Kaspersky Security Bulletin 2008. Развитие угроз в первом полугодии 2008 года

В этом отчете проанализирована динамика развития вредоносных программ в первом полугодии 2008 года и проведено сравнение с данными второго полугодия 2007.

Отчет содержит большое количество статистической информации и фактов.

В первую очередь он предназначен для профессионалов в области компьютерной безопасности, но также может быть полезен всем пользователям, которые интересуются проблемами компьютерной вирусологии.

• Итоги полугодия
• Вредоносные программы
  • Троянские программы
    • «Мобильные» угрозы: начало коммерциализации
    • Игровые троянцы: игра продолжается
  • Черви и вирусы
  • Другие вредоносные программы (Other MalWare)
• Потенциально нежелательные программы (PUPs)
  • Рекламные программы
  • Программы классов RiskWare и PornWare
• Платформы и операционные системы
• Заключение

Итоги полугодия

Первая половина 2008 года подтвердила наши прогнозы и опасения о направлениях развития вредоносных программ. В конце прошлого года наши прогнозы относительно развития вредоносных программ на 2008 год были таковы:

• дальнейшее развитие так называемых технологий Malware 2.0
• развитие руткитов
• возвращение файловых вирусов
• атаки на социальные сети
• угрозы для мобильных устройств

Первая половина 2008 года подтвердила наши опасения.

Одной из самых заметных вредоносных программ в первом полугодии 2008 года, несомненно, был Штормовой червь (Zhelatin), который по-прежнему находится в авангарде Malware 2.0. Было зафиксировано около десятка масштабных вспышек его активности – и во всех использовались уже отлаженные методики: рассылка писем со ссылками на взломанные или специально подготовленные сервера, на которых находилось основное тело червя, размещение этих же ссылок в социальных сетях и их распространение через инстант-мессенджеры.

Что же касается руткитов, то проблема «буткитов», проявившаяся в самом конце 2007 года, в январе-марте 2008 стала особенно актуальной – в связи с появлением новых модификаций одного и того же семейства Sinowal. В дальнейшем развитие этой вредоносной программы прекратилось, однако говорить о том, что буткиты перестали быть актуальной проблемой, не стоит. Буткит-технология содержит достаточно много проблемных мест для существующих антивирусных технологий, и отсутствие новых буткитов скорее похоже на паузу, чем на отказ вирусописателей от дальнейшего развития перспективной с их точки зрения технологии.

С другой стороны, на поле классических руткитов наконец-то был обнаружен «мифический» Rustock.c. (Истории его появления и развития была посвящена наша отдельная статья) Это событие высветило еще несколько серьезных проблем в антивирусной индустрии, не только связанных с детектированием и лечением руткитов в целом, но и касающихся методик сбора и анализа новых самплов, а также скорости реакции вендоров на подобные угрозы.

От технологий, использованных в Rustock, легко можно построить две цепочки: логическую и технологическую — еще к одной важной проблеме, точнее, двум – обфускации и полиморфизму. Примененные в Rustock методы «замусоривания» кода, призванные максимально осложнить его анализ и разработку методов противодействия, давно и активно применяются в файловых вирусах. И они тоже активно развивались, в основном за счет китайских вирусописателей. Однако это развитие заключалось в том, что в различные бэкдоры и черви добавлялся вирусный функционал, а не в том, что создавались собственно новые файловые вирусы.

Современные вирусы уже не содержат в себе исключительно функции заражения файлов. Сейчас они стали мощными компонентами ботнетов, ориентированными в том числе на кражу пользовательских данных и организацию DDoS-атак. Ярчайшими представителями подобных программ являются вирусы Virut, Alman, Allaple, черви Fujack и Autorun. В первом полугодии 2008 года эти вредоносные программы вызвали множественные заражения по всему миру. Это означает, что в ближайшем будущем вирусный функционал будет еще активнее добавляться в бэкдоры и черви.

Социальные сети подверглись мощнейшим атакам за всю свою историю. Фактически все наиболее популярные сети стали полем применения различных вирусных и спамерских технологий. Теперь там встречаются не только XSS-черви, как это было ранее. Вирусописатели отказались от попыток поиска уязвимостей в движках социальных сетей и стали использовать старый, но по-прежнему эффективный метод – социальную инженерию. Для этого оказалось достаточным научиться отправлять от имени «друзей» атакуемого пользователя ссылки на зараженные веб-сайты. Из зарубежных социальных сетей наибольшему числу атак подверглись MySpace и Orkut. Позднее к ним добавился и Facebook. Российских пользователей атаковали черви и троянские программы, распространявшиеся через ссылки в «Одноклассники.ru» и «ВКонтакте».

Для мобильных устройств внезапно изменился акцент угроз: вместо атак на смартфоны вирусописатели решили значительно расширить зону поражения и стали специализироваться, в основном, на троянских программах, созданных для платформы J2ME и способных функционировать практически на любом мобильном телефоне. Сами же программы (обнаруженные в количестве почти пяти десятков новых вариантов) занимаются одним и тем же: отправляют SMS на платные премиум-номера, опустошая баланс пользователя и принося прямую прибыль авторам троянцев.

В течение первого полугодия 2008 года в наши базы было добавлено 440 311 программ. В прошлом полугодии – 136 953.

Число новых детектируемых программ

Распределение детектируемых программ по классам.
Первое полугодие 2008

Из приведенных данных видно, что общее число угроз за первые шесть месяцев 2008 года утроилось по сравнению с итогами предыдущего полугодия.

При составлении данного отчета мы использовали в качестве параметров оценки количество детектирующих записей, добавленных в антивирусные базы «Лаборатории Касперского» в первом полугодии 2008 года.

В настоящий момент в антивирусной индустрии не существует единого подхода к тому, как подсчитывать количество вредоносных программ. Активно используются два основных способа подсчета – по числу уникальных файлов и по числу детектирующих записей (сигнатур). Каждый из этих подходов имеет как свои плюсы, так и свои минусы.

Способ подсчета по числу уникальных файлов (имеющих уникальный MD5), попавших в коллекции антивирусных компаний, имеет право на существование. Однако следует отметить, что результаты подсчетов, сделанных этим способом и сигнатурным, будут существенно отличаться.- Этот способ хорош именно в наши дни, поскольку подавляющее большинство современных угроз — это троянские программы, не изменяющие свое тело и не заражающие другие файлы.

Однако не стоит забывать, что среди этих уникальных файлов весьма значительное количество будут составлять и файлы, зараженные файловыми вирусами, и различные инсталляторы-дропперы, сами по себе не являющиеся вредоносными программами и отличающиеся друг от друга, но содержащие внутри себя одну и ту же троянскую программу. В это число входят и различные скрипт- и html-файлы, офисные документы и многое другое – все, что, являясь уникальным в каждом конкретном случае, может быть объединено по факту наличия одной и той же угрозы.

Что же касается сигнатурного показателя, то его данные будут отличаться у разных антивирусных компаний из-за различий в используемых технологиях и движках.

Однако сигнатурный подсчет является, на наш взгляд, наиболее правильным при анализе статистики в рамках одной антивирусной компании и полностью отражает общую динамику развития угроз.

В первом полугодии 2008 года число уникальных файлов, обнаруженных «Лабораторией Касперского», превысило 5 000 000 экземпляров. Количество сигнатур, занесенных в базы, составило 440 000. Все сигнатуры встречаются приблизительно в одинаковом количестве уникальных файлов.

Учитывая существующую динамику появления новых вредоносных программ, можно сделать прогноз о том, что до конца года общее число уникальных файлов, содержащих в себе различные вредоносные и потенциально опасные программы, составит около 15 000 000.

Вредоносные программы

В первом полугодии 2008 года аналитики «Лаборатории Касперского» обнаружили 367 772 новые вредоносные программы — в 2,9 раз больше, чем во втором полугодии 2007 года. Среднее число новых вредоносных программ, обнаруживаемых за месяц, составило 61 295,33.

