Kaspersky Security Bulletin

Kaspersky Security Bulletin 2006. Развитие вредоносных программ

В данном отчете отражены самые значительные события прошедшего года, рассмотрены тенденции развития криминального рынка программного обеспечения, выполнен анализ сложившейся ситуации. Отчет содержит большое количество статистической информации и фактов.

В первую очередь он предназначен для профессионалов в области компьютерной безопасности, интересующихся вредоносными программами, но также может быть полезен всем пользователям, которые интересуются проблемами вирусологии.

  1. Развитие вредоносных программ
  2. Вредоносные программы для Unix-подобных систем
  3. Вредоносные программы для мобильных устройств
  4. Интернет-атаки
  5. Спам в 2006 году

2006 год в целом продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы, — преобладание троянских программ над червями и увеличение в новых зловредах доли программ, ориентированных на нанесение финансового ущерба пользователям.

Рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41%.

Наиболее интересными тенденциями 2006 года был стремительный рост числа троянских программ-шпионов, ориентированных на кражу данных пользователей онлайн-игр, и дальнейшее развитие троянцев-шифровальщиков, в которых начали применяться серьезные криптографические алгоритмы для шифрования данных. Также стоит отметить повышенное внимание вирусописателей к Microsoft Office: в нем было обнаружено большое число новых уязвимостей, а далее появились вредоносные программы, использующие данные уязвимости.

Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS, троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета. 2006 год явил миру ряд интересных, как теоретических, так и практических разработок в области руткитов, а также в области средств борьбы с ними. Чего стоят только концепция руткита SubVirt, созданного на средства Microsoft, или BluePill от Джоанны Рутковски.

Не менее интересно возвращение вирусописателей к «истокам» и очередной виток развития полиморфных технологий, причем не только в файловых, но теперь и в скрипт-вирусах.

Авторы вредоносных программ все активней использовали нестандартные пути для проникновения в компьютеры своих жертв: системы мгновенного обмена сообщениями (ICQ, AOL, MSN) стали одним из наиболее опасных приложений при работе в Интернете. Конечно, этот путь напрямую был связан и с большим количеством уязвимостей в популярных браузерах, в первую очередь в Internet Explorer.

В целом год оказался достаточно интересным с технологической точки зрения и, к счастью, прошел без единой глобальной эпидемии, сравнимой по уровню хотя бы с некоторыми эпидемиями 2005 года (Mytob). С другой стороны, на смену глобальным эпидемиям окончательно пришли локальные, «организованные» по географическому признаку (т.е. охватывающие отдельные регионы, например Китай, Россию и т.д.) или имеющие крайне малый период активности.

Обо всем этом и еще о многом другом мы писали на протяжении 2006 года в наших квартальных отчетах, поэтому в этой статье рассмотрим более подробно, как все эти события выглядели с точки зрения статистики.

Крупнейшие вирусные эпидемии года

В 2006 году было зафиксировано 7 крупных вирусных эпидемий. Это число вдвое меньше показателя прошлого года (14 эпидемий).

Эпидемии 2006 года можно разделить на четыре группы. Это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика Gpcode.

В конце января 2006 года была отмечена массовая рассылка нового варианта почтового червя Nyxem. Особый интерес вызывало то, что червь имел в себе функцию обращения с зараженных машин на определенный сайт, где был установлен счетчик посещений. Антивирусные компании за считанные дни зафиксировали сотни тысяч обращений к данному сайту, что свидетельствовало о действительно крупной эпидемии. Дополнительный анализ показал, что большинство зараженных компьютеров находятся в Индии и в странах Южной Америки (в первую очередь в Перу).

Червь обладал вредоносной функцией — удаление всех пользовательских файлов, документов и архивов при наступлении 3-го числа каждого месяца. Учитывая то, что Nyxem.e к моменту наступления 3 февраля 2006 года мог поразить более миллиона компьютеров, средства массовой информации выступили со множественными публикациями по данному поводу с целью информирования пользователей. Возможно, именно благодаря этому удалось избежать глобального удаления пользовательских данных — 3 февраля не было отмечено значительного числа обращений от пользователей по данному поводу.

Однако, сам Nyxem.e никуда не исчез и продолжал на протяжении всего 2006 года присутствовать в почтовом трафике, причем с весьма высокими показателями. Второй пик его активности был отмечен в августе-сентябре. Все это позволило ему занять итоговое пятое место среди самых распространенных вредоносных программ в почтовом трафике в 2006 году.

Январь 2006 года, кроме Nyxem.e, вошел в историю еще и появлением первой троянской программы, которая использовала «серьезный» криптографический алгоритм для шифрования пользовательских данных. Gpcode.ac использовал алгоритм RSA с длиной ключа 56 бит. Данная вредоносная программа шифрует пользовательские файлы, что дает возможность создавшему ее злоумышленнику вымогать у пострадавших денежные средства за расшифровку данных.

Вредоносная программа была широко распространена по российскому сегменту сети Интернет с помощью спам-рассылки. Несмотря на наши многочисленные предупреждения не запускать вложения от неизвестных отправителей, пострадало большое количество пользователей. «Лаборатория Касперского» оперативно выпустила процедуры расшифровки пользовательских файлов.

В начале июня 2006 года были последовательно распространены три варианта Gpcode, причем каждый раз для шифрования использовался гораздо более длинный ключ, что значительно осложняло процесс его подбора экспертами антивирусных компаний. В Gpcode.ae длина ключа составляла 260 бит, в Gpcode.af — 330. Задача была достаточно сложной. Расшифровка различных ключей, используемых в модификациях Gpcode.af (330 бит), потребовала применения новейших технологий и 10 часов напряженной работы экспертов «Лаборатории Касперского». Однако вскоре появился новый вариант Gpcode — ag — с длиной ключа в 660 бит. Впрочем, и эта задача была решена в кратчайшие сроки. С того момента новых вариантов троянца GpCode не появлялось.

С 2004 года мы наблюдаем существование опасного семейства почтовых червей Bagle. За это время они прошли путь от простого червя до многокомпонентной вредоносной программы, обладающей функциями прокси-сервера, загрузчика, шпиона и разнообразными способами своего распространения. 2005 год стал пиком активности Bagle. В 2006 году авторы червя значительно снизили свою активность, что, однако, не помешало им дважды в течение года устроить довольно серьезные вирусные эпидемии — в феврале и июне. Неизменно после каждой такой эпидемии отмечалось значительное увеличение спама в почтовом трафике, что связано с тем, что зараженные Bagle компьютеры использовались как троянские прокси-серверы.

Очень похожую тактику распространения (массированные кратковременные локальные рассылки) затем использовали неизвестные авторы червя Warezov. По своему функционалу он очень похож на Bagle и также ориентирован на последующее использование зараженных систем для рассылки спама. Начиная с сентября и до конца всего 2006 года было зафиксировано более 300 вариантов данного червя, причем в отдельные дни мы сталкивались более чем с 20 новыми модификациями, каждая из которых стремительно распространялась в электронной почте. Несмотря на то, что из-за своего многообразия ни одному из вариантов Warezov не удалось попасть в нашу итоговую десятку самых распространенных вирусов в электронной почте, в действительности они продолжают оставаться одной из самых быстро развивающихся и опасных вредоносных программ в сети Интернет.

Место Название Перемещение за год
1 Net-Worm.Win32.Mytob.c 0
2 Email-Worm.Win32.LovGate.w +4
3 Email-Worm.Win32.NetSky.b +2
4 Email-Worm.Win32.NetSky.t New
5 Email-Worm.Win32.Nyxem.e New
6 Email-Worm.Win32.NetSky.q -4
7 Net-Worm.Win32.Mytob.u +2
8 Net-Worm.Win32.Mytob.t +7
9 Net-Worm.Win32.Mytob.q -1
10 Email-Worm.Win32.Scano.gen New

Десятка самых распространенных вредоносных программ в почтовом трафике в 2006 г.

Типы вредоносных программ в 2006 году

Согласно классификации «Лаборатории Касперского», существует три класса вредоносных программ:

  • TrojWare: различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
  • VirWare: саморазмножающиеся вредоносные программы (вирусы и черви);
  • Other MalWare: программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.

Среднемесячное количество новых вредоносных программ.

Процентное соотношение новых семейств и вариантов вредоносных программ выглядит следующим образом:


Распределение вредоносных программ по классам на конец 2006 года.
Класс Процент Изменения за год
TrojWare 91,79% +2,79%
VirWare 4,70% -1,3%
Other MalWare 3,51% -1,49%

Изменение доли классов вредоносных программ за год.

Можно констатировать все большее увеличение доли разнообразных троянских программ всех видов и поведений, которое отмечается нами на протяжении последних лет. Рост в 2,79% по сравнению с 2005 годом значительно меньше аналогичного показателя (8,76%) прошлого года. Относительная простота создания вредоносных программ данного класса (по сравнению с червями и вирусами) и возможность с их помощью красть данные, создавать ботнеты и производить спам-рассылки по-прежнему остаются основными причинами роста числа троянцев в интернете. Подтверждением служит то, что доля троянских программ по отношению ко всем новым вредоносным программам превысила 90%.

Число червей и вирусов (VirWare) уменьшилось не столь значительно, как в 2005 году (-6,53%), однако это легко объяснимо уже достигнутыми крайне малыми их показателями. В ближайшем будущем их количество вряд ли будет продолжать снижаться и скорее всего сейчас ими достигнута определенная «точка равновесия». Черви и вирусы не исчезнут окончательно со сцены и, скорее всего, будут переживать определенный рост своей «популярности» в 2007 году, что во многом будет зависеть от того, будут ли обнаружены новые критические уязвимости в ОС Windows в целом и в Vista в частности.

Что же касается вредоносных программ, которые мы относим к Other MalWare, то этот самый малочисленный класс вредоносных программ представлен множеством различных поведений, наибольший интерес из которых представляют Exploits. Самым значимым событием 2006 года в данном классе является появление большого числа эксплойтов для MS Office. В 2007 году мы прогнозируем рост числа подобных угроз. Опять же, во многом он может быть обусловлен ситуацией с Windows Vista и новой версией офисного пакета MS Office 2007.

Рассмотрим подробнее изменения, произошедшие в каждом из классов.

Троянские программы

Если количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых троянских программ представить в виде графика, то он примет следующий вид:


Количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых TrojWare-программ.

Даже беглый взгляд на график показывает продолжающийся стремительный рост популярности троянских программ. Фактически он становится все более и более угрожающим, поскольку подавляющее число их относится к троянцам, ориентированным на нанесение финансового ущерба пользователям.

Достигнутые троянцами показатели уже сейчас настолько высоки, что даже формальный рост числа новых троянцев на 46% по сравнению с 124% в 2005 году отнюдь не свидетельствует о снижении активности киберпреступников. Ежемесячно счет новым троянцам идет на тысячи, при все увеличивающемся разнообразии их поведений.

Распределение поведений троянцев можно представить в виде круговой диаграммы, приведенной на рис.:


TrojWare: процентное соотношение поведений внутри класса.

Чтобы лучше понять происходившие изменения в данном классе троянских программ, обратимся к цифрам:

Поведение Изменение за год
Backdoor +29%
Trojan +11%
Trojan-Clicker +3%
Trojan-Downloader +93%
Trojan-Dropper -15%
Trojan-Proxy +58%
Trojan-PSW +125%
Trojan-Spy +27%
TrojWare +46%

Изменение количества новых вредоносных программ класса TrojWare за год.

Фактически единственным поведением троянцев, где число новых вредоносных программ уменьшилось по сравнению с прошлым годом, стали Trojan-Dropper. Это неудивительно, если учесть что в 2005 году здесь был зафиксирован рост в 212%, один из наиболее значительных среди всех зловредов. Поддерживать подобные темпы роста довольно сложно, так что даже 15%-ный спад не свидельствует о серьезном уменьшении количества этих угроз.

Лидерами 2006 года оказались Trojan-Downloader и Trojan-PSW: их численность увеличилась на 93% и 125% соответственно.

Для Trojan-Downloader подобные показатели не редкость (в 2005 году его рост превысил 270%). Это самое массовое поведение, интерес к которому со стороны злоумышленников обусловлен тем, что Trojan-Downloader является универсальным способом для доставки вредоносного кода на компьютеры пользователей. Trojan-Downloader способен загружать в систему любые другие вредоносные программы, что предоставляет автору такого троянца широкие возможности по дальнейшему использованию зараженного компьютера.

Поведение Trojan-PSW стало единственным из троянцев, которому удалось даже превысить свои результаты 2005 года: +125% против +122% в прошлом году. Подобные данные обусловлены тем, что большинство Trojan-PSW являются так называемыми «игровыми троянцами» — они ориентированы на кражу учетных данных пользователей различных онлайн-игр. Онлайн-игры переживают сейчас бум своей популярности: в такие онлайн-миры, как World of Warcraft, Lineage или Legend of Mir играют миллионы людей по всему миру, в особенности в странах Азии. Зачастую стоимость игровых персонажей или различных предметов в этих играх достигает десятков тысяч долларов. Это не может не привлекать внимания киберпреступников. Они крадут аккаунты доступа и используют украденные виртуальные вещи для продажи на интернет-аукционах.

Игровые троянцы стали одной из ключевых проблем 2006 года, и тенденция их развития показывает, что в ближайшее время они будут оставаться одним из наиболее быстро развивающихся поведений вредоносных программ. В 2007 году ожидается появление нескольких новых онлайн-игр, что, безусловно, привлечет миллионы новых виртуальных геймеров, а вслед за ними и киберпреступников.

Кроме двух названных поведений, на фоне общего снижения темпов роста новых троянских программ привлекают внимание и Trojan-Proxy. В 2005 году их число выросло на 68%, а в 2006 году — на 58%. Стабильный интерес к ним объясняется тем, что данный вид троянцев используется для последующей рассылки спама через зараженные компьютеры. К сожалению, несмотря на активную борьбу со спамом, как на законодательном, так и на технологическом уровне, его количество от года к году все более увеличивается, и на конец 2006 года доля спама составляла около 80% от общего почтового трафика. Как нам кажется, существует четкая корреляция между количеством новых троянцев-прокси и темпами роста спама. И если в 2007 году удастся сбить темпы роста этого троянского вида, то как следствие это должно отразиться и на количестве спама в Интернете.

Стоит отметить и такой класс троянских программ, как руткиты. Они не вошли отдельным показателем в общую таблицу по поведениям троянцев, поскольку их число пока еще уступает даже Trojan-Clicker, однако зачастую они являются прикрытием для разнообразных троянских программ, и один и тот же руткит может использоваться разными злоумышленниками. В 2005 году (когда мы начали выделять руткиты в отдельное поведение) они показали беспрецедентный рост в 413%. В тот момент руткиты были одной из самых горячих тем антивирусной индустрии, и вирусописатели вели активные разработки в этой области. После столь стремительного взлета можно было ожидать некоторое падение темпов их роста, однако и в 2006 году они остались на высоком уровне — +74%. Это свидетельствует о том, что проблема руткитов остается весьма важной, и одновременно мы с интересом ждем, как на нее повлияет распространение Windows Vista, где, по уверениям разработчиков, руткитам не оставлено права на жизнь.

В число троянцев, обеспечивших 27%-ный рост класса Trojan-Spy, значительной частью входят так называемые Bankers. Это троянцы, ориентированные на кражу данных доступа к различным онлайновым платежным системам, интернет-банкингу и данных кредитных карт. Наверное, это наиболее явно выраженный вид киберпреступного бизнеса. В 2006 году он продолжил свое развитие, показав фактическое удвоение числа новых «банкеров»: +97% по сравнению с 2005 годом. Темпам роста таких троянцев не помешали ни принимаемые банками меры по ограждению пользователей от этой угрозы — с одной стороны, ни значительный рост фишинг-атак, нацеленных на кражу тех же данных, — с другой. Доступ к своему счету, возможность управления им через Интернет и использование Интернета в качестве места совершения покупок, привлекают все больше пользователей, а это значит, что и в 2007 году значительная часть троянских программ будет нацелена на кражу конфиденциальных данных.

Черви и вирусы

Представим в виде графика количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых VirWare-программ. В этом случае график примет следующий вид:


Количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых VirWare-программ.

Из приведенного графика видно, что период стагнации данного класса, наблюдавшийся в течение последних двух лет (2004-2005 гг.), в 2006 году сменился определенным ростом, наиболее выраженным во втором полугодии. Это объясняется тем, что именно со второй половины года вирусописателями стала активно применяться тактика организации большого числа кратковременных вирусных эпидемий. Наиболее ярко выраженное использование подобной технологии было продемонстрировано авторами многочисленного семейства червей Warezov. В отдельные дни нами фиксировалось более двух десятков новых вариантов данного червя, отличающихся друг от друга незначительными участками кода и рассылаемых по географическому признаку в том числе (одни из червей рассылались по России, другие по Германии и т.д.). Появление множества вариантов в течение короткого периода времени привело к тому, что буквально за пару месяцев Warezov стал самым быстрорастущим семейством среди всех вредоносных программ 2006 года!

Кроме Warezov, наибольшее влияние на VirWare оказал азиатский вирус-червь Viking, весьма активно распространяющийся, например, в Китае, и также отличающийся большой многовариантностью. Это привело к тому, что по итогам 2006 года класс VirWare продемонстрировал 8%-ный рост числа новых программ по сравнению с 2005 годом. Напомним, что в 2005 году для данных вредоносных программ было отмечено уменьшение на 2%.

В целом же надо отметить, что, как и в 2005 году, относительная стагнация по классу в целом сохранялась лишь благодаря росту по отдельным поведениям червей, в то время как по остальным наблюдался явный спад, и 8%-ный рост был достигнут за счет двух поведений: Email-Worm и Worm.

Распределение VirWare-поведений можно представить в виде круговой диаграммы:


VirWare: процентное соотношение поведений внутри класса.

Поведения Email-Worm и Worm и в 2006 году оставались самыми стабильными среди вирусных программ (изменение доли внутри класса составило +2 и -3 процента соответственно). Можно с уверенностью предполагать, что и в наступающем году они останутся стандартными «локомотивами» всего этого вида вредоносных программ.

Поведение Изменение за год
Email-Worm +43%
IM-Worm -45%
IRC-Worm -63%
Net-Worm -55%
P2P-Worm -5%
Worm +221%
Virus -29%
VirWare +8%

Изменение количества новых вредоносных программ класса VirWare за год.

Как мы уже отметили выше, основной рост числа вредоносных программ данного класса в целом, был достигнут за счет Email-Worm.Win32.Warezov и Worm.Win32.Viking.

Стоит отметить значительное уменьшение количества новых сетевых червей (Net-Worm). Этот наиболее опасный и быстро распространяющийся тип червей в прошлые годы переживал всплеск своей активности. Достаточно вспомнить глобальные эпидемии таких представителей данного поведения, как Lovesan (2003 г.), Sasser (2004 г.), Mytob (2005 г.). В 2005 году это поведение показало рост в 43%. К счастью, в 2006 году ситуацию удалось переломить (-55% по отношению к 2005 г.). В первую очередь благодаря тому, что в системных приложениях Windows не было обнаружено большого количества критических уязвимостей, старые уязвимости большинством пользователей были закрыты соответствующими патчами от Microsoft, а межсетевые экраны (файерволы) стали такой же нормой защиты, как и антивирусные программы. Не меньше и заслуга крупных интернет-провайдеров, реализовавших на своих шлюзах разнообразные системы фильтрации трафика и «железные» антивирусы, позволяющие пресечь эпидемию еще на подступах к конечному пользователю.

Скорее всего, тенденция уменьшения числа программ Net-Worm будет продолжена и в 2007 году, а само существование поведения Net-Worm будет определяться исключительно возможностью использования данного способа распространения червей в сочетании с другими способами (электронная почта, сетевые ресурсы, черви для инстант-мессенджеров).

Кстати, IM-червям так и не удалось завоевать сколько-нибудь заметных позиций на вирусной сцене. В 2005 году вирусописатели стали уделять определенное внимание этому поведению, хотя впервые такие черви появились еще в 2001 году. К концу 2005 года количество новых экземпляров IM-Worm отмечалось уже на уровне 32 в месяц. В 2006 году сначала был остановлен их рост, а затем их число и вовсе стало стремительно уменьшаться. И опять-таки, налицо успешно принятые меры противодействия таким червям со стороны владельцев IM-сервисов, AOL и MSN. Они внедрили ряд фильтров и ограничений в своих программах, что значительно затруднило авторам IM-червей реализацию этого способа распространения вредоносных программ. Результат — 45%-ное уменьшение числа новых IM-червей с явной тенденцией к почти полному исчезновению в 2007 году.

Традиционные файловые вирусы продолжают снижать количественные показатели, однако это не свидетельствует о потере интереса вирусописателей к технологии заражения файлов. Напротив, данный метод все чаще и чаще берется ими на вооружение, и мы наблюдаем его своеобразное второе рождение. Однако он используется сейчас не сам по себе, а в сочетании с другими способами распространения, примером чему является Worm.Win32.Viking, обладающий возможностью заражения файлов. Кроме того, вирусы становятся все более и более технологически сложными, в них чаще используются различные методы полиморфизма и мутации кода, что всегда создавало головную боль антивирусным компаниям. В целом же наблюдается замедление падения числа вирусов — всего лишь на 29% в 2006 году (ср. с -45% в 2005 году и -54% в 2004 году).

Прочие поведения червей и вирусов не представляют большого интереса из-за своей малой распространенности и постоянно уменьшающейся их доли в общем числе VirWare.

Другие вредоносные программы

Данный класс является наименее распространенным по количеству обнаруживаемых вредоносных программ, но самым многочисленным по количеству поведений.

По результатам года доля этого класса в общем числе зловредов уменьшилась, да и изменение количества новых программ в данном классе в среднем ниже, чем темпы роста в двух других классах.


Количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых программ класса Other MalWare.

Вялотекущий рост числа новых вредоносных программ в этом классе в 2004 — 2005 годах (13% и 43% соответственно), в 2006 году сменился падением на 7%, что пока не позволяет предполагать появление некой тенденции, но вкупе с общим снижением доли ПО данного класса в общем числе зловредов до 3,5% может говорить об уменьшении внимания вирусописателей к данному виду зловредов.

Популярность представителей MalWare можно представить в виде круговой диаграммы, приведенной на рис.:


MalWare: процентное соотношение поведений внутри класса.

Из всего многообразия поведений, входящих в состав данного класса, внимания заслуживают лишь семь представителей. Вредоносные программы, которые относятся к другим поведениям, появляются довольно редко, и по этой причине нельзя говорить о каком-либо серьезном их развитии. Рассмотрим данные, приведенные в таблице:

Поведение Изменение за год
Constructor -18%
BadJokes, Hoax +167%
Exploit -21%
Flooder -34%
HackTool -21%
IM-Flooder +40%
SpamTool +107%
Other -64%
Other MalWare -7%

Изменение количества новых вредоносных программ класса Other MalWare за год.

Самый массовое поведение в этом классе — Exploit. В 2006 году их доля чуть сократилась, что было вызвано уменьшением числа обнаруженных уязвимостей, пригодных для использования злоумышленниками. Те уязвимости, что были основной проблемой в 2006 году, по большей части представляли собой бреши в пакете MS Office, и, соответственно, вредоносные программы, использовавшие их, детектировались нами как троянские программы, а не как эксплоиты.

И как во многих случаях, рассмотренных выше, прогноз для данного класса на 2007 год полностью зависит от того, что будет происходить с эксплойтами для Windows Vista и MS Office 2007. Не исключено, что в этих программах будет обнаружено множество критических уязвимостей, и тогда за нынешним падением числа эксплойтов (-21%) последует их значительный рост.

Определенный интерес представляет рост популярности некогда экзотического вида IM-Flooder. Подобные программы используются для организации спама в инстант-мессенджерах ICQ, AOL и MSN. 40%-ный рост обусловлен большой популярностью такого вида спама, поскольку для клиентов мгновенного обмена сообщениями пока не существует спам-фильтров, хотя бы отдаленно предоставляющих тот уровень защиты, который сейчас обеспечивают почтовые антиспам-системы.

Представители SpamTool предназначены для сбора адресов электронной почты на зараженных компьютерах и передачи их злоумышленнику с целью дальнейшего использования в спам-рассылках. В 2005 году нами отмечался хотя и минимальный, но уже стабильный интерес к этому поведению. В 2006 году рост их количества носил взрывной характер — +107%. Однако ближе к концу года их число стало снижаться, что во многом было вызвано реализацией функции «email harvesting» в ряде других троянских программ и червей, в первую очередь в Email-Worm.Win32.Warezov.

В целом 2006 год для MalWare надо признать полностью провальным. В течение всего года представители MalWare уверенно теряли популярность на фоне увеличения популярности TrojWare.

Сопутствующие тенденции

Шифровальщики-вымогатели

Одной из наиболее опасных тенденций, наметившихся в 2006 году, является рост числа инцидентов, когда с помощью определенной программы злоумышленники модифицируют или шифруют данные на компьютере жертвы с целью последующего шантажа и получения «выкупа» за восстановление данных. Сценарии работы таких программ во многом повторяют друг друга и сводятся либо к блокированию нормальной работы компьютера, либо к блокированию доступа к данным.

В январе 2006 года подобного рода программы были представлены практически единственным троянцем — Trojan.Win32.Krotten. Автор Krotten с завидной периодичностью всего в течение двух недель выпустил 13 модификаций этой вредоносной программы, постоянно изменяя код и пытаясь сбить детектирование Krotten.

Этот же всплеск совпал с появлением еще целого ряда подобных троянских программ, наиболее примечательной из которых стал Gpcode. Всего за шесть месяцев 2006 года Gpcode проделал значительный путь в своем развитии: от использования обычного симметричного алгоритма шифрования до асимметричного, последовательно наращивая длину ключа с 56 бит до 64, 26, 330, а затем и до 660.

Мы подробно писали о нашей борьбе с этим «шифровальщиком» летом 2006 года.

В течение первого полугодия 2006 года количество троянских семейств, занимающихся вымогательством, успело вырасти с двух до шести (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). И если в самом начале года, на заре развития таких программ, география атак была ограничена в основном Россией и странами СНГ, то к середине года она явно расширилась: появление компьютерных вымогателей было отмечено в Германии, Великобритании и ряде других стран.

AdWare

Обратим свое внимание на представителей AdWare — программы, занимающиеся в той или иной форме доставкой рекламы в Интернете, — рост которых по итогам 2006 года оказался отрицательным относительно 2005 года и составил -29%. Как мы писали ранее, представители этого класса все чаще переходят ту нечеткую границу, которая отделяет вредоносные программы от невредоносных. Это подтверждается также тем фактом, что все чаще встречаются AdWare, которые используют откровенно вирусные технологии в своей работе. Темпы роста AdWare значительно замедлились еще в 2005 году (всего 63%), и мы прогнозировали дальнейшее уменьшение их количества. Так и произошло, во многом из-за того, что подобный вид бизнеса во многих странах был признан противозаконным и многие производители adware-программ либо были привлечены к ответственности, либо изменили код своих программ таким образом, что антивирусные компании сняли свои претензии к их содержимому.

Вероятней всего, в 2007 году сокращение числа AdWare будет еще более значительным.

Антивирусные базы

На рост числа вирусных угроз и все увеличивающуюся частоту появления новых, «Лаборатория Касперского» отвечала ускорением выпуска антивирусных баз и увеличением скорости реакции.

Количество ежемесячных новых записей в антивирусных базах Антивируса Касперского в 2006 году варьировалось примерно от пяти тысяч и до десяти в конце года. По итогам всего года ежемесячное число записей в среднем составило 7240 (без учета расширенного набора баз), тогда как в 2005 году этот показатель составлял 4496.


Статистика количества новых записей в антивирусных базах (желтый — основные базы, красный — расширенный набор баз).

Как видно из приведенного графика, количество ежемесячных записей в антивирусных базах увеличивалось в течение года неравномерно. За каждым месяцем роста следовал месяц спада. Однако в конце года наблюдается постоянный рост, который подвел итог году на отметке более чем в 10000 новых вредоносных программ в месяц.

«Лаборатория Касперского» реагировала на появление новых вредоносных программ выпуском двух видов обновлений антивирусных баз: регулярных (примерно раз в час) и срочных (в случае эпидемии).

Для регулярных баз общее число обновлений в 2006 году превысило семь тысяч и составило более шестисот обновлений в среднем за месяц.


Количество регулярных обновлений по месяцам.

Что же касается срочных обновлений, то эти данные весьма интересны по двум причинам. Во-первых, они показывают общее количество «эпидемиологических» ситуаций в 2006 году и позволяют сравнить их с аналогичными показателями 2005 года. Во-вторых, они позволяют проследить некую привязку эпидемий к различным месяцам года.


Количество срочных обновлений баз по месяцам

Данные показывают, что событий, удостоенных срочного выпуска обновлений, в 2006 году было почти на 30% меньше, чем в 2005! Если в позапрошлом году эта процедура выполнялась в среднем более 30 раз в месяц, то в 2006 — менее, чем 20.

Данные показывают наличие двух основных пиков активности вирусописателей в 2006 году: февраль-апрель и октябрь-декабрь. На диаграмме четко виден и традиционный летний спад в июне-июле.

Прогнозы

Учитывая все вышеописанные тенденции и события, мы ожидаем, что в 2007 году основное внимание вирусописателей будет по-прежнему приковано к различным троянским программам, специализирующимся на краже пользовательской информации. Основными объектами атак будут оставаться пользователи различных банковских и платежных систем, а также играющие в онлайн-игры.

Будет продолжена тенденция сплочения авторов вирусов и спамеров, когда за счет их «симбиоза» зараженные компьютеры используются не только для организации новых эпидемий или атак, но и для рассылки спама.

Что касается путей проникновения вредоносных программ на компьютеры, то основными по-прежнему будут оставаться электронная почта и уязвимости в браузерах. Использование способов прямой атаки на порты будет менее распространено и будет полностью зависеть от обнаружения (или необнаружения) критической уязвимости в службах Windows. Такие способы распространения зловредов, как P2P-сети или IRC-каналы, не будут массовыми, однако, несомненно, будут использоваться -преимущественно локально (например, P2P-клиент Winny, очень популярный в Японии, может в 2007 году стать очень серьезной проблемой для азиатских пользователей). Системы мгновенного обмена сообщениями останутся в тройке наиболее активно используемых средств для атаки, однако заметного усиления этого способа распространения вирусов мы не ожидаем.

В целом, эпидемии и вирусные атаки станут еще более географически выражены. Например, для Азиатского региона будет характерно преобладание игровых троянцев и червей с вирусным функционалом, а для Европы и США — троянцев-шпионов и бэкдоров. Южная и Латинская Америка будут по-прежнему страдать от всевозможных «банковских» троянских программ.

Несомненно, главной темой 2007 года станет новая операционная система от Microsoft — Vista — и связанные с ней уязвимости. Именно уязвимости и новые ограничения в Vista являются определяющим фактором развития вирусной индустрии на ближайшие годы. Не стоит ожидать здесь быстрых и кардинальных изменений, однако то, что именно это будет формировать тенденцию года, — несомненно.

Вредоносные программы будут двигаться все больше в сторону повышения своей технологичности и методов сокрытия своего присутствия в системе. Разработки в области полиморфизма, обсфукации кода и руткит-технологии станут еще более массовыми и практически будут являться стандартом для большинства новых вредоносных программ.

Значительный рост вредоносных программ можно прогнозировать и для других операционных систем: в первую очередь для MacOS, а затем для *nix-систем. Не останутся без внимания и игровые приставки, такие как PlayStation и Nintendo. Все увеличивающееся число таких устройств и их возможности по коммуникации друг с другом и Интернетом могут привлечь внимание авторов вирусов, пока, правда, исключительно из «исследовательско-хулиганских» побуждений. Может случится, что вирусы для «некомпьютеров» в 2007 году преодолеют определенный рубеж и перейдут к стадии бурного роста, однако вероятность этого невысока и, по нашему мнению, все ограничится большим количеством концептуальных работ в этой области.

Увеличится число точечных атак на компании среднего и крупного бизнеса. Помимо традиционной кражи информации, эти атаки будут нацелены и на вымогательство денег у пострадавших организаций, в том числе и за расшифровку данных (см. шифровальщики). Одним из основных способов проникновения в системы будут файлы MS Office и уязвимости в этом программном продукте.

Kaspersky Security Bulletin 2006. Развитие вредоносных программ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике