В этом годовом отчете будут проанализированы изменения в динамике развития вредоносных, рекламных и потенциально опасных программ по сравнению с данными 2006 года. Для подготовки отчета была использована новая статистическая методика, отличающаяся от применявшейся нами ранее. Показатели 2006 года, используемые в данном отчете, также были пересчитаны по новой методике, в связи с чем они могут не совпадать с данными, приведенными в прошлом годовом отчете.
Отчет содержит большое количество статистической информации и фактов. В первую очередь он предназначен для профессионалов в области компьютерной безопасности, интересующихся вредоносными программами, но также может быть полезен всем пользователям, которые интересуются проблемами вирусологии.
- Развитие угроз в 2007 году
- Тенденция года: развитие вредоносных программ, ориентированных на кражу паролей к онлайн-играм
- Спам в 2007 году
- Вредоносные программы в электронной почте
Итоги 2007
2007 год останется в истории как год смерти «некоммерческих» вредоносных программ. Окончательная это смерть или нет — покажет будущее. Мы же пока можем только констатировать, что в этом году не было ни одной заметной эпидемии или распространенной вредоносной программы «нефинансового» характера. В 2006 году «хулиганские» вирусы все-таки еще появлялись — можно вспомнить эпидемию червя Nyxem.E, который ничего, кроме самораспространения и удаления файлов, не делал.
Эпидемии в 2007 году были. Почти все — кратковременные, и затрагивали они не весь мировой Интернет, а только отдельные регионы и страны. Такой принцип организации эпидемий фактически уже стал стандартом.
Несомненно, в ряду новых вредоносных программ прошедшего года особняком стоит «штормовой червь» (Zhelatin по классификации «Лаборатории Касперского»), впервые появившийся в январе 2007 года. В течение года он продемонстрировал такой спектр поведений, методов взаимодействия между своими компонентами, путей распространения и используемых приемов социальной инженерии, что антивирусные эксперты не переставали удивляться изобретательности неизвестных авторов.
В Zhelatin оказались реализованы практически все достижения вирусописательской мысли последних лет, и многие из них ранее существовали лишь в виде концептуальных идей. Тут и руткит-технологии, и замусоривание кода, и ботнеты, защищающие себя от анализа и исследования, и взаимодействие между зараженными компьютерами через P2P-сети — без единого управляющего центра. Для распространения червь использовал все существующие возможности: как традиционные (электронная почта, системы мгновенного обмена сообщениями), так и сервисы эпохи Web 2.0 (распространение через социальные сети: блоги, форумы, RSS). Кроме того, злоумышленники использовали растущий интерес пользователей к видео-сервисам и распространяли Zhelatin под видом видео-файлов.
Важно отметить, что основная направленность общего функционала Storm Worm — это создание сетей для последующей организации спам-рассылок и проведения DoS-атак. Какие изменения произошли в спаме в 2007 году, мы рассмотрим в отдельном отчете. Что же касается DoS-атак, то они стали одной из ключевых тем информационной безопасности всего 2007 года.
DoS-атаки после активного применения их в 2002-2003 годах больше не пользовались особой популярностью у киберпреступников — вплоть до 2007 года. В этом году они вернулись, причем не столько как инструмент для вымогания денег у жертв, сколько как средство политической и конкурентной борьбы. История об атаке на эстонские сайты в мае 2007 года широко освещалась в средствах массовой информации и многими экспертами расценивается как первый случай кибервойны. Очевидно, что за целым рядом DoS-атак 2007 года стоят бизнес-конкуренты жертв. Если четыре года назад DoS-атаки были орудием в руках исключительно хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как спам-рассылки или создание на заказ вредоносных программ. Реклама услуг DoS-атак стала обычным явлением, а цены уже сопоставимы с ценой организации спам-рассылки.
Киберпреступный бизнес в 2007 году явил миру несколько новых видов криминальной деятельности. Активно развивалась отрасль создания вредоносных программ на заказ с оказанием технической поддержки заказчикам. Самый, наверное, яркий пример такого рода бизнеса — история троянской программы-шпиона Pinch. Его авторы за несколько лет создали более 4000 вариантов этой вредоносной программы, большинство которых были выполнены именно по заказу других злоумышленников. Эта история, судя по всему, закончилась в декабре 2007 года, когда руководитель российской Федеральной службы безопасности объявил об установлении личностей авторов Pinch.
Еще одним подобным примером стал вирус-червь Fujack. Китайский зловред, созданный с целью кражи данных пользователей онлайн-игр, продавался его автором всем желающим и разошелся по миру в виде нескольких сотен вариантов. Заработать на этом автору удалось около 12 000 долларов США — именно такая сумма была озвучена китайской полицией, арестовавшей в итоге и автора, и нескольких его клиентов.
Fujack оказался одним из ярких представителей доминировавшего в 2007 году по численности семейства троянских программ — «игровых» троянцев. Напомним, что в 2006 году превалировали всевозможные Bankers — троянские программы, ориентированные на кражу данных от банковских аккаунтов, и мы прогнозировали, что в 2007 году «игровые» троянцы и Bankers по числу новых программ будут конкурировать между собой.
По итогам года «игровые» троянцы одержали безоговорочную победу: их число значительно превысило показатели Bankers. Здесь важно отметить, что пока прямой конкуренции между этими двумя семействами троянских программ нет — их целевые аудитории не пересекаются. Это подтверждает и тот факт, что нам пока неизвестны игровые троянцы, умеющие воровать банковские аккаунты. Хотя теоретически в создании такого «гибрида» нет ничего сложного, в реальности, вероятно, такое сочетание функций не является необходимым и интересным для вирусописателей.
Яркие события 2007 года — массовые взломы сайтов с последующим размещением на них вредоносных программ или ссылок на зараженные сайты. Одним из таких событий стал взлом в июне около 10 000 итальянских сайтов, на которых затем был размещен набор эксплоитов Mpack. В течение года такие же взломы происходили по всему миру, а самый массовый был зафиксирован в конце года, когда более чем на 70 000 сайтов в разных странах мира был обнаружен вредоносный код, устанавливающий на компьютеры жертв очередного «игрового» троянца.
Инцидент в Италии привлек внимание еще к одному виду бизнеса киберпреступников: в ходе расследования выяснилось, что вредоносные программы были расположены на сайтах Russian Business Network (RBN). Детальный анализ выявил, что RBN использовалась как площадка для распространения вредоносных программ в десятках, а то и сотнях случаев. Фактически речь шла о «bulletproof»-хостинге, владельцы которого гарантировали заказчикам анонимность, защиту от юридического преследования и отсутствие лог-файлов.
Вокруг RBN поднялась массовая шумиха, которая длилась на протяжении всего лета и начала осени 2007 года, пока в итоге RBN не ушла в тень, раздробившись на несколько хостинг-площадок в разных странах мира и тем самым размыв реальные масштабы своей деятельности.
Такими были основные события 2007 года, который в итоге оказался самым «вирусным» за всю историю. Если суммировать все новые вредоносные, рекламные и потенциально опасные программы, в течение 2007 года добавленные в наши антивирусные базы, то мы получим следующие результаты:
Суммарное количество всех новых программ в 2006 и 2007 годах
Класс | 2007 | 2006 | Изменения |
TrojWare | 201958 | 91911 | 119,73% |
VirWare | 12416 | 6282 | 97,64% |
MalWare | 5798 | 4558 | 27,20% |
AdWare | 14382 | 2583 | 456,79% |
RiskWare | 2690 | ||
Всего | 237244 | 105334 | 125,23% |
Распределение вредоносных, рекламных и
потенциально опасных программ в 2007 году
Общее число угроз за 2007 год увеличилось больше чем вдвое. Если же рассматривать ситуацию в целом, то в 2007 году мы добавили в наши антивирусные базы почти столько же программ, сколько за предшествующие 15 лет!
Такого вала угроз в Интернете еще не случалось, и нам в течение года требовалось прилагать все возможные усилия, а порой и невозможные, для того, чтобы справиться с ними. Все это внушает серьезные опасения: ведь если ситуация в 2008 году не изменится (а предпосылок к изменению нет), то через год нас ждет очередное удвоение количества угроз.
Вредоносные программы
Напомним, что, согласно классификации «Лаборатории Касперского», существуют три класса вредоносных программ:
- TrojWare — различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
- VirWare — саморазмножающиеся вредоносные программы (вирусы и черви);
- Other MalWare — программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.Рост числа новых вредоносных программ. В 2007 году число обнаруживаемых в среднем за месяц новых вредоносных программ выросло на 114,28% по отношению к показателям 2006 года и составило 18 347,67 (8 562,5 в 2006 году). В целом за отчетный период было обнаружено 220 172 новых вредоносных программы.
Новых троянских программ в 2007 году было обнаружено на 119,73% больше, чем в 2006. Относительная простота создания TrojWare (по сравнению с червями и вирусами) и их возможности в области кражи данных, создания ботнетов и организации спам-рассылок по-прежнему остаются основными причинами роста числа троянцев в Интернете.
Число обнаруженных за год новых вредоносных программ класса VirWare выросло по сравнению с показателями 2006 года на 97,64%, и достигнуто это было за счет возрождения классических файловых вирусов (о чем пойдет речь ниже).
Рост числа новых вредоносных программ класса Other MalWare, обнаруженных за год, не превысил 30% и значительно уступает показателям других классов вредоносных программ (у которых отмечен рост более 90%). Не исключено, что в 2008 году он станет отрицательным.
Количество новых вредоносных программ, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 годуРаспределение классов вредоносных программ. В соотношение распространенности классов вредоносных программ 2007 год не внес значительных изменений. Продолжилась тенденция, которая наблюдалась на протяжении последних лет: увеличение доли разнообразных троянских программ и соответствующее уменьшение показателей VirWare и Other MalWare.
Распределение классов вредоносных программ в 2006 и в 2007 годахКласс 2007 2006 Доля (2007) Доля (2006) Изменения Рост TrojWare 201958 91911 91,73% 89,45% +2,28% 119,73% VirWare 12416 6282 5,64% 6,11% -0,47% 97,64% MalWare 5798 4558 2,63% 4,44% -1,80% 27,20% Всего 220172 102751 100% 100% 114,28% Доля троянских программ в общем числе вредоносных программ за год увеличилась на 2,28% и составила 91,73%.
Прошлогоднее уменьшение в общем числе вредоносных программ доли червей и вирусов (VirWare) в первом полугодии 2007 года продолжилось (-2,26%), но под конец года сменилось некоторым ростом, и в целом по итогам года доля вредоносных программ данного класса снизилась на 0,47% и составила 5,64%.
Доля вредоносных программ класса Other MalWare в общем числе вредоносных программ к середине года уменьшилась до 1,95%. К концу года ситуация несколько изменилась, и итоговое значение составило 2,63%. Однако уменьшение их количества на фоне всех вредоносных программ тут наиболее значительно: -1,80%.
Рассмотрим изменения, произошедшие в каждом из классов вредоносных программ более детально.
Троянские программы
Представим количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых троянских программ в виде графика:
Количество новых TrojWare-программ, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 годуНа графике хорошо заметны два пика — в мае и августе 2007 года. После стремительного роста популярности троянских программ следовали спады. Такая динамика кардинальным образом отличается от картины 2006 года, когда рост был непрерывным. Возможно, класс троянских программ достиг в своем развитии определенного уровня, и в дальнейшем постоянно будут наблюдаться подобные колебания с отклонением от него в ту или иную сторону. Если этот прогноз верен, то уже в самом начале 2008 года нас ждет очередной пик активности класса TrojWare.
Распределение поведений троянцев по популярности отражено на следующей диаграмме:
TrojWare: процентное соотношение поведений внутри классаЧтобы лучше понять изменения, происходившие в классе троянских программ, рассмотрим, как увеличивалось число вредоносных программ по поведениям. Практически все виды троянских программ активно наращивали свои количественные показатели:
Количество новых вредоносных программ класса TrojWare
(по поведениям)
Динамика роста числа новых вредоносных программ класса TrojWareTrojWare 2007 2006 Изменения %% Backdoor 64900 22444 189,16% 32,135 Trojan-PSW 44218 14747 199,84% 21,895 Trojan-Downloader 43751 23443 86,63% 21,663 Trojan-Spy 19035 10479 81,65% 9,425 Trojan 18592 11699 58,92% 9,206 Trojan-Dropper 4224 3771 12,01% 2,092 Trojan-Proxy 3415 2859 19,45% 1,691 Trojan-Clicker 2294 1641 39,79% 1,136 Rootkit 1381 639 116,12% 0,684 Trojan-DDOS 89 59 50,85% 0,044 Trojan-SMS 15 3 400,00% 0,007 Trojan-IM 15 37 -59,46% 0,007 Trojan-Notifier 13 15 -13,33% 0,006 Trojan-AOL 9 67 -86,57% 0,004 Trojan-ArcBomb 7 8 -12,50% 0,003 Всего TrojWare 201958 91911 119,73% 100% В 2007 году среди троянских программ наиболее внушительный рост показали Trojan-PSW и Backdoor. 400-процентный рост класса Trojan-SMS мы не принимаем во внимание по причине крайне малого общего числа этих программ.
Рост числа вредоносных программ поведения Backdoor составил почти 190%, что позволило им выйти на первое место среди всех троянских программ по численности (напомним, что в 2006 году первое место занимали Trojan-Downloader). Подобный всплеск сравним только со стремительным развитием почтовых червей в 2002-2004 годах. Теперь бэкдоры составляют почти треть от всех вредоносных программ, создаваемых в мире, и пальма первенства здесь принадлежит бэкдорам, созданным в Китае.
Китай в 2007 окончательно закрепил за собой статус «вирусной супердержавы». Помимо бэкдоров, в 2007 году китайские вирусописатели активно разрабатывали различных троянцев, ориентированных на кражу пользовательских аккаунтов — в первую очередь от популярных онлайн-игр. Это нашло свое отражение в 200%-ном росте Trojan-PSW. Это поведение, как и в 2006 году, занимает по численности второе место.Trojan-Downloader, лидер 2006 года, в 2007-м оказался лишь на 3-м месте.
В настоящее время внутри класса TrojWare можно выделить три основные группы поведений:
- Backdoor, Trojan-PSW, Trojan-Downloader. Наиболее распространенные троянские программы, в целом составляющие более 75% всего класса TrojWare (доля каждого поведения в общей массе троянских программ превышает 20%).
- Trojan, Trojan-Spy. Доля каждого из этих поведений составляет около 9%; показатели роста средние. Вероятность увеличения их веса до уровня, необходимого для вхождения в первую группу, почти исключается, но и уменьшение до уровня третьей группы маловероятно.
- Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Rootkit. Доля каждого поведения в группе попадает в интервал от 0,7% до 2,1%. За исключением Rootkit, темпы роста поведений из данной группы не превышают 40%. Rootkit вошли в эту группу в 2007 году за счет высоких темпов роста — 116,1%. Не исключен рост числа программ какого-то одного поведения до уровня второй группы, однако вероятность того, что доли зловредов в этой группе будут и далее уменьшаться под натиском представителей первой группы, гораздо выше.Среди троянцев-шпионов наиболее опасны для пользователей и наиболее активны в своем развитии представители семейств, ориентированных на кражу данных пользователей онлайн-игр и банковских систем.
Руткиты
Стоит отметить и такой вид троянских программ, как руткиты. Зачастую руткиты являются прикрытием для разнообразных троянских программ, и один и тот же руткит может использоваться разными злоумышленниками.
Количество новых руткитов, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 годуВ 2005 году (когда мы начали выделять соответствующее поведение) руткиты были одной из самых горячих тем антивирусной индустрии, и вирусописатели вели активные разработки в этой области: за год число новых руткитов выросло на 413%. После столь стремительного взлета можно было ожидать некоторого падения темпов роста руткитов, однако и в 2006 году они остались на высоком уровне — +74%.
2007 год продолжил тенденцию, зафиксировав более 116% роста за год. Однако на диаграмме видно, что в первой половине 2007 года новые руткиты появлялись в гораздо большем количестве, чем во второй: по итогам первых шести месяцев мы констатировали 178%-процентный рост. Затем последовал спад, который пока не имеет четкого объяснения. Его причиной может являться снижение активности авторов червя Zhelatin («Storm Worm»), который был одним из основных зловредов с руткитом в 2007 году.
Сейчас ситуация с руткитами выглядит непрогнозируемой и во многом зависит и от распространения Windows Vista.
Черви и вирусы
Представим в виде графика количество новых VirWare-программ, обнаруженных аналитиками «Лаборатории Касперского», по месяцам:
Количество новых VirWare-программ, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 годуСтагнация в этом классе, наблюдавшаяся в течение 2004-2005 гг., в конце 2006 года сменилась ростом. В 2007 году этот рост продолжился, хотя абсолютные показатели пока еще уступают максимуму, отмеченному в октябре 2006 года, когда мы столкнулись с сотнями новых вариантов червя Warezov.
На графике видно, что в течение 2007 года динамика появления новых программ класса VirWare была нестабильной, с тремя периодами подъема и последующего снижения. В настоящее время класс VirWare находится в режиме продолжающегося уравновешивания данных колебаний и в 2008, вероятно, тренд сменится на более устойчивый.
В целом по итогам 2007 года класс VirWare показал почти 98%-ный рост числа новых вредоносных программ (напомним, что в прошлом году число вредоносных программ класса VirWare увеличилось всего лишь на 8%). Однако этого оказалось недостаточно даже для сохранения доли этого класса в общем числе вредоносных программ: с 6,11% в 2006 году она уменьшилась до 5,64%.
Распределение поведений класса VirWare отражено на следующей диаграмме:
VirWare: процентное соотношение поведений внутри классаЧтобы лучше понять изменения, происходившие в классе самораспространяющихся программ, рассмотрим, как увеличивалось число вредоносных программ по поведениям. Все виды подобных программ активно наращивали свои количественные показатели:
Количество новых вредоносных программ класса VirWare
(по поведениям)
Рост числа новых вредоносных программ класса VirWareVirWare 2007 2006 Изменения %% Email-Worm 4758 3490 36,35% 38,32 Virus 3437 704 389,60% 27,68 Worm 2778 1311 111,80% 22,37 IM-Worm 681 245 178,19% 5,48 Net-Worm 426 283 50,42% 3,43 P2P-Worm 282 215 31,28% 2,27 IRC-Worm 54 34 60,71% 0,43 Всего 12416 6282 97,64% 100,00 Примечательно, что все входящие в класс VirWare поведения в 2007 году продемонстрировали рост относительно прошлого года. Это единственный класс с подобной статистикой.
Стабильные показатели второй год подряд демонстрирует самый распространенный вид — почтовые черви. В 2006 году их рост составил 43%, в 2007 — 36,35%. Это позволило Email-Worm остаться на первом месте, однако отрыв от других поведений уже не столь внушительный — менее 11%. Численность Email-Worm обеспечивают представители трех основных семейств: Warezov, Zhelatin и Bagle.
В отчете за первые шесть месяцев 2007 года мы прогнозировали выход Virus на второе место, и наш прогноз подтвердился: по итоговым показателям года доля вирусов составила почти 28%.
«Классические» вирусы в 2007 году продемонстрировали наибольший рост среди всех вредоносных программ — 389,6%! В первую очередь это связано с большой популярностью распространения вирусов при помощи съемных флэш-накопителей. Столь стремительный рывок тем более удивителен, что в 2006 году этот показатель был отрицательным и составил -29%.
Возвращение вирусов весьма тревожно — их удаление из пораженных систем является более сложной задачей, чем удаление троянских программ. Кроме того, многие популярные антивирусы, хорошо себя зарекомендовавшие в детектировании обычных вредоносных программ, зачастую показывают весьма скромные результаты в обнаружении сложных полиморфных вирусов. Это может привести к значительным проблемам в ближайшем будущем, поскольку вирусописатели уже обратили свое внимание на эту особенность.
Представители поведения Worm в 2006 году продемонстрировали взрывной рост на 220%. В 2007 году темпы роста новых Worm-программ несколько замедлились, особенно к концу года (вероятно, заметное влияние на это оказал арест в Китае автора многочисленного семейства червей Viking). Однако по итогам года они по-прежнему остаются высокими и составили 111,8%.
Еще одним «возмутителем спокойствия» в 2007 году стали черви, распространяющиеся через системы мгновенного обмена сообщениями. В 2006 году мы отмечали, что IM-червям так и не удалось занять сколько-нибудь заметных позиций на вирусной сцене. По итогам 2006 года было зафиксировано уменьшение на 45% числа новых IM-червей с явной тенденцией к почти полному их исчезновению в 2007 году. Вопреки ожиданиям, они смогли выжить и значительно улучшить свои показатели. Это было вызвано смещением вектора их распространения с AOL и MSN в сторону Skype. Кроме того, популярности IM-клиентов как средства распространения вредоносных программ способствовало активное распространение через ICQ такого червя, как Zhelatin (Storm Worm). Итог: по популярности IM-Worm неожиданно заняли 4-е место среди VirWare (5,5%), а по темпам роста – второе (178,2)%.
В классе VirWare можно выделить две основные группы поведений:
- Email-Worm, Worm, Virus. На вредоносные программы этих поведений приходится чуть менее 90% всех программ класса VirWare. Долевые показатели каждого поведения превышают 20% от общего количества VirWare. Количество Email-Worm увеличилось несущественно, особенно на фоне взрывного роста Virus и Worm.
- IM-Worm, Net-Worm, P2P-Worm, IRC-Worm. За исключением IM-Worm, доля каждого поведения в общем числе VirWare составляет менее 5%. Средние темпы роста. Вероятность увеличения доли имеется только для IM-Worm — за счет все большего развития IM-сервисов, в том числе и Skype. Для Net-Worm ситуация продолжает ухудшаться — отсутствие критических уязвимостей в сетевых службах OS Windows не дает возможности вирусописателям реализовать что-то новое.В целом темпы роста класса VirWare незначительно отстают от TrojWare (98% против 120%) и значительно превосходят Other MalWare, которые мы рассмотрим ниже.
Другие вредоносные программы (Other MalWare)
Класс Other MalWare является наименее распространенным по количеству обнаруживаемых вредоносных программ, но самым многочисленным по числу поведений.
Вялотекущий рост числа новых вредоносных программ данного класса в 2004-2005 годах (13% и 43% соответственно) в 2006 году сменился небольшим спадом (-7%). Однако 2007 год показал, что предыдущий год был, скорее, периодом стабилизации этого класса, закреплением на занятых позициях перед выходом на новый уровень. По итогам 2007 года класс Other MalWare показал более чем 27%-процентный рост числа новых вредоносных программ. Однако этого роста оказалось не достаточно для сохранения доли класса в общем числе вредоносных программ: с 4,44% в 2006 году она уменьшилась до 2,63%.
Количество новых Other MalWare-программ, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 годуРаспределение Other MalWare-поведений можно представить в виде круговой диаграммы:
Other MalWare: процентное соотношение поведений внутри классаЧтобы лучше понять происходившие в этом классе изменения, рассмотрим, как увеличивалось число вредоносных программ по поведениям:
Количество новых вредоносных программ класса Other MalWare
(по поведениям)
Рост числа новых вредоносных программ класса Other MalWareOther Malware 2007 2006 Изменения %% Hoax 1315 341 285,63% 22,68 Exploit 1219 1860 -34,46% 21,02 Packed 753 0 0,00% 12,99 FraudTool 617 0 0,00% 10,64 HackTool 520 360 44,44% 8,97 SpamTool 501 263 90,49% 8,64 Constructor 353 948 -62,76% 6,09 IM-Flooder 110 128 -14,06% 1,90 BadJoke 100 112 -10,71% 1,72 Flooder 92 88 4,55% 1,59 VirTool 79 46 71,74% 1,36 DoS 68 28 142,86% 1,17 Nuker 27 19 42,11% 0,47 Email-Flooder 13 346 -96,24% 0,22 Spoofer 12 5 140,00% 0,21 Sniffer 11 6 83,33% 0,19 SMS-Flooder 8 8 0,00% 0,14 Всего 5798 4558 27,2% 100 Exploit больше не являются самым массовым поведением в этом классе. На протяжении двух лет они теряют свои позиции. В 2006 году их доля составляла более 30%, (причем за год их количество уменьшилось на 21%), в 2007 году их осталось меньше четверти от всех Other MalWare (21,02%) при отрицательном росте — минус 34% за год. Некогда незыблемые позиции Exploit оказались разрушенными производителями браузеров и операционных систем – в первую очередь Microsoft. Новых критических уязвимостей, которые так же активно использовались бы вредоносным ПО, как это происходило в 2003-2005 годах, в 2007 году обнаружено не было.
Наиболее значительные темпы роста показали Hoax (+285,63%). Второй год подряд количество этих программ увеличивается более чем на 150%. В результате по популярности Hoax уже обошли Exploit (22,68%) — пока с незначительным преимуществом в 1,56%.
Два новых поведения, появившиеся в нашей классификации только в 2007 году, — Packed и Fraud-Tool — сразу же громко заявили о себе, заняв соответственно 3-е и 4-е место по популярности среди всех Other MalWare. К Fraud-Tool относятся ложные антивирусные программы, которые сотнями обманывали пользователей, якобы обнаруживая на их компьютерах троянские программы и предлагая заплатить некую сумму денег за избавление от «заразы». (Фактически это настоящее мошенничество, основанное на страхе пользователей перед вредоносными программами.)
Спам и DoS-атаки — одна из основных тем новостей информационной безопасности 2007 года. В 2006 году рост числа вредоносных программ вида Spam-Tool носил взрывной характер — +107%, а по количеству в общем числе Other MalWare-программ SpamTool были пятыми. В первом полугодии 2007 года SpamTool был абсолютным лидером по темпам роста (222%) в данном классе, благодаря чему вышел на второе место среди поведений класса по количеству программ. К концу года SpamTool вернулись на 6-е место (которое занимали в 2006 году). Однако рост числа новых программ этого поведения по итогам года был весьма значительный, и в 2008 году ситуация вряд ли изменится.
Что касается DoS-атак, то количественные показатели этого поведения пока невелики, но тенденция роста наблюдается довольно четкая, и уже в 2008 году счет таким программам пойдет на сотни.
Потенциально нежелательные программы (PUPs)
Потенциально нежелательные программы (Potentially Unwanted Programs, PUPs) — это программы, которые разрабатываются и распространяются легальными компаниями, однако имеют набор функций, которые позволяют злоумышленникам использовать их во вред пользователям. Такие программы невозможно однозначно отнести ни к опасным, ни к безопасным — все зависит от того, в чьих руках они находятся.
К потенциально нежелательным программам «Лаборатория Касперского» относит программы классов RiskWare, PornWare и AdWare. Такие программы уже несколько лет опционально детектируются «Антивирусом Касперского», однако они оставались за рамками наших отчетов. Отчасти из-за своей малочисленности, отчасти из-за меняющихся критериев оценки: что считать потенциально опасным софтом, а что безопасным. В 2007 году антивирусная индустрия смогла выделить некие признаки потенциально нежелательных программ, что позволит нам более детально классифицировать подобные программы.
Программы классов RiskWare и PornWare
К классу RiskWare относятся легальные программы, которые «умелые» руки злоумышленника могут употребить во вред пользователю и его данным (уничтожить, блокировать, модифицировать или копировать информацию, нарушить работу компьютеров или компьютерных сетей). Пока еще количество RiskWare-программ не достигает даже уровня Other MalWare, но общий рост их числа настораживает. Все больше и больше программ начинают балансировать на той грани, что разделяет вредный софт и «чистый». Это создает множество дополнительных проблем — как пользователям, так и антивирусным компаниям. Кроме того, именно в этой области проходит линия юридических разногласий между производителями RiskWare и антивирусными вендорами. В 2007 году это привело к нескольким судебным искам, большинство которых были выиграны антивирусными компаниями.
К классу PornWare относятся утилиты, связанные с демонстрацией в той или иной форме порнографии. В этот класс попадает различный porno-софт: Dialers, Downloaders и Porn-Tool. PornWare-программ немного, число всех новых программ этого класса, обнаруженных аналитиками «Лаборатории Касперского» в 2007 году, в целом не превышает 500, поэтому при анализе мы решили объединить программы этого класса с программами класса RiskWare.
Представим в виде графика суммарное количество обнаруженных аналитиками «Лаборатории Касперского» новых программ классов RiskWare и PornWare.
Количество новых RiskWare- и PornWare-программ, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 годуРаспределение RiskWare- и PornWare-поведений можно представить в виде круговой диаграммы:
RiskWare+PornWare: процентное соотношение поведений
внутри классаСреди поведений классов RiskWare и PornWare четко выделяются два лидера — это Monitor (36,65%) и Porno-Dialer (13,98%).
К первому относятся различные «легальные» перехватчики клавиатуры (кейлоггеры). Такие программы официально производятся и продаются, однако при наличии у них функции сокрытия своего присутствия в системе они могут быть использованы как полноценные троянцы-шпионы.
Porn-Dialers — программы дозвона на платные порноресурсы. Они осуществляют телефонные соединения с premium-номерами, что зачастую приводит к судебным разбирательствам между абонентами и телефонными компаниями. В 2007 году программы, относящиеся к Dialer и Porno-Dialer, несколько месяцев лидировали в списке самых распространенных, по данным нашего онлайн-сканера.
Рассмотрим, как распределилось число программ данных двух классов по поведениям:
Количество новых программ классов RiskWare и PornWare
различных поведенийRiskWare и PornWare 2007 %% Monitor 986 36,65 Porn-Dialer 376 13,98 PSW-Tool 213 7,92 RemoteAdmin 198 7,36 Dialer 163 6,06 Downloader 162 6,02 AdTool 122 4,54 Net-Tool 112 4,16 RiskTool 90 3,35 Server-FTP 61 2,27 Server-Proxy 38 1,41 Tool 23 0,86 Porn-Downloader 21 0,78 Porn-Tool 17 0,63 Client-IRC 13 0,48 Server-Web 8 0,30 Client-SMTP 2 0,07 Server-Telnet 1 0,04 Other 84 3,12 Всего 2690 100 Помимо Monitor и Porn-Dialer, весьма широко представлены такие поведения, как PSW-Tool и RemoteAdmin. PSW-Tool предназначены для восстановления забытых паролей, но легко могут быть использованы злоумышленниками и для извлечения этих паролей из компьютера ничего не подозревающей жертвы. RemoteAdmin, весьма популярные у системных администраторов, точно так же относятся к программам «двойного» использования и применяются в том числе и хакерами для осуществления контроля за взломанными компьютерами. Легальность RemoteAdmin дает злоумышленникам определенную гарантию, что некоторые антивирусные программы не смогут обнаружить их наличие в системе.
Статистика по данным классам программ публикуется нами впервые, и поэтому мы не можем привести здесь данные по динамике развития каждого отдельного поведения и классов в целом. В будущих отчетах мы сможем рассмотреть RiskWare и PornWare более детально.
Рекламные программы (AdWare)
К классу AdWare относится программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего в виде графических баннеров), перенаправления поисковых запросов на рекламные web-страницы, а также для сбора данных маркетингового характера о пользователе (например, какие тематические сайты посещает пользователь).
AdWare — весьма большой класс программ, уже давно детектируемый антивирусными программами. В борьбе с AdWare уже успела родиться и практически умереть индустрия anti-adware программ.
Посмотрим на количество обнаруживаемых аналитиками «Лаборатории Касперского» новых AdWare-программ:
Количество новых AdWare-программ, обнаруженных
аналитиками «Лаборатории Касперского» в 2007 году2007 2006 Изменения AdWare 14382 2583 +456,79% В 2007 году AdWare совершили поистине революционный скачок — рост составил более 456%! Таким оказался ответ разработчиков этих программ на усилия правительств множества стран (США в первую очередь) положить конец незаконной и навязчивой рекламе в Интернете. Несмотря на принятие законов, которые четко регламентируют обязанности производителей AdWare и предусматривают значительные штрафы за нарушения, на деле ситуация ухудшилась.
Платформы и операционные системы
В прошлом годовом отчете мы не публиковали детальной статистики распределения вредоносных, рекламных и потенциально опасных программ по операционным системам и платформам, ограничившись отдельным анализом наиболее интересных не-Windows систем (*nix, Mac OS и Symbian). Однако в отчете за первое полугодие 2007 мы рассмотрели ситуацию в целом и теперь можем проанализировать изменения в масштабах года.
Операционная система или приложение может подвергнуться нападению вредоносных программ в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.
Всего в 2007 году «Лабораторией Касперского» были зафиксированы вредоносные, рекламные и потенциально опасные программы для 43 различных платформ и операционных систем. Естественно, что подавляющее большинство таких программ рассчитаны на функционирование в среде Win32 и представляют собой исполняемые бинарные файлы. Прочие программы, ориентированные на другие операционные системы и платформы, составляют менее 4% от общего числа.
Число новых вредоносных, рекламных и потенциально опасных программ,
ориентированных на различные платформыНесмотря на то что доля Win32-зловредов в 2007 году составила 96,36%, она медленно, но неуклонно продолжает уменьшаться. Напомним, что за первое полугодие 2007 года доля не-win32 угроз увеличилась с 3,18% до 3,42%, во втором полугодии превысила 4%, а по итогам 2007 года в целом составила 3,64%.
Во втором полугодии число вредоносных, рекламных и потенциально опасных программ для Win32 выросло на 36% по сравнению с первыми шестью месяцами года. Однако для других платформ и приложений этот рост составил 63%, что также свидетельствует о все большем смещении приоритетов вирусописателей и отражает рост вредоносного ПО для других систем.
Показатель в 63% был достигнут в первую очередь за счет продолжающегося роста разнообразных скриптовых вредоносных программ – в основном созданных на языках Java Script и Visual Basic Script. Понятно, что все они также нацелены на Windows-системы. Причин роста такой популярности скриптовых программ несколько, и главной из них, на наш взгляд, являются усилия антивирусных компаний в разработке все новых и новых технологий эвристического анализа, эмулирования кода и виртуализации процессов, ориентированных на работу именно с исполняемыми Win32-файлами, в то время как скрипт-зловреды остаются почти вне поля зрения вирусных аналитиков. Второй причиной является активное использование скрипт-языков для написания множества эксплойтов, использующих уязвимости популярных браузеров. Именно через уязвимый браузер сейчас наиболее активно распространяются вредоносные программы.
№№ Платформа I полугодие 2007 II полугодие 2007 Всего Изменения 1 Win32 96967 131626 228593 36% 2 JavaScript 1182 2240 3422 90% 3 Visual Basic Script 576 748 1324 30% 4 HTML 398 930 1328 134% 5 BAT 334 553 887 66% 6 PHP 84 186 270 121% 7 MSWord 145 83 228 -43% 8 ASP 45 135 180 200% 9 Linux 121 45 166 -63% 10 Perl 113 37 150 -67% 11 IRC 51 86 137 69% 12 .NET 33 31 64 -6% 13 MS_DOS 14 44 58 214% 14 WinREG 19 39 58 105% 15 Symbian 19 30 49 58% 16 MacOS 2 33 35 1550% 17 Java 12 25 37 108% 18 NSIS 15 17 32 13% 19 MSPPoint 17 16 33 -6% 20 MSExcel 19 10 29 -47% 21 SunOS 18 2 20 -89% 22 Multi 8 11 19 38% 23 RAR 4 12 16 200% 24 HTA 6 4 10 -33% 25 Win16 3 7 10 133% 26 Python 5 9 14 80% 27 Ruby 3 5 8 67% 28 MSAccess 5 4 9 -20% 29 AutoCad 1 5 6 400% 30 MSOffice 3 3 6 0% 31 Unix 4 3 7 -25% 32 Boot 5 0 5 -100% 33 SWF 3 3 6 0% 34 Win9x 1 3 4 200% 35 WMA 1 3 4 200% 36 AutoLISP 0 3 3 37 ZIP 3 0 3 -100% 38 BeOS 1 0 1 -100% 39 Boot-DOS 1 0 1 -100% 40 FreeBSD 0 1 1 41 SAP 1 0 1 -100% 42 SQL 0 1 1 43 Win64 1 0 1 -100% Посмотрим на график темпов роста числа вредоносных, рекламных и потенциально опасных программ для всех платформ. Мы не включили в этот график платформы и приложения, для которых в 2007 году появилось менее 20 вредоносных, рекламных и потенциально опасных программ. График составлен на основе сравнения показателей первого и второго полугодия 2007 года.
Рост числа вредоносных, рекламных и потенциально опасных программ
для различных платформ во втором полугодии 2007 годаЕсли в первом полугодии лидерами по темпам роста (более чем на 150%) оказались скриптовые языки Java Script, PHP, Ruby и платформа MS Office, то во втором полугодии картина значительно изменилась. Абсолютным лидером (рост 1550%) оказалась операционная система MacOS X, которая в 2007 году была атакована 35 раз, из которых 33 — во второй половине года. В полугодовом отчете мы констатировали странный факт отсутствия новых зловредов для этой платформы, несмотря на ее все более растущую популярность (за год (с июня 2006 по май 2007) для нее не было создано ни одной вредоносной программы). Но к концу года ситуация все-таки стала именно такой, как и предсказывали эксперты. Основным видом вредоносных программ для «маков» в этом году были троянские программы, в том числе подменяющие пользовательские DNS-запросы и ориентированные на фишинговую кражу данных.
Появление новых вирусов для MS-DOS, похоже, следует отнести к курьезам современной вирусологии, тем более что в реальных цифрах это составляет всего лишь пять десятков «ремейков» давно забытых программ.
А вот рост вредоносов в виде HTML-страниц или реализованных на языке ASP — это довольно серьезно. HTML-зловреды как правило представляют собой фишинговые страницы или ложные «открытки», обращение к которым может привести к заражению компьютера пользователя либо к краже персональных данных. ASP является одним из наиболее популярных в Китае способов реализации управления зараженными сайтами и установленными там бэкдорами через Web-интерфейс.
В целом же, картина угроз для разных платформ и операционных систем в течение 2007 года менялась незначительно. Зафиксированный в 2006 году стремительный рост числа троянских программ, использующих множественные уязвимости в Microsoft Office и его приложениях (Word, Excel, Power Point и т.д.), сейчас остановился, и в темпах роста таких вредоносных программ даже наметился некий спад. Вызвано это тем, что Microsoft, по всей видимости, удалось устранить все критические уязвимости в данных продуктах. Впрочем, более 200 вредоносных программ только для одного MS Word — это все еще весьма серьезный показатель. Многие из этих программ были использованы в 2007 году для проведения ряда нашумевших атак, в организации которых обвинялись китайские хакеры.
Главным же «прорывом» года стал все-таки JavaScript: фактически он стал самой инновационной средой разработки и реализации вредоносных программ. Теперь на JavaScript пишутся не только простейшие Trojan-Downloader, но и сложные эксплойты, использующие уязвимости в браузерах, почтовые черви, различные спам-боты и фишинговые грабберы. По итогам года число новых вредоносных программ на JavaScript почти втрое превысило показатели его «брата-близнеца», языка Visual Basic Scipt.
Можно попробовать сгруппировать все 43 атакованные в 2007 ОС и платформы по общему признаку, а именно по конечной атакуемой ОС. Например, JS и VBS мы причислим к Windows, а Ruby и Perl к *nix. Это позволит нам установить реальное положение дел в извечном споре «существует ли вирусная угроза для тех, кто не пользуется Windows».
ОС Число %% Windows 236430 99,660 Nix 602 0,254 Mac 35 0,015 Mobile 63 0,027 Прочие 106 0,045 В *nix вошли: FreeBSD, Linux, Perl, PHP, Ruby, Unix.
В mobile вошли: Python, Symbian.
В «прочие» вошли: BeOS, Boot, Boot-DOS, MS-DOS, Multi, SAP, SQL, SunOS.Выводы из данной статистики мы предлагаем читателям сделать самостоятельно.
Обновления антивирусных баз
На рост числа вирусных угроз и увеличение частоты появления новых «Лаборатория Касперского» отвечала ускорением выпуска антивирусных баз и увеличением скорости реакции.
Новые записи в антивирусных базах
Количество ежемесячных новых записей в антивирусных базах «Антивируса Касперского» в 2007 году варьировалось примерно от 8000 в начале до 28 000 в середине года и 23 000 к концу периода. По итогам 2007 года среднемесячное число записей составило 19 770.
Количество новых записей в антивирусных базах в 2007 годуКак видно из приведенного графика, количество ежемесячных записей в антивирусных базах увеличивалось в течение года не равномерно. Мы наблюдаем два пика – в мае и августе 2007 года, когда вирусными аналитиками «Лаборатории Касперского» были обработаны рекордные числа новых вредоносных программ и установлены показатели в 27 847 и 31 305 записей соответственно.
Регулярные и срочные обновления
«Лаборатория Касперского» выпускает два вида обновлений антивирусных баз: регулярные и срочные (в случае эпидемии). Общее число регулярных обновлений в 2007 году превысило 10 000, а в среднем за месяц выходило почти 900 обновлений.
Количество регулярных обновлений баз в 2007 годуВ приведенной статистике виден резкий рост количества обновлений начиная с октября 2007 года. Именно в это время «Лаборатория Касперского» ввела в действие новую систему выпуска обновлений. Если ранее они выходили примерно один раз в час, то теперь промежуток между регулярными обновлениями сократился до получаса!
Это составляет примерно 40-50 обновлений в течение 24 часов, что является лучшим результатом во всей антивирусной индустрии.
Количество срочных обновлений баз в 2007 годуСобытий, удостоенных срочного выпуска обновлений, в 2007 году было на 51% меньше, чем в 2006 году, а во втором полугодии 2007 на 88% меньше, чем в первые шесть месяцев года. Отчасти это было вызвано переходом на «получасовую» схему выпуска обновлений.
Среднее число срочных обновлений в месяц составило 9,17.
Прогнозы на 2008 год
1. MalWare 2.0
Эволюция схемы функционирования вредоносных программ от единичных зловредов к сложным и взаимодействующим между собой проектам началась четыре года назад с модульной системы компонент, использованной в черве Bagle. Новая модель функционирования вредоносных программ, оформившаяся в конце 2006 года в виде червя Warezov и показавшая в 2007 году свою жизнестойкость и эффективность в виде «Штормового червя» (Zhelatin), не только должна стать стандартом для массы новых вредоносных проектов, но и получить свое дальнейшее развитие.
Основными чертами этой модели являются следующие:
- отсутствие единого центра управления сетью зараженных компьютеров;
- активное противодействия попыткам стороннего исследования и перехвата управления;
- рассылки вредоносного кода массовые и кратковременные одновременно;
- грамотное применение средств социальной инженерии;
- использование разных способов распространения и постепенный отказ от наиболее заметных из них (электронная почта);
- для осуществления разных функций используются разные модули (а не один универсальный).По аналогии с известным термином Web 2.0 новое поколение вредоносных программ можно назвать MalWare 2.0.
В настоящий момент перечисленные черты есть у всех трех вышеупомянутых вредоносных программ: Bagle, Zhelatin и Warezov. Все они не столько ориентированы на кражу информации, сколько нацелены на осуществление большей части нынешних спам-рассылок. Однако некоторые семейства «банковских» и «игровых» троянцев уже начинают демонстрировать отдельные черты такой схемы функционирования.
2. Руткиты и «буткиты»
Техника сокрытия присутствия в системе (руткиты) станет применяться не только в троянских программах, но и в файловых вирусах. Таким образом, мы как бы вернемся к временам существования MS-DOS, когда существовали резидентные стелс-вирусы. Это является логичным развитием методов противодействия антивирусным программам. Вредоносные программы теперь стремятся «выжить» в системе даже будучи обнаруженными.
Еще одним опасным способом сокрытия присутствия программы в компьютере будет технология заражения загрузочного сектора диска — так называемые «буткиты». Это очередная реинкарнация старой техники, позволяющая вредоносной программе получить управление еще до загрузки основной части операционной системы (и антивирусных программ). Появившись в виде концепта в 2005 году, в 2007 этот прием был реализован в Backdoor.Win32.Sinowal и вызвал несколько тысяч заражений по всему миру в течение двух последних недель года. Этот прием особенно опасен для пользователей, и в 2008 году может стать одной из главных проблем информационной безопасности.
3. Файловые вирусы
Файловые вирусы продолжат свое возвращение. На первом месте по-прежнему будут китайские вирусописатели, и нацелены вирусы будут на пользователей онлайн-игр. Не исключено, что заражение файлов возьмут на вооружение авторы Zhelatin или Warezov — ведь это даст этим вредоносным программам еще один серьезный способ распространения.
В 2008 году нас ожидает множество инцидентов с зараженными дистрибутивами игр и программ, размещенных на популярных сайтах и в файлообменных сетях. Вирусы будут стремиться заразить те файлы, которые пользователь предоставляет для общего пользования. Во многих случаях такой способ распространения может оказаться даже более эффективным, чем рассылка вредоносного файла по электронной почте.
4. Атаки на социальные сети
Пользователи социальных сетей станут основной мишенью фишинга. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, будут пользоваться повышенным спросом у злоумышленников. Это станет важной альтернативой методике размещения вредоносных программ на взломанных сайтах. В 2008 году множество троянских программ будут распространяться именно через аккаунты пользователей социальных сетей, через их блоги и профили.
Еще одной, связанной с социальными сетями, проблемой останутся XSSPHPSQL-атаки. В отличие от фишинга, в основе которого исключительно мошеннические методы и методы социальной инженерии, эти атаки используют ошибки и уязвимости самих Web 2.0-сервисов и могут затронуть даже весьма грамотных пользователей. Под прицелом, как всегда, будут частные данные, которые нужны для создания некоторых баз/списков для проведения последующих атак «традиционными» способами.
5. Угрозы для мобильных устройств
Что касается мобильных устройств, и в первую очередь мобильных телефонов, то угрозы будут распределяться между примитивными троянскими программами, аналогичными представителям семейства Skuller для Symbian и «первому троянцу» для iPhone, и различными уязвимостями в операционных системах и приложениях для смартфонов. Возникновение некоей глобальной эпидемии мобильного червя пока представляется маловероятным, хотя технические предпосылки для этого уже существуют. Наблюдавшаяся консолидация рынка операционных систем для смартфонов между Symbian и Windows Mobile, в 2007 году была нарушена появлением iPhone и анонсированием новой мобильной платформы Android от Google. Вероятней всего, именно новизна и популярность iPhone привлекут к нему внимание злоумышленников более, чем к другим мобильным устройствам. Особенно, если средства разработки приложений для него (SDK) станут общедоступными, как это анонсировала компания Apple в конце 2007 года.
Kaspersky Security Bulletin 2007. Развитие угроз в 2007 году