Представленный Лабораторией Касперского "Отчет" составлен на основе данных, полученных и обработанныхс помощью системы Kaspersky Security Network. KSN является одним из важнейших нововведений в персональных продуктах и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского». Kaspersky Security Network позволяет оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним. Одновременно KSN позволяет реализовать значительно большую скорость реакции на новые угрозы — в настоящее время мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей KSN через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Вот так выглядит отчётный период в цифрах:

• Зафиксировано 327 598 028 попыток заражения компьютеров пользователей в различных странах мира — на 26,8% больше, чем в предыдущем квартале.
• Вектор атак злоумышленников меняется: на 13% уменьшилась доля атак, приходящихся на китайский пользователей.
• В интернете доминируют семейства зловредов, представляющие из себя html-код или скрипты, которые вставляются злоумышленниками в основном на легитимные сайты.
• Выявлено 119 674 973 вредоносных хостингов. По числу серверов со зловредами Китай уступил первенство США и России.
• Обнаружено на 6,9% уязвимостей больше, чем в предыдущем квартале. 6 из 10 самых распространенных уязвимостей обнаружены в продуктах Microsoft.
• Число эксплойтов увеличилось на 21,3%. Около половины всех эксплойтов эксплуатируют уязвимости в программах компании Adobe, что обусловлено популярностью и кроссплатформенностью ПО этого производителя.
• Практически любое устройство, которое синхронизируется с компьютером, используется злоумышленниками как переносчик вредоносных программ. Самым необычным обиталищем зловредов стала USB-зарядка для пальчиковых аккумуляторов от компании Energizer.

Самые значимые события первого квартала 2010 года так или иначе связанны с угрозами в интернете. По-прежнему очень популярны у злоумышленников drive-by загрузки. Ключевым звеном в таких атаках являются связки эксплойтов, использующих различные уязвимости в браузерах и плагинах к ним. Так например большой резонанс в прессе вызвала так называемая «операция Aurora» — атака хакеров, целью которой стали такие крупные корпорации, как Google и Adobe. Для проведения крупной таргетированной атаки хакеры использовали эксплойт, который продукты «Лаборатории Касперского» детектируют, как Exploit.JS.Aurora. Эксплойт использует уязвимость CVE-2010-0249, обнаруженную в нескольких версиях популярного браузера MS Internet Explorer. Атака проводилась с помощью таргетированной рассылки электронных писем со ссылкой на страницу с эксплойтом. При удачном для злоумышленников сценарии после захода на страницу на компьютер пользователя незаметно подгружалась основная вредоносная программа. Целью хакеров было получение конфиденциальных данных пользователей и корпораций, в том числе исходных кодов крупных проектов. Публикация информации об атаке побудила власти Германии, Франции и Австралии призвать своих граждан использовать альтернативные MS Internet Explorer браузеры, по крайней мере, до выхода патча, закрывающего уязвимость. О наличии уязвимости разработчикам Microsoft было известно с сентября 2009 года. Как известно, Microsoft ежемесячно выпускает патчи для своих продуктов, и день выхода уже давно окрестили «Patch Tuesday». Проблема в том, что между двумя такими выпусками хакеры могут использовать эксплойты к новым уязвимостям с почти 100% уверенностью, что до следующего «дня заплаток» на большей части компьютеров пользователей эксплойты будут работать без каких-либо проблем. Шумные последствия инцидента с эксплойтом Aurora заставили компанию Microsoft выпустить патч для уязвимости CVE-2010-0249 раньше запланированного срока. Это маленькая, но очень значимая победа экспертов по безопасности. В конце квартала Microsoft выпустила еще один экстренный (out-of-band) патч для Internet Explorer. Причиной выпуска стало использование уязвимостей в браузере в очередной атаке. Это говорит о том, что производители ПО стали более ответственно относиться к безопасности своих продуктов. Остается надеяться, что этот урок не будет забыт.

В свете текущих событий стоило ожидать улучшения политики по выпуску и автоматическому обновлению приложений компании Adobe. И действительно, 13 апреля Adobe активировала  новый сервис обновлений для Reader и Acrobat последних версий под Windows и Mac OS X. Это очень актуальное новшество: по данным нашей квартальной статистики, вирусописатели в первую очередь эксплуатируют уязвимости в программном обеспечении Adobe, а не Microsoft. И это происходит несмотря на то, что непропатченных продуктов Microsoft было обнаружено больше, чем уязвимых продуктов Adobe. То, что продукты Adobe стали мишенью #1 для вирусописателей, связано с популярностью и кроссплатформенностью ПО данного производителя. Самая яркая тенденция последнего времени, которую просто невозможно не заметить, — это обновление и усложнение уже существующих вредоносных программ. Устоявшиеся хакерские группировки совершенствуют свои творения. Об этом говорит и обновление самого популярного вируса Sality, и добавление нового функционала в троянца ZeuS, дающего тотальный контроль над зараженной машиной, и развитие псевдоантивирусов.

Лжеантивирусы, заполонившие англоязычный интеренет в прошлом году, продолжают эволюционировать. В отличие от других зловредов, пытающихся скрыть свою активность, лжеанитивирусы стараются привлечь внимание пользователя. При этом создатели фальшивок используют различные техники, чтобы ввести пользователей в заблуждение. Одной из таких техник стало копирование интерфейсов антивирусов известных производителей, в том числе Avira, AVG и Kaspersky. К сожалению, чем точнее сделана копия, тем больше шансов, что даже опытный пользователь попадется на удочку злоумышленников и купит подделку. До недавнего времени настоящие антивирусы от поддельных отличало наличие поддержки нескольких языков и техническая поддержка. Однако в первом квартале 2010 мы зарегистрировали несколько случаев появления «локализованных» псевдоантивирусов. Также стали все чаще появляется лже-антивирусы, якобы оказывающие техническую поддержку. Причина всех этих ухищрений кроется в том, что с фальшивыми антивирусами ведется серьезная борьба, в которой образование пользователей стоит на первом месте. Соответственно, злоумышленникам приходится придумывать все новые уловки, чтобы спровоцировать пользователей покупать фальшивки. В течение первого квартала 2010 года практически все значимые события использовались злоумышленниками, чтобы заманить на зараженные веб-страницы как можно больше потенциальных жертв. Причем о наличии какой-либо морали у этих людей говорить не приходится. «Ipad», «Аватар», «Землятресение на Гаити», «Теракты в Москве», — вот далеко неполный список горячих тем, которые эксплуатировали киберпреступники. Для распространения ссылок на свои поделки вирусописатели используют различные методы, в том числе создание фальшивых аккаунтов в популярных социальных сетях и постинг сообщений с них, рассылку спама, а также пойзонинг поисковых систем. Пойзонинг поисковых систем основан на технике раскрутки сайтов по заданным темам, также известной как Black SEO. В результате обмана поисковых систем пользователю в ответ на популярный поисковый запрос на первой странице выдаются ссылки, которые ведут на зараженные веб-страницы. В подавляющем большинстве случаев с этих страниц на компьютеры пользователей пытаются загрузиться фальшивые антивирусы. Очень хотелось бы, чтобы компании, имеющие поисковый бизнес, уделили этой проблеме больше внимания. В середине декабря 2009 года произошло ужесточение политики регистрации инетрент-адресов в китайской доменной зоне «cn». После введения регистратором «CNNIC» новых правил для регистрации домена требуется письменное заявление, а самое главное, заявитель обязан предъявить удостоверение личности и лицензию на ведение коммерческой деятельности. Уже зарегистрированные сайты подвергаются проверке, и если владелец не может предоставить необходимые данные, то сайт просто закрывается. Для облегчения проверок в доменной зоне «cn» запрещена регистрация через иностранные сервисы. Такие жесткие меры, как показывают итоги первого квартала 2010 года, дали положительный результат: произошло значительное уменьшение доли вредоносноного контента в этой зоне интернета, более подробно об этом мы расскажем в части «География угроз». В целом прошедший квартал был насыщен событиями, которые подчеркнули актуальность проблемы защиты от вредоносного кода, как для домашних пользователей, так и корпоративных. Показательно, что для взлома корпоративных систем в принципе используются те же самые техники и те же самые вредоносные коды, что и для взлома домашних компьютеров. Устоявшиеся группировки хакеров создают и совершенствуют универсальные вредоносные программы, которые можно использовать в различных целях, и ярким примером таких программ могут быть эволюционирующий троянец Zbot (ZeuS) и всегда развивающиеся exploit-паки. Такой универсальный код позволят хакерам использовать различные «серые» схемы зарабатывания денег, о чем говорят цифры квартальной статистики и увеличивающаяся доля потенциально нежелательного программного обеспечения.

Страны, в которых пользователи чаще всего подвергались атакам

Посмотрим, в каких странах пользователи чаще всего подвергались кибератакам. Данная статистика, как показывают ежеквартальные исследования, вполне стабильна, но и здесь не обошлось без перемен.

Распределение атак по странам Q1 2010 и Q4 2009

За первый квартал 2010 года нами было зафиксировано 327 598 028 попыток заражения компьютеров пользователей в различных странах мира, что на 26,8% больше, чем в последнем квартале 2009 года. Позиции стран в рейтинге изменились незначительно, но доля атак на китайских пользователей уменьшилась на 13%. Учитывая, что суммарное число атак при этом увеличилось более чем на четверть, это означает, что киберпреступники просто сменили мишени. В первую очередь под прицел киберзлоумышленников попали пользователи в странах с развитой или активно растущей экономикой. В Америке это, прежде всего США и Мексика, в Западной Европе — Германия, Франция, Италия, Испания и Соединенное Королевство, в Восточной Европе — Россия и Украина. Именно в таких странах сейчас существуют наиболее развитые системы интренет-банкинга и электронных денег. Следовательно, у киберпереступников, атакующих пользователей этих стран, значительно больше шансов с помощью персональных данных с зараженного компьютера украсть деньги жертвы. Четверть позиций рейтинга занимают азиатские страны, в которых активно развивается интренет. За этим развитием, однако, далеко не всегда поспевают законотворцы и правоохранительные органы, что в купе с ухудшившейся экономической ситуацией подхлестывает развитие киберкриминала в этих странах.

Вредоносные программы в интернете

Мы начнем наш анализ с десятки самых распространенных в интернете семейств вредоносных программ. Отметим, что в приведенной ниже таблице не учитываются результаты работы подсистемы web-антивируса, которая детектирует собственно вредоносные ссылки, а не контент, который по этим ссылкам находится.

Таблица 1. TOP 10 распространенных в интернете cемейств вредоносных программ. Первый квартал 2010

Львиную долю детектов составляют семейства зловредов, представляющие из себя html-коды или скрипты, которые вставляются злоумышленниками в основном на легитимные сайты. К ним относятся Iframer, Iframe, Redirector и большая часть зловредов, задетектированных эвристически как Generic. Основная идея — скрытно перенаправить пользователя на сайт злоумышленников, на котором находятся эксплойты. Часто для внедрения такого кода используются вредоносные программы. На третьем месте по распространенности мы видим семейство с интересным названием Hexzone. На самом деле ничего общего с шестнадцатеричной системой исчисления семейство не имеет, все куда более приземлено. Основным деструктивным функционалом вредоносных программ этого семейства является показ блока порнографического содержания в нижней части экрана браузера. Пользователю предлагается его отключить путем отправки SMS на короткий номер (для каждой страны свой). Аналогичным образом построена бизнес-схема семейства зловредов Popupper, которые представляют из себя HTML-документы, показывающие навязчивые сообщения с предложением отправить SMS на короткий номер и воспользоваться неким сервисом. Еще два семейства — Zwangi и Boran — объединяют представителей AdWare-программ. Такие программы дают киберпреступникам возможность «серого» заработка, ведь с точки зрения закона придраться к такого рода ПО очень сложно. Хотя деструктивная деятельность AdWare-программ обычно не является ярко выраженной (в основном это сбор данных о предпочтениях пользователей и показ рекламы), для своей защиты они подчас используют хакерские приемы. Например, Boran устанавливает драйвер, который по своим действиям очень напоминает руткит — он перехватывает функции ядра операционной системы и тем самым препятствует удалению основного компонента приложения.

ПРОДОЛЖЕНИЕ >>