По сравнению со второй половиной 2007 года число новых программ увеличилось на 188,85%. Такие темпы роста значительно превосходят итоги 2007 года, когда было обнаружено на 114% вредоносных программ больше, чем в 2006 году.

Напомним, что согласно классификации «Лаборатории Касперского» существует три класса вредоносных программ:

• TrojWare: различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
• VirWare: саморазмножающиеся вредоносные программы (вирусы и черви);
• Other MalWare: программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.

2008 год не внес значительных изменений в соотношение классов вредоносных программ. Абсолютным лидером по-прежнему являются TrojWare, на которые приходится более 92% всех вредоносных программ. При этом доля TrojWare выросла лишь на 0,43% — это значительно меньше, чем их рост на два с лишним процента в 2007 году. Число новых троянских программ, обнаруженных в первом полугодии 2008 года, увеличилось на 190,2% по сравнению с предыдущим полугодием.

Наметилось изменение тенденции последних двух лет (напомним, что тогда доля разнообразных троянских программ увеличивалась, а показатели VirWare и Other MalWare уменьшались). В первом полугодии 2008 года доля программ класса Other MalWare выросла. Причем этот рост (более 0,5%) превысил аналогичный показатель доминирующего класса – TrojWare.

Распределение классов вредоносных программ
(второе полугодие 2007 и первое полугодие 2008)

Количество новых вредоносных программ, обнаруженных в первом полугодии 2008
(по классам)

Еще год назад – летом 2007 года – на Other MalWare приходилось 1,95% всех вредоносных программ. Этот показатель начал расти во втором полугодии 2007 года (2,87%), и продолжал расти в первой половине 2008 года. По итогам полугодия доля класса Other Malware достигла 3,48%. Учитывая, что количество новых программ данного класса выросло в 3,5 раза по сравнению с показателями второй половины 2007 года, можно констатировать стремительный рост числа различных «неклассических угроз».

Число новых программ класса Other Malware выросло за полгода почти на 250%, что позволило им почти вплотную приблизиться к VirWare. В течение полугодия новых представителей класса Other Malware было обнаружено всего лишь на 1776 меньше, чем новых WirWare-программ. В конце года при сохранении темпов роста в обоих классах весьма вероятен выход Other Malware на второе место по численности среди всех вредоносных программ.

Дополнительными факторами увеличения доли программ Other MalWare стало появление многочисленных новых эксплойтов и значительное расширение спектра вредоносных поведений, ранее остававшихся вне поля зрения антивирусных компаний (FraudTool) и добавленных в антивирусные базы в первом полугодии 2008 года.

Процесс замедления роста класса VirWare начался пять лет назад. И в настоящее время лидировавшие на тот момент вирусы и черви практически прекратили свое развитие. Уменьшение доли класса VirWare продолжилось и в 2008 году: по итогам первого полугодия на программы этого класса приходится уже менее 4% всех вредоносных программ – на 1,03% меньше, чем во втором полугодии 2007 года. При этом темпы уменьшения долевых показателей VirWare превышают прошлогодние, а рост числа новых вирусов и червей значительно отстает от аналогичных показателей других классов – их было обнаружено на 129,0% больше, чем в предыдущем полугодии.

Можно констатировать, что в распределении классов вредоносных программ наступил период стабилизации. Объективными причинами этого являются как уже существующее доминирование троянских программ, так и постепенно намечающееся изменение общей направленности угроз.

Рассмотрим подробнее изменения, произошедшие в каждом из классов.

Троянские программы

Представим количество обнаруживаемых аналитиками «Лаборатории Касперского» новых троянских программ в виде графика:

Число новых TrojWare-программ, обнаруженных аналитиками «Лаборатории Касперского»
(июль 2007 – июнь 2008)

Во второй половине 2007 года число обнаруживаемых за месяц новых троянских программ начало уменьшаться. Однако с начала 2008 года вновь начался их рост, по итогам полугодия составивший 190,2%. В течение первых шести месяцев 2008 года было зафиксировано три пика: в январе, марте и мае. За каждым из них следовал либо небольшой спад, либо период стабильности, впоследствии сменяющийся еще более стремительным ростом числа новых троянцев. Эта динамика отчасти повторяет динамику 2007 года (тогда было отмечено два пика – в мае и августе – с последующими спадами) и в корне отличается от ситуации 2006 года, когда рост числа новых троянцев был непрерывным.

Вероятней всего в обозримом будущем стремительный рост числа новых троянских программ продолжится. Однако этот рост не сопровождается совершенствованием технологий. В подавляющем большинстве троянские программы остаются весьма примитивными творениями малообразованных script-kiddies, и увеличение их количества обусловлено исключительно доступностью троянцев на черном рынке, а также относительной легкостью их распространения.

В соотношении поведений троянских программ наиболее значимые изменения произошли с Trojan, которые поднялись с пятой позиции на третью, войдя в группу лидирующих поведений.

TrojWare: процентное соотношение поведений внутри класса

Чтобы лучше понять изменения, происходившие в классе троянских программ, рассмотрим, как увеличивалось число вредоносных программ различных поведений.

Количество новых вредоносных программ класса TrojWare (по поведениям)

Рост числа новых вредоносных программ класса TrojWare

В первой половине 2008 года среди троянских программ наиболее внушительный рост (более 200%) показали Trojan-Dropper, Trojan, Trojan-Clicker и Rootkit. (Показатели поведений Trojan-AOL, Trojan-IM, Trojan-SMS мы во внимание принимать не будем, поскольку таких программ очень мало.)

Наиболее впечатляют результаты Trojan-Dropper. Рост более чем на 660% является рекордом последних лет для всех троянцев. Растущая популярность вредоносных программ этого поведения вызвана тем, что все больше вирусописателей начинают использовать тактику сокрытия троянского файла внутри дистрибутивов других программ для одновременной установки на пораженный компьютер максимального количества различных троянцев. Эта ситуация является следствием того, что в киберпреступном мире распространением вредоносных программ занимаются специализированные группировки, а не их авторы или покупатели.

Эти же причины, вероятно, имеют отношение и к динамике долевых показателей Trojan-Downloader. Данное поведение, бывшее в 2006 году лидером по численности, в прошлом году уступило первое место Backdoor. В первом полугодии 2008 года, несмотря на то что процент Trojan-Downloader продолжил уменьшаться (-2,4%), они сохранили за собой второе место, обогнав Trojan всего на 1%.

Интересен рост числа «обычных» Trojan (на 488%). Ранее Trojan относилось ко «второму эшелону» поведений, и никаких предпосылок для их бурного роста не было. То, что произошло с Trojan в первом полугодии 2008 года, во многом вызвано стремлением вирусописателей к универсализации троянского кода. Они все чаще отказываются от практики создания нескольких функциональных модулей, взаимодействующих друг с другом, и пытаются реализовать все в рамках одного приложения. Такой подход является реакцией злоумышленников на новые антивирусные разработки: для одиночного троянца легче продлить время жизни с момента его выпуска до попаданиям в антивирусные базы.

Растущая популярность Trojan-Clicker обусловлена вниманием киберпреступников к одному из способов незаконного заработка в Интернете. Речь идет о получении денег за «клики» на рекламные ссылки и «накрутку» интернет-рейтингов. Этот вид мошенничества известен достаточно давно, однако до 2008 года не вызывал значительного интереса у вирусописателей. В 2008 году ситуация изменилась, в результате за полгода появилось на 250% больше новых Trojan-Clicker, чем за предыдущие шесть месяцев.

Что же касается руткитов, то, несмотря на значительные темпы роста (246%), их доля относительно всех троянских программ изменилась незначительно (+0,9%).

В июне 2008 года «Лаборатория Касперского» выделила в отдельные поведения несколько семейств вредоносных программ. Были созданы два новых поведения: Trojan-Mailfinder и Trojan-Ransom.

Основная функция программ, вошедших в Trojan-Mailfinder, заключается в сборе адресов электронной почты на зараженных компьютерах для пополнения баз спамеров. Это поведение сформировано как из различных троянских программ, так и из части программ, ранее относившихся к поведению SpamTool класса Other Malware.

Немногочисленные, но весьма опасные троянцы-«вымогатели» выделены нами в отдельное поведение Trojan-Ransom. Сюда относятся все вредоносные программы, которые тем или иным образом выводят из строя ОС, шифруют пользовательские файлы (таким образом злоумышленники получают возможность вымогать у пострадавших деньги, предлагая взамен восстановление данных).

В июле 2008 года в нашей классификации появятся еще два поведения: Trojan-Banker и Trojan-GameThief.

В Trojan-Banker войдут все троянские программы, занимающиеся кражей доступа к аккаунтам банковских систем и данных кредитных карт. Ранее такие программы относились в основном к поведениям Trojan-Spy и Trojan-PSW.

Trojan-GameThief должен объединить множество троянцев, ориентированных на кражу пользовательских данных от популярных онлайн-игр. Напомним, что в прошлом году именно такие игровые троянцы стали самым массовым видом вредоносных программ. К поведению Trojan-GameThief будут относиться несколько семейств, ранее также классифицируемых как Trojan-Spy и Trojan-PSW.

Появление в классификации ряда новых поведений троянцев должно оказать заметное влияние на распределение троянских программ по поведениям. Вероятно, мы сможем рассказать об этом уже в нашем следующем отчете – по итогам всего 2008 года.

В настоящее время внутри класса TrojWare мы выделяем три основные группы поведений:

1. Backdoor, Trojan-Downloader, Trojan, Trojan-PSW.
   Наиболее распространенные троянские программы, в целом составляющие около 85% всего класса TrojWare (доля каждого поведения в общей массе троянских программ превышает 17%).За полгода в лидирующую группу прорвались Trojan, доля которых среди всех троянских программ увеличилась на 9%. Отметим, что из всех четырех поведений первой группы увеличилась только доля Trojan, тогда как долевые показатели остальных поведений уменьшились (например падение доли Backdoor составило более 4%).

   Для этой группы во второй половине 2008 года будут характерны высокие темпы роста (более 150%). Продолжится увеличение доли Trojan и снижение долей Trojan-Downloader и Trojan-PSW. Бэкдоры по-прежнему останутся самым популярным видом вредоносных программ — в первую очередь, за счет усилий китайских вирусописателей.

2. Trojan-Spy и Trojan-Dropper.
   За первые шесть месяцев 2008 года из второй группы ушли в первую группу Trojan, но им на смену из третьей группы поднялись Trojan-Dropper. Долевые показатели поведений второй группы составляют 5-7%. Темпы роста у Trojan-Spy и Trojan-Dropper сильно отличаются (напомним, что Trojan-Dropper – рекордсмены по темпам роста с показателем 663,1%).Во втором полугодии 2008 года доля дропперов среди всех троянских программ, вероятно, продолжит расти, что позволит этому поведению приблизиться к первой группе. Во вторую группу, вероятно, войдут и недавно образованные Trojan-Banker и Trojan-GameThief.
3. Trojan-Proxy, Trojan-Clicker, Other.
   Доля каждого поведения менее 1,2%. За исключением Trojan-Clicker, темпы роста поведений данной группы незначительны.Не исключено увеличение числа программ какого-то одного поведения, например
4. Trojan-Clicker, до уровня второй группы, однако гораздо выше вероятность того, что доли зловредов в этой группе будут и далее уменьшаться под натиском представителей первой группы.

В третьей группе особый интерес представляют Trojan-SMS, число которых в первой половине 2008 года выросло на 422% и приблизилось к пятидесяти. Конечно, на фоне более чем 100 000 новых бэкдоров это совсем скромный показатель, однако Trojan-SMS отличаются от всех остальных вредоносных программ тем, что все они работают на мобильных телефонах и являются, пожалуй, самой актуальной угрозой для мобильных устройств.

«Мобильные» угрозы: начало коммерциализации

Первое полