Вторая категория — это страны Востока: Ирак, Судан, Оман, Саудовская Аравия и Кувейт. Максимальный риск заражения зафиксирован в Омане, где хотя бы одной атаке за квартал подвергался каждый второй пользователь.

По степени риска заражения компьютеров пользователей все страны можно разбить на несколько групп.

Риск заражения через интернет компьютеров пользователей (www.targetmap.com/viewer.aspx?reportId=9250)

По сравнению с первым кварталом 2011 года состав группы повышенного риска изменился — из нее вышел Казахстан (-1%) и вошли Судан (+4,5%) и Саудовская Аравия (+2,6%). Особо отметим, что к показателям группы повышенного риска, приблизились США с 40,2%. Это связано с увеличением количества фальшивых антивирусов, о которых мы рассказывали в первой части отчета. Увеличение общего числа детектируемых фальшивых антивирусов обусловлено в первую очередь ростом количества детектов именно в США. Киберпреступники в этой стране стараются активно заражать компьютеры с помощью ботов TDSS и Gbot. Сайты, с которых ведется распространение этих программ, в этом регионе находятся на втором и шестом местах по частоте попыток загрузки вредоносных программ. В группу риска во втором квартале 2011 года вошло на 8 стран больше, чем в первом. В группе самых безопасных при веб-серфинге стран стало на 5 стран меньше. В частности, Финляндия (22,1%), переместилась оттуда в группу риска. Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, в Японии (13%), на Тайване(13,7%), в Чехии (16,1%), Дании (16,2%), Люксембурге (16,9%), Словении (17,8%) и Словакии (18,3%).

Локальные угрозы

Все статистические данные в этой главе получены на основе работы on-access-scanner.

Во втором квартале 2011 года наши антивирусные решения успешно заблокировали 413 694 165 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано 462 754 разных вредоносных и потенциально нежелательных программ. В их число попадают, в частности, объекты, которые проникли на компьютеры не через Web, почту или сетевые порты — например, по локальной сети или через съемные накопители.

Как мы видим, уникальных объектов на три порядка меньше, чем попыток заражения. Это говорит о том, что разработка опасных вредоносных программ сосредоточена в руках небольшого круга лиц.

* Детектирующие вердикты модуля антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от числа всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первое место в рейтинге занимают различные вредоносные программы, обнаруженные с помощью «облачных» технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic. 10 программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей. В этом квартале мы увидели резкое увеличение заражений новым зловредом — Virus.Win32.Nimnul.a. Эта вредоносная программа распространяется двумя путями: с помощью заражения исполняемых файлов и через сменные носители информации с использованием функции автозапуска. Основной регион распространения — азиатские страны, такие как Индонезия (20,7%), Индия (20%), Вьетнам (16,6%), где операционные системы обновляются редко, и защитное ПО установлено далеко не на каждом компьютере. Основной нагрузкой зловреда является доставка на компьютер бэкдора Backdoor.Win32.IRCNite.yb, который подключается к удаленному серверу и включает компьютер-жертву в зомби-сеть.

В двадцатке присутствуют лишь два семейства инфицирующих зловредов: Sality и Nimnul. Разработка данного вида вредоносных программ требует серьезных временных затрат и отличных знаний работы ОС, формата файлов и т.д. При этом их распространение в большинстве случаев очень быстро привлекает к себе внимание антивирусных компаний. Использование инфекторов стало прерогативой лишь некоторых вирусописателей или преступных групп, и в ближайшем будущем количество инфицирующих зловредов может еще сократиться. Вероятнее всего, использование сложных инфекторов мы увидим в целевых атаках, где важно 100% поражение цели, а заказчики атак готовы потратиться на технологически сложные вредоносные программы.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Мы посчитали процент пользователей KSN, на компьютерах которых были заблокированы попытки локального заражения, для каждой страны с числом пользователей больше 10 000. Полученные цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира.

По сравнению с первым кварталом 2011 года в десятке стран, где пользовательские компьютеры подвергались наибольшему риску локального заражения, произошло одно интересное изменение: туда вошла Индия, где за прошедшие три месяца компьютер каждого второго пользователя хотя бы раз подвергался риску локального заражения. Привлекательность Индии для киберпреступников растет уже не первый год вместе с ростом числа компьютеров в этой стране. Этому способствует и общая невысокая компьютерная грамотность населения страны, и большое количество используемого пиратского ПО, которое не получает обновлений. Если говорить о характере зловредов, пытающихся проникнуть на компьютеры индийских пользователей, то большая их часть направлена на строительство ботнетов. Здесь мы видим множество самораспространяющихся зловредов, таких как Virus.Win32.Sality, Virus.Win32.Nimnul, IM-Worm.Win32.Sohanad. Также стоит отметить различные модификации autoran-червей и троянцев. Как известно, в первом квартале Microsoft выпустила патч, блокирующий автозапуск на сменных носителях. Но патч автоматически устанавливается только на обновляющихся системах, которых в Индии не так много. Очевидно, что для бот-мастеров Индия — это плацдарм из миллионов незащищенных необновляющихся машин, которые долгое время могут быть активны в зомби-сети.

В случае с локальными заражениями мы можем сгруппировать все страны по уровню зараженности:

Риск локального заражения компьютеров в разных странах (www.targetmap.com/viewer.aspx?reportId=9252)

В целом за квартал количество стран с высоким уровнем заражения уменьшилось на 12; стран со средним уровнем стало на 2 больше, а число стран с наименьшим уровнем заражения увеличилось на 10. В группу наименьшего уровня заражения перешли несколько европейских стран: Греция (19,9%), Испания (19,4%), Италия (19,3%), Португалия (18,6%), Словакия (18,2%), Польша (18,1%), Словения (17,2%) и Франция (14,7%). Количество попыток заражения в этих странах снижается. В первую очередь это связано с серьезным уменьшением числа инцидентов с autoran-червями вследствие обновления ОС Windows, которая распространена более всего. Заметим, что Словакия и Словения также попали в группу наиболее безопасных стран при серфинге в интернете.

В пятерку стран, самых безопасных по уровню локального заражения, вошли:

Уязвимости

Во втором квартале 2011 года на компьютерах пользователей было обнаружено 27 289 171 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали порядка 12 различных уязвимостей.

TOP 10 уязвимостей, обнаруженных на компьютерах пользователей, представлена в таблице ниже.