Отчеты о вредоносном ПО

Развитие информационных угроз в третьем квартале 2012 года

Цифры квартала

  • По данным KSN, в третьем квартале 2012 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 347 231 728 вредоносных объектов
  • 28% атакованных мобильных устройств работают под ОС Android версии 2.3.6, выпущенной в сентябре 2011 года.
  • 56% отраженных в третьем квартале эксплойтов используют уязвимости в Java.
  • Зафиксировано распространение вредоносных программ более чем с 91,9 миллиона URL, что на 3% больше, чем во втором квартале 2012.

Обзор ситуации

Мобильные зловреды и операционные системы

Коллекция вредоносных новых dex-файлов за третий квартал 2012 года пополнилась более чем девятью тысячами файлов. Это на 5 тысяч меньше, чем в прошлом квартале, но на 3,5 тысячи больше, чем в первом квартале 2012 г.

Объясняется это тем, что во втором квартале наша коллекция вредоносных файлов пополнилась файлами, которые до этого в течение некоторого времени детектировались эвристическими методами. (Напомним, что одной эвристикой детектируется множество разных программ.) В третьем квартале ситуация была стандартной, и количество новых файлов в нашей коллекции соответствует наблюдаемой с начала года тенденции.

Развитие информационных угроз в третьем квартале 2012 года

Количество обнаруженных модификаций вредоносного ПО для Android OS

Интересно посмотреть, пользователи каких версий операционной системы Android чаще всего становятся мишенями злоумышленников.

Развитие информационных угроз в третьем квартале 2012 года

Распределение обнаруженных вредоносных программ по версиям OS Android. Третий квартал 2012

На первом месте версия Android 2.3.6 «Gingerbread», на пользователей которой пришлось 28% отраженных попыток установки вредоносных программ. Эта система не нова и была выпущена еще в сентябре 2011 года. Однако из-за сильной сегментации рынка Android-устройств эта версия и по сей день остается одной из наиболее популярных.

Чтобы ответить на вопрос, насколько велико соответствие между распределением версий Android OS, установленных на мобильных устройствах, и распределением версий ОС устройств, ставших целями атаки злоумышленников, необходимо сравнить наши данные с официальными цифрами по распределению версий Android OS с сайта developer.android.com. Ниже дано процентное соотношение версий ОС за последние две недели сентября:

Развитие информационных угроз в третьем квартале 2012 года

Источник: http://developer.android.com/about/dashboards/index.html

Сравним их с нашими данными за тот же период времени:

Развитие информационных угроз в третьем квартале 2012 года

Распределение вредоносных программ, обнаруженных за последние 14 дней сентября 2012 г., по версиям Android OS

Как мы видим, диаграммы значительно отличаются: в 48% случаев жертвами злоумышленников стали пользователи версии Gingerbread, которая установлена на 55% устройств, и в 43% — пользователи самой последней версии Android OS Ice Cream Sandwich, которая установлена на 23,7% устройств.

Очевидно, что устройства, на которых установлены более современные версии OC, больше подходят для активной работы в интернете. Увы, более активный веб-серфинг часто приводит пользователей на сайты с вредоносным контентом.

Для того чтобы понять, какие программы атакуют устройства пользователей, мы воспользуемся данными KSN для мобильных устройств.

Развитие информационных угроз в третьем квартале 2012 года

Распределение по поведениям обнаруженных вредоносных программ, нацеленных на Android OS. Третий квартал 2012* г.

Больше половины обнаруженных на смартфонах пользователей зловредов оказались SMS-троянцами — вредоносными программами, которые снимают деньги с мобильных счетов жертв, отправляя SMS на платные номера.

Развитие информационных угроз в третьем квартале 2012 года

Распределение по семействам обнаруженных вредоносных программ под Android OS. Третий квартал 2012 г.*

* Детектирующие вердикты модуля проверки файлов Kaspersky Mobile Security. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

Среди всех семейств мобильных зловредов наиболее распространённым стало OpFake (38,3% от всех обнаруженных программ под Android). Программы этого семейства маскируются под Opera Mini. На третьем месте — семейство FakeInst, зловреды которого маскируются под инсталляторы популярных программ (17%). Рассадником зловредов этих двух видов являются так называемые альтернативные магазины приложений, созданные киберпреступниками.

20%, пятая часть обнаруженных программ, — многофункциональные троянцы, большая часть которых относится к семейству Plangton. После установки троянцы собирают служебную информацию о телефоне, отправляют ее на сервер управления и ждут команды злоумышленников. В частности, зловреды этого семейства умеют незаметно изменять закладки и стартовую страницу.

5% — not-a-virus:RiskTool.AndroidOS.SMSreg, подписывающие пользователя на дорогостоящие сервисы. Программы этого семейства нацелены на пользователей таких стран, как США, Голландия, Великобритания и Малайзия. Более подробно об этих программах мы писали в нашем блоге.

4% — семейство Exploit.AndroidOS.Lotoor. Для получения контроля над телефоном злоумышленникам необходимо проделать jailbreak (обход защиты телефона с целью открытия полного доступа к файловой системе). Зловреды этого семейства используются, чтобы получить root-привилегии, которые дают практически неограниченные возможности для манипуляций над системой.

Столько же (4%) пришлось на различные рекламные программы, детектируемые как AdWare, среди которых самым популярным семейством является Hamob. Программы этого семейства показывают рекламу, встроенную в приложения.

Таким образом, в третьем квартале атакам злоумышленников чаще всего подвергались системы Android версий 2.3.6 «Gingerbread» и 4.0.4 «Ice Cream Sandwich». Злоумышленники достаточно успешно обходят, в первую очередь с помощью социальной инженерии, ограничения на установку ПО из не доверенных источников. В «дикой природе» наиболее распространены различные троянцы, тем или иным способом крадущие деньги с мобильного счета пользователя. Хотя очевидно, что их постепенно вытесняют более сложные многофункциональные троянцы.

Эксплойты: ошибки в Java используются более чем в половине атак

Проблема атак в интернете связана в первую очередь с различными эксплойтами, позволяющими злоумышленникам загружать вредоносные программы в ходе drive-by атаки без необходимости использования социальной инженерии. Залогом успешного применения эксплойтов является наличие уязвимостей в коде популярных приложений, установленных на компьютерах пользователей.

Посмотрим, на какие уязвимые приложения были нацелены эксплойты в третьем квартале. В этом квартале мы изменили методику и включили в статистику эксплойты, детектируемые различными эвристическими методами.

Развитие информационных угроз в третьем квартале 2012 года

Приложения, уязвимости в которых использовали веб-эксплойты. Третий квартал 2012 г.

Более чем в 50% атак были использованы бреши в программе Java. Различные версии этой виртуальной машины, по данным Oracle, установлены более чем на 1,1 миллиарда компьютеров. Важно учесть, что обновления этого ПО устанавливаются по запросу пользователя, а не автоматически, что увеличивает время жизни уязвимости. Плюс к этому эксплойты к java достаточно легко использовать под любой версией Windows, а при некоторых доработках злоумышленников, как это было в случае с Flashfake, эксплойт может стать кроссплатформенным. Этим и объясняется особый интерес киберпреступников к java-уязвимостям. Конечно, большая часть обнаружений приходится на различные наборы эксплойтов.

В третьем квартале было обнаружено несколько уязвимостей, которые быстро стали использоваться злоумышленниками. Найденная в июле CVE-2012-1723 представляет собой ошибку в компоненте HotSpot, эксплуатируя которую злоумышленники могут выполнить свой класс в обход песочницы виртуальной машины Java. Вторая уязвимость CVE-2012-4681 была обнаружена в конце августа. Эксплойты к этой уязвимости сначала использовались в целевых атаках, а затем достаточно быстро перекочевали и в популярные эксплойт-паки. Продукты «Лаборатории Касперского» успешно детектировали их с помощью технологии Advanced Exploit Protection. Более подробно об этом можно прочитать в нашем блоге.

На втором месте — атаки через Adobe Reader, которые составили четверть всех отраженных атак. Постепенно популярность эксплойтов к Adobe Reader уменьшается, что связано с достаточно простым механизмом их детектирования и автоматическими обновлениями, введёнными в последних версиях Reader.

3% атак пришлось на эксплойты к уязвимости в Windows Help and Support Center, а также на различные уязвимости в IE. В частности, в третьем квартале была обнаружена уязвимость CVE-2012-1876 в браузере Internet Explorer версий 6-9, который неправильно обрабатывал объекты в памяти, что давало возможность злоумышленнику обратиться к несуществующему объекту и приводило к переполнению кучи (heap-overflow). Интересно, что уязвимость была использована на соревновании Pwn2Own в рамках конференции CanSecWest 2012 еще в марте.

Мы советуем пользователям следить за обновлением установленных программ, использовать современные средства защиты от эксплойтов, а компаниям использовать технологии Patch Management.

Кибершпионаж: Gauss, Madi и другие

Третий квартал был богат на инциденты, связанные с кибершпионажем. Наиболее значимыми стали исследования вредоносных программ Madi, Gauss и Flame, главным регионом действий которых, согласно нашей статистике, являются страны Ближнего Востока.

Одна из кампаний по проникновению в компьютерные системы продолжалась почти год и была направлена преимущественно на пользователей в Иране, Израиле и Афганистане. Совместно с нашим партнером, израильской компанией Seculert, мы провели подробное расследование этой операции, дав ей название «Madi», исходя из того, какие строки и идентификаторы использовали киберпреступники в используемом зловреде. В ходе операции использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности.

В результате атак в системы устанавливались бэкдоры, написанные на Delphi. Так мог сделать или программист-любитель, или профессиональный разработчик, которому очень не хватало времени. Кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникация которых находилась под пристальным наблюдением в течение продолжительного времени.

Программа Gauss была обнаружена в ходе расследования, которое проводилось по инициативе Международного союза электросвязи (МСЭ), выдвинутой после обнаружения вредоносной программы Flame. По сути Gauss — это созданный государством «банковский» троянец. Помимо функции кражи разнообразных данных с зараженных Windows-компьютеров, он содержит некий вредоносный функционал, код которого зашифрован, а назначение пока не выяснено. Вредоносная программа активируется только в системах с определенной конфигурацией. Gauss базируется на платформе Flame и имеет некоторые общие функциональные элементы с Flame, такие как подпрограммы заражения USB-носителей.

Также нашим экспертам удалось получить новую информацию об управляющих серверах вредоносной программы Flame. Исследование, проведенное нами совместно с нашими партнерами — Symantec, ITU-IMPACT и CERT-Bund/BSI — позволило нам сделать ряд важных выводов. Во-первых, разработка кода командных серверов в рамках данной платформы началась еще в декабре 2006 года и, судя по комментариям в исходном коде, над проектом работало минимум четыре программиста. Код командного сервера поддерживает три протокола передачи данных. Что самое интересное, он обрабатывает запросы четырех разных вредоносных программ, обозначенных авторами как SP, SPE, FL и IP.

Из этих четырех вредоносных программ в данный момент известны две: Flame и SPE (miniFlame).

Исходя из полученных данных, мы можем сказать, что история с кибершпионажем должна получить продолжение в ближайшем будущем. Цель проводимой «Лабораторией Касперского» работы — уменьшение риска, который возник с появлением кибероружия.

Статистика

Ниже мы рассмотрим статистику, полученную в результате работы различных компонентов защиты от вредоносных программ. Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, и взломанные легитимные ресурсы, в том числе веб-ресурсы, контент которых создается пользователями (например, форумы).

Детектируемые объекты в интернете

В третьем квартале 2012 года было отражено 511 269 302 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 165 732 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 90,70%
2 Trojan.Script.Generic 2,30%
3 Trojan.Script.Iframer 1,60%
4 Trojan-Downloader.SWF.Voleydaytor.h 0,40%
5 Trojan.Win32.Generic 0,40%
6 Exploit.Script.Blocker 0,30%
7 AdWare.Win32.IBryte.x 0,20%
8 Trojan-Downloader.JS.Iframe.cyq 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.JS.Agent.gsv 0,20%
11 Trojan-Downloader.JS.JScript.bp 0,20%
12 Hoax.HTML.FraudLoad.i 0,20%
13 Trojan-Downloader.Script.Generic 0,10%
14 Trojan.HTML.Redirector.am 0,10%
15 Trojan-Downloader.Win32.Generic 0,10%
16 Trojan-Downloader.JS.Iframe.czo 0,10%
17 AdWare.Win32.ScreenSaver.e 0,10%
18 Backdoor.MSIL.Agent.gtx 0,10%
19 Trojan.JS.Popupper.aw 0,10%
20 Exploit.Java.CVE-2012-4681.gen 0,10%

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в этом рейтинге по-прежнему остается за вредоносным ссылками из списка запрещенных. По сравнению с предыдущим кварталом их доля выросла на 5%, в итоге на них приходится 90% всех срабатываний веб-антивируса. Заметим, что использование технологии моментальных апдейтов через «облако» позволило заблокировать 4% вредоносных ссылок. Это ссылки на те сайты, которые только что были взломаны или созданы злоумышленниками, и на них стали попадать пользователи. Если у пользователя не установлен антивирус, то при встрече с подобным сайтом его ждет drive-by атака.

Третье место занимает Trojan-Downloader.SWF.Voleydaytor.h, который обнаруживается на различных сайтах категории «18+». Под видом обновления программы просмотра видео на компьютеры пользователей доставляются различные вредоносные программы.

На седьмом месте рекламная программа AdWare.Win32.IBryte.x, которая распространяется как загрузчик популярных бесплатных программ. После запуска она загружает нужную пользователю бесплатную программу и заодно устанавливает рекламный модуль. С тем же успехом программу можно скачать с официального сайта и избежать установки рекламного модуля. Согласно результатам нашего небольшого исследования, с этой программой сталкиваются в основном пользователи Internet Explorer.

Интересным является Hoax.HTML.FraudLoad.i (12-е место). Это угроза, с которой сталкиваются в основном любители бесплатно скачать различные фильмы и программы. Так детектируются веб-страницы, на которых пользователи якобы могут скачать контент, но для этого им требуется отправить платное SMS-сообщение. Если пользователь отправляет сообщение, то вместо искомого файла он получает либо txt-файл c инструкцией по использованию поисковиков, либо зловред.

На последнем месте в TOP 20 — Exploit.Java.CVE-2012-4681.gen — эксплойт, обнаруженный в конце августа и использующий сразу две уязвимости в Java. Эксплойты к Java у злоумышленников особенно популярны, ведь устройств, на которых установлена эта виртуальная машина, больше трех миллиардов. Эксплойт интересен тем, что он использовался и в целевых атаках (APT), и в составе наборов эксплойтов для массового заражения.

12 позиций рейтинга занимают вредоносные программы и их компоненты, работающие на доставку троянцев на компьютер пользователя с помощью эксплойтов.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

86% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. Этот показатель увеличивается на 1% уже два квартала подряд.

Развитие информационных угроз в третьем квартале 2012 года

Распределение по странам веб-ресурсов, на которых размещены вредоносные программы, Третий квартал 2012 г.

В рейтинге стран по количеству вредоносных хостингов, сменился лидер: место США (20,3%) заняла Россия (23,2%). За прошедшие три месяца заметно выросла доля хостингов, расположенных на территории РФ (+8,6%), и одновременно снизилась доля хостингов в США (-9,7%), что и привело к такой перестановке. Также отмечен рост количества вредоносных хостингов в Голландии (+5,8%), которая, как и в прошлом квартале, занимает третье место. На веб-ресурсы, расположенные в первых трех странах, — России, США, Голландии — приходится 60% вредоносного контента. В отсутствии активных действий со стороны правоохранительных органов и хостеров такая ситуация может сохраниться еще несколько месяцев.

Процент вредоносных программ, распространяемых с веб-ресурсов страны, остался практически неизменным во всех остальных странах из TOP 10 за исключением Великобритании (-2,6%).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи в каждой стране сталкивались со срабатыванием веб-антивируса. Отметим, что этот показатель не зависит от количества пользователей Kaspersky Security Network в стране.

Развитие информационных угроз в третьем квартале 2012 года

20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**. Третий квартал 2012 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В прошлом квартале первая двадцатка полностью состояла из стран постсоветского пространства, Африки и Юго-Восточной Азии. Сейчас в нее попали две страны из Южной Европы: Италия (36,5%) и Испания (37,4%).

Все страны можно разбить на несколько групп.

  1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В третьем квартале в эту категорию стран с показателем 61,1% попал Таджикистан, который сместил Россию (58%) с позиции лидера рейтинга.
  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 10 стран из TOP 20, что на 8 меньше, чем в прошлом квартале. Кроме России (58%), в эту группу вошли, в частности, Казахстан (54,9%), Беларусь (49,6%) и Украина (46,1%)
  3. Группа риска. В эту группу с показателями 21-40% попали 99 стран, в том числе Индия (38,4%), Испания (37,4%), Италия (36,5%), Литва (33,5%), Китай (33,4%), Турция (33,3%), США (32,4%), Бразилия (32,9%), Англия (30,2%), Бельгия (28,3%) и Франция (28,2%).
  4. Группа самых безопасных при серфинге в интернете стран. В эту группу в третьем квартале 2012 года вошли 27 стран с показателями 10,6-21%.

Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, в Японии (13,6%), Дании (17,7%), на Тайване (15,4%), в Гонконге (19,3%), Люксембурге (19,7%), Словакии (20,7%) и Сингапуре (20,9%).

Развитие информационных угроз в третьем квартале 2012 года

Риск заражения через интернет компьютеров пользователей в разных странах. Третий квартал 2012 года

Отметим, что в группу наиболее безопасных при веб-серфинге стран входят страны Африки. Мы полагаем, что невысокий процент атакованных через интернет пользователей связан с тем, что интернет в этих странах еще слабо развит. Наши предположения подтверждает тот факт, что в случае с локальными заражениями ситуация в этих странах неблагополучна (см. ниже).

В среднем 36,7% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. Отметим, что средняя доля атакованных машин по сравнению с предыдущим кварталом уменьшилась на 3%.

Локальные угрозы

В этой главе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В третьем квартале 2012 года наши антивирусные решения успешно заблокировали 882 545 490 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей (on-access scanner) было заблокировано 328 804 уникальных модификаций вредоносных и потенциально нежелательных программ.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 Trojan.Win32.Generic 17,1%
2 DangerousObject.Multi.Generic 15,6%
3 Trojan.Win32.AutoRun.gen 14,5%
4 Trojan.Win32.Starter.yy 7,6%
5 Virus.Win32.Virut.ce 5,5%
6 Net-Worm.Win32.Kido.ih 4,8%
7 Virus.Win32.Sality.aa 3,9%
8 HiddenObject.Multi.Generic 3,9%
9 Virus.Win32.Generic 3,7%
10 Virus.Win32.Nimnul.a 3,2%
11 Trojan.WinLNK.Runner.bl 2,5%
12 Worm.Win32.AutoRun.hxw 1,8%
13 Virus.Win32.Sality.ag 1,5%
14 Trojan.Win32.Patched.dj 0,7%
15 Email-Worm.Win32.Runouce.b 0,5%
16 AdWare.Win32.BHO.awvu 0,4%
17 Trojan-Dropper.Script.Generic 0,4%
18 AdWare.Win32.GoonSearch.b 0,4%
19 Backdoor.Win64.Generic 0,3%
20 AdWare.Win32.RelevantKnowledge.a 0,3%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первую строчку рейтинга занимает вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ — Trojan.Win32.Generic (17,1%).

Вредоносные программы, обнаруженные с помощью «облачных» технологий (DangerousObject.Multi.Generic), поднялись на одну позицию вверх с показателем 15,6% и теперь занимают вторую строчку рейтинга. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

Шестнадцатое, восемнадцатое и двадцатое места заняли рекламные программы. Новичком третьего квартала стало семейство AdWare.Win32.RelevantKnowledge (0,3%). Программы этого семейства встраиваются в браузер и периодически создают окно опроса пользователей.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (32,5%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 3,9% меньше, чем в прошлом квартале.

Развитие информационных угроз в третьем квартале 2012 года

Уровень зараженности компьютеров** — TOP 20 стран. Третий квартал 2012 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Как и в прошлом квартале, первая двадцатка полностью состоит из стран Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — уменьшилась на 7,3% и составила 90,9%.

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): данная группа уменьшилась на 9 стран и сейчас состоит из 11 стран из азиатского региона (Индия, Вьетнам, Непал и др.), Ближнего Востока (Афганистан) и Африки (Судан, Мали, Танзания и др.).
  2. Высокий уровень заражения (41-60%): 39 стран мира, в том числе Индонезия (53,5%), Египет (46%), Таиланд (42,3%), Китай (41,4%) и Филиппины (44,3%).
  3. Средний уровень заражения (21-40%): 56 стран, в том числе Турция, Мексика, Израиль, Португалия, Италия, Россия, Испания.
  4. Наименьший уровень заражения: эта группа увеличилась на 8 стран и теперь в нее входит 31 страна, среди которых США, Австралия, Канада, Новая Зеландия, Пуэрто-Рико, 19 европейских стран (в том числе Норвегия, Эстония, Франция) и две азиатских страны: Япония и Гонконг.

Развитие информационных угроз в третьем квартале 2012 года

Риск локального заражения компьютеров в разных странах. Третий квартал 2012 г.

В десятку стран, самых безопасных по уровню локального заражения, попали:

Место Страна % уникальных пользователей
1 Дания 10,5
2 Япония 10,6
3 Люксембург 13,8
4 Швейцария 14,3
5 Швеция 14,7
6 Германия 15
7 Финляндия 15,1
8 Голландия 15,1
9 Чехия 15,2
10 Ирландия 15,5

В этом списке появилась новая страна — Ирландия, которая заняла 10 строчку с 15,5% компьютеров, на которых были заблокированы вредоносные программы на различных носителях информации.

Уязвимости

В третьем квартале 2012 года на компьютерах пользователей KSN было обнаружено 30 749 066 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее часто используемых уязвимостей представлены в таблице ниже.

Secunia ID уникальный идентификатор уязвимости Название и ссылка на описание уязвимости Возможности, которые дает использование уязвимости злоумышлен-никам Процент пользователей, у которых была обнаружена уязвимость* Дата публикации Уровень опасности уязвимости
1 SA 49472 Oracle Java Multiple Vulnerabilities DoS-атака
Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Cross-Site Scripting
Получение доступа к конфиденциальным данным
Манипулирование данными
35,00% 20.08.2012 Highly Critical
2 SA 50133 Oracle Java Three Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 21,70% 31.08.2012 Extremely Critical
3 SA 50354 Adobe Flash Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователяПолучение доступа к конфиденциальным данным 19,00% 25.09.2012 Highly Critical
4 SA 49388 Adobe Flash Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователяОбход системы защиты 18,80% 18.06.2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 14,70% 11.01.2012 Extremely Critical
6 SA 47447 Apple QuickTime Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 13,80% 23.08.2012 Highly Critical
7 SA 49489 Apple iTunes Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,70% 10.07.2012 Highly Critical
8 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 10,90% 03.08.2012 Highly Critical
9 SA
50283
Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 10,80% 14.08.2012 Highly Critical
10 SA
41917
Adobe Flash Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователяОбход системы защитыПолучение доступа к конфиденциальным данным 9,70% 09.11.2010 Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Первые две строчки заняли уязвимости в продукте Java от компании Oracle. Они были обнаружены на 35% и 21,7% уязвимых компьютеров соответственно.

Пять позиций рейтинга занимают продукты компании Adobe: проигрыватели Flash Reader и Shockwave и популярное приложение для чтения pdf-документов Reader.

Также в рейтинг вошли две программы производства Apple — QuickTime player и iTunes и популярный проигрыватель медиа-файлов Winamp производства Nullsoft.

Развитие информационных угроз в третьем квартале 2012 года

Производители продуктов с уязвимостями из TOP 10.
Третий квартал 2012 г.

Все уязвимости из TOP10 негативно влияют на безопасность компьютера: они дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Как и во втором квартале, три уязвимости предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. Обе уязвимости в Flash Player позволяют обойти встроенные в приложение механизмы защиты. В рейтинг также попали уязвимости, которые дают возможность манипулирования данными и проведения DDoS- и XSS-атак.

Развитие информационных угроз в третьем квартале 2012 года

Распределение уязвимостей из TOP 10 по типу воздействия на систему. Третий квартал 2012 г.

Заметим, что из списка продуктов с уязвимостями из TOP 10 исчезли продукты компании Microsoft. Это связано с тем, что механизм автообновлений в последних версиях ОС Windows хорошо отлажен.

Развитие информационных угроз в третьем квартале 2012 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике