«Касперский» поделился вирусными итогами 2009 года

В конце января «Лаборатория Касперского» провела в Москве традиционную конференцию, на которой представила годовые аналитические отчеты о развитии компьютерных угроз и спама в 2009 году. Основными тенденциями прошлого года стало усложнение вирусных технологий на фоне относительной стабилизации количества нового вредоносного ПО, глобальные эпидемии, а также появление новых схем интернет-мошенничества.

Угрозы 2009 года

В 2009 году, по оценкам «Лаборатории», заметно уменьшился темп роста новых вредоносных программ. Среди причин подобной стабилизации эксперты выделяют возросший уровень конкуренции на этом рынке, общее снижение активности троянских программ (прежде всего, игровых), а также действия игроков антивирусной индустрии по созданию новых технологий, призванных улучшить качество защиты. К 2009 году стандартное антивирусное решение (сканер и монитор) стало неактуальным и было практически полностью вытеснено «комбайнами» — продуктами класса Internet Security, соединяющими в себе множество технологий многоуровневой защиты.

Помимо антивирусных вендоров, в 2009 году значительный вклад в борьбу с вирусописателями внесли правоохранительные органы, надзорные структуры и телекоммуникационные компании, в результате чего были закрыты UkrTeleGroup, RealHost и 3FN, активно потворствующие киберпреступникам.

За последние 3–4 года Китай стал ведущим поставщиком вредоносных программ. В 2009 году «Лабораторией Касперского» было зафиксировано более 73 млн. сетевых атак, более половины из которых — 52,7%  — были проведены с интернет-ресурсов, размещенных в Поднебесной. Однако за последний год процент атак, проведенных с китайских веб-ресурсов, уменьшился с 79% до 53%. Китайская киберпреступность оказалась способна производить такое количество вредоносных программ, что последние два года все без исключения антивирусные компании тратили большую часть своих усилий на противостояние этому потоку.

Первая пятерка стран, с веб-ресурсов которых производились атаки, не изменилась по сравнению с 2008 годом: на втором месте по-прежнему США, при этом доля зараженных серверов на территории этой страны значительно выросла — с 6,8%  до 19%. Россия, Германия и Голландия занимают 3-е,  4-е и 5-е места, соответственно, и их доли выросли незначительно.

В 2009 году изменил свое направление вектор атак: Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. А вот другие лидеры прошлого года — Египет, Турция, Вьетнам — стали заметно менее интересны киберпреступникам. Одновременно с этим значительно выросло число атак на граждан США, Германии, Великобритании и России.

За прошедший год технологии вирусописателей серьезно усложнились. Программы, оснащенные руткит-функционалом, не только получили широкое распространение, но и значительно продвинулись в своей эволюции. Среди них особенно выделяются такие угрозы, как Sinowal (буткит), TDSS и Clampi.

Весной 2009 года эксперты «Лаборатории» отметили очередную волну распространения Sinowal. Хорошо скрывающий свое присутствие в системе, не обнаруживаемый большинством современных антивирусов, буткит на тот момент представлял собой самую продвинутую вредоносную программу. Sinowal распространялся в основном через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО.

Другая вредоносная программа, TDSS, была реализацией сразу двух наиболее сложных технологий: она заражала системные драйверы Windows и создавала собственную виртуальную файловую систему, в которой прятала свой основной вредоносный код. TDSS — первая вредоносная программа, способная внедряться в систему на таком уровне. До нее таких вредоносных программ не было.

В 2009 году уровня глобальных эпидемий смогли достичь не толькоTDSS, Clampi и Sinowal, но и еще целый ряд опасных вредоносных программ. Главной же эпидемией года стал червь Kido (Conficker), поразивший миллионы компьютеров по всему миру.

Червь использовал несколько способов проникновения на компьютер жертвы: подбор паролей к сетевым ресурсам, распространение через флеш-накопители, использование уязвимости Windows MS08-067. Каждый зараженный компьютер становился частью зомби-сети. Борьба с созданным ботнетом осложнялась тем, что в Kido были реализованы самые современные и эффективные технологии вирусописателей. Kido противодействует обновлению программ защиты и отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний и т. д.

В ноябре количество зараженных Kido систем превысило 7 млн. Эпидемия Kido продолжалась на протяжении всего 2009 года.

Необходимо отметить, что для борьбы со столь распространенной угрозой была создана специальная группа Conficker Working Group, объединившая антивирусные компании, интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы. Это первый пример столь широкого международного сотрудничества, вышедшего за рамки обычных контактов между антивирусными экспертами, и он может послужить хорошей основой для постоянно действующей организации по борьбе с угрозами, терроризирующими весь мир.

Кроме того, в 2009 году примерно в 3 раза увеличилось число зафиксированных «Лабораторией» атак по технологии drive-by-download (при ее использовании заражение компьютера происходит незаметно для пользователя во время обычной работы в интернете). При этом речь идет о десятках миллионов атак.

Другой крупнейшей эпидемией в интернете, затронувшей десятки тысяч веб-ресурсов, стали несколько волн Gumblar-атак. Gumblar представляет собой полностью автоматизированную систему — фактически, мы имеем дело с новым поколением самостроящихся ботнетов.

Нельзя обойти вниманием и эпидемию вируса Virut. Особенностью Virus.Win32.Virut.ce является его мишень — веб-серверы, и способ распространения — через пиринговые сети вместе с зараженными генераторами серийных ключей и дистрибутивами популярных программ.

В 2009 году все более разнообразными становятся и мошеннические схемы, используемые в интернете. К традиционному и весьма распространенному фишингу (по итогам работы KSN было зафиксировано 14,9 млн. попыток доступа к фишинговым и вредоносным сайтам, которые были успешно заблокированы продуктами «Лаборатории Касперского») добавились различные сайты, предлагающие платный доступ к «услугам». Пальма первенства здесь принадлежит России. Именно российские мошенники поставили на поток создание сайтов с предложением «узнать местоположение человека через GSM», «прочитать приватную переписку в социальных сетях», «собрать информацию» и т. д.

Максимально число подобных сервисов достигало нескольких сотен. Обеспечением их работы занимались десятки «партнерских программ». Для привлечения доверчивых пользователей использовался как традиционный спам в электронной почте, так и спам в социальных сетях и сервисах мгновенного обмена сообщениями. Вероятность того, что пользователь социальной сети запустит предлагаемый ему «друзьями» файл или пройдет по присланной от имени «друга» ссылке примерно в 10 раз выше, чем если бы этот файл или ссылка пришли к нему по электронной почте.

В 2009 году у мошенников продолжала расти популярность псевдоантивирусов. Задача псевдоантивирусов — убедить пользователя в наличии на его компьютере угрозы (на самом деле несуществующей) и заставить его заплатить деньги за активацию «антивирусного продукта». Сегодня для распространения фальшивых антивирусов используются не только другие вредоносные программы (как, например, Kido), но и реклама в интернете.

По оценкам, представленным в ноябре 2009 года американским ФБР, на лжеантивирусах преступники в общей сложности заработали 150 млн долларов США. В 2009 году система IDS (Intrussion Detection System), входящая в состав Kaspersky Internet Security, отразила почти 220 млн. сетевых атак. Аналогичный показатель 2008 года составил чуть более 30 млн. инцидентов. Из общего числа обнаруженных и заблокированных попыток заражения компьютеров 32 млн. атак пришлись на долю червя Kido (Conficker). В Сети продолжает существовать и червь Helkern (Slammer). Несмотря на то, что ему исполняется уже 7 лет, он продолжает находиться в лидерах — на него пришлось 23 млн. заблокированных попыток заражения.

В целом, по итогам работы системы анализа уязвимостей, в 2009 году «Лабораторией» было обнаружено 404 различных уязвимости. При этом общее количество уязвимых файлов и приложений на компьютерах пользователей составило 461828538. Бреши в программных продуктах остаются наиболее серьезной проблемой безопасности. Они могут предоставить злоумышленникам возможность обойти имеющиеся средства защиты и атаковать компьютер.

Больше всего уязвимостей было обнаружено в решениях четырех производителей: Microsoft, Apple, Adobe и Sun. По числу файлов и приложений, обнаруженных на пользовательских компьютерах, самыми распространенными в 2009 году стали уязвимости в продукте компании Apple — QuickTime 7.x.

Мобильные ОС и Mac OS привлекают все больше внимания со стороны вирусописателей. В 2009 году на вирусные угрозы для Mac внимание обратила даже компания Apple, встроившая некое подобие антивирусного сканера в новую версию ОС. Кроме этого, в 2009 году произошли давно прогнозируемые события: для iPhone были обнаружены первые вредоносные программы (черви Ike), для Android была создана первая шпионская программа, а для Symbian-смартфонов были зафиксированы первые инциденты с подписанными вредоносными программами.

В 2009 году «Лаборатория Касперского» обнаружила 39 новых семейств и 257 новых модификаций вредоносных программ для мобильных устройств. Для сравнения: в 2008 году было обнаружено 30 новых семейств и 143 новые модификации.

Уникальным событием 2009 года стало обнаружение троянской программы Backdoor.Win32.Skimer, первой вредоносной программы, нацеленной на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат.

Спам в 2009 году

Средняя доля спама в почтовом трафике в 2009 году составила 85,2%, что на 3,1%  выше, чем в 2008 году. В течение года колебания среднемесячного процента спама не превышали 5%. В 2008 году разброс был существенно больше — в пределах 15%. Останется ли доля нежелательной почты на отметке 85% и в дальнейшем, покажет время. Стоит отметить, что вредоносные вложения в 2009 году содержались в 0,85%  электронных писем, что лишь на 0,04%  ниже среднего показателя предыдущего года.

Тематический состав спама сильно менялся. Вплоть до мая снижалась доля спама, рекламирующего товары и услуги малого и среднего бизнеса, а доля нежелательной почты, рекламирующей услуги самих спамеров, росла, достигнув 20%(!) всего спам-трафика в разгар экономического кризиса. Эти изменения отражали мировую финансовую ситуацию: потеряв часть заказов, спамеры активизировали рекламу своих услуг.

В целом, несмотря на кризис, спама в почте меньше не стало. За счет увеличения количества спамерской саморекламы, а также благодаря тому, что спамеры активно участвовали в так называемых партнерских программах, средняя за год доля спама оказалась даже несколько выше, чем в 2008 году.

По мере улучшения экономической ситуации количество спамерской саморекламы постепенно снижалось, в то время как доля заказного спама вновь начала увеличиваться. К осени оба показателя достигли докризисного уровня.

Процент фишинговых писем в почте в 2009 году был на удивление невысоким (в среднем 0,86%  почтового трафика). Очевидно, пользователи стали более внимательны и осторожны, и фишинговые проекты перестали приносить их авторам ощутимую прибыль. Наиболее часто фишеры атаковали платежную систему PayPal и интернет-аукцион e-Bay. Среди онлайн-геймеров не повезло пользователям World of Warcraft, самой популярной MMORPG — их игровые аккаунты атаковали гораздо чаще других.

Количество вредоносных программ в почте по сравнению с 2008 годом осталось на прежнем уровне, однако изменился их качественный состав. Осенью спамеры активно рассылали Zbot — троянскую программу-шпион, предназначенную для кражи конфиденциальной информации. Письма, содержавшие Zbot, были замаскированы под уведомления налоговых организаций. Второй хит сезона — троянцы, загружающие на компьютер поддельные антивирусы, которые затем якобы находят на компьютере пользователя множество вирусов и требуют заплатить за их удаление. В целом, в 2009 году вредоносные вложения содержались в 0,85%  электронных писем.

Более креативным стало SMS-мошенничество с использованием почты, когда с помощью ложных угроз или обещаний, содержащихся в тексте спам-писем, злоумышленники пытаются вынудить пользователей отправлять дорогие SMS-собщения на короткие премиум-номера. Этот бизнес приносит немалый доход изобретательным мошенникам в России и на Украине, где до сих пор отсутствуют нормативные акты, регулирующие процесс аренды четырехзначных номеров сотовой связи.

Чтобы убедить пользователя отправить дорогое SMS-сообщение, злоумышленники изобретали совершенно невероятные приманки — например, «звуковые наркотики» и определение местонахождения человека по номеру его мобильного телефона. В первом случае пользователю предлагались mp3-файлы, якобы способные вызвать у прослушивающего различные состояния, схожие с наркотическими. Во втором случае мошенники обещали узнать, где в данный момент находится человек, используя номер его мобильного телефона. За предоставление подобных «услуг» спамеры предлагали заплатить с помощью SMS-сообщения, стоимость которого оказывалась существенно выше обещанной, между тем как сами «услуги» не предоставлялись. В настоящее время миф о «звуковых наркотиках» уже развенчан. На сайтах же, обещавших слежку за абонентом сотовой связи, едва различимым шрифтом сообщалось, что это не более чем игра.

Социальные сети и блоги стали настоящим Клондайком для спамеров. Если оставить сообщество без премодерации или не отключать анонимные комментарии, то количество спама, получаемого через блоги и социальные сети, будет просто катастрофическим. Популярность подобных ресурсов оказывает влияние и на почтовый спам. Подделки под уведомления от социальных сетей, фишинговые атаки на их пользователей и рассылка вирусов в подложных письмах от имени популярных сервисов стали настоящим бедствием современного интернета. В этом году основными мишенями злоумышленников стали порталы Facebook и Twitter.

В 2009 году спамеры активно работали над качеством своей рекламы, стремясь к тому, чтобы их письма преодолевали спам-фильтры и при этом имели привлекательный вид. Для этого они использовали различные методы и трюки: запись рекламного предложения средствами html-форматирования, позаимствованную у западных коллег технологию «волнового» письма, фоновые картинки с изображением симпатичных девушек.

Главной новинкой в области спамерских трюков можно считать использование сервиса YouTube. В октябре был зафиксирован ряд рассылок, содержащих ссылки на видеоролики, выложенные на этом популярном ресурсе. А в конце года спамеры рассылали письма с mp3-вложениями (так, в одном из аудиофайлов приятный женский голос диктовал название сайта по продаже виагры, а в качестве шумового фона выступали аутентичные женские вздохи). Следует отметить, что для спам-фильтров подобные рассылки не составляют проблем.

Что касается географии, то больше всего спама было разослано из США (16%). Однако заметна миграция источников рассылки в азиатские и латиноамериканские страны. Это объясняется тем, что применение широкополосного интернета и количество компьютеров там стремительно растет, в то время как далеко не все пользователи в этих регионах осведомлены о правилах интернет-безопасности. Соответственно, их компьютеры легче заразить вредоносной программой и вовлечь в зомби-сеть. Из России, которая заняла второе место, было разослано 8,5%  всего мирового спама.

Прогнозы

Эксперты «Лаборатории Касперского» прогнозируют, что в 2010 году будет наблюдаться постепенное смещение вектора с веб-атак в сторону атак через файлообменные сети. Уже в 2009 году ряд массированных вирусных эпидемий поддерживался распространением вредоносных файлов через торренты. Таким образом распространялись не только такие заметные угрозы, как TDSS и Virut, но и первые бэкдоры для MacOS. В 2010 году в «Лаборатории» ожидают значительного увеличения подобных инцидентов в P2P-сетях.

При этом киберпреступники все активнее пытаются легализовать свой бизнес. Если сейчас борьба за трафик ботнетов идет в основном между однозначно криминальными сервисами, то в будущем на рынке ботнет-услуг ожидается появление серых схем. Так называемые «партнерские программы» предоставляют возможность владельцам ботнетов «монетизировать» их работу — даже без услуг явно криминального характера, таких как рассылка спама, DoS-атаки, распространение вирусов.

Основными причинами возникновения эпидемий, по мнению экспертов «Лаборатории», по-прежнему будут обнаруженные уязвимости, причем не только в программах сторонних для Microsoft производителей (Adobe, Apple), но и недавно вышедшей на рынок Windows 7. Надо отметить, что последнее время сторонние производители стали уделять гораздо больше внимания поискам ошибок в своем ПО. Если серьезных уязвимостей обнаружено не будет, 2010 год может стать одним из самых спокойных за последние годы.

Ситуация, аналогичная падению активности игровых троянцев, повторится на этот раз с поддельными антивирусами. Эти программы были причастны к ряду крупных эпидемий. В настоящий момент рынок фальшивых антивирусов перенасыщен. Пристальное внимание к деятельности подобных программ со стороны антивирусной индустрии и правоохранительных органов также усложняет их существование.

В области веб-сервисов темой года должен стать Google Wave и атаки через данный сервис. Несомненно, их развитие будет проходить по уже стандартной схеме: сначала спам, затем фишинг-атаки, потом использование уязвимостей и распространение вредоносных программ. Большой интерес представляет и выход сетевой ChromeOS, но в пока в «Лаборатории» не ждут значительного внимания со стороны киберпреступников к данной платформе.

Для iPhone и Android год ожидается достаточно сложным. Появление в 2009 году первых угроз для них свидетельствует о росте внимания киберпреступников к этим платформам. Причем, если для iPhone-пользователей группу риска составляют только пользователи взломанных устройств, то для Android такого ограничения нет — приложения могут устанавливаться из любых источников. Растущая популярность телефонов на базе этой ОС в Китае и слабая технология контроля публикуемых приложений повлечет за собой в 2010 году ряд заметных вирусных инцидентов.

А вот для спам-индустрии, считают в «Лаборатории Касперского», 2010 год будет более ровным и спокойным. Количество нежелательной почты в почтовом трафике останется примерно на том же уровне. Не исключено, что SMS-мошенничество пойдет на спад — особенно в том случае, если с ним начнут активно бороться мобильные операторы или будут предприняты соответствующие законодательные меры. Количество спама в социальных сетях продолжит расти, а спамеры будут совершенствовать старые и изобретать новые трюки.