

	Страна	Регион	Среднее число уникальных зловредов на одного пользователя	Изменение позиции в рейтинге
1	Канада	Северная Америка	2,03	+1
2	Великобритания	Европа	1,92	+1
3	Малайзия	Азия	1,82	new
4	Россия	Европа	1,68	-
5	Китай	Азия	1,51	-

Таблица 3. пять стран, с веб-серверов которых вредоносный
контент распространялся наиболее активно.
Источник: «Лаборатория Касперского»

Продолжение >>>>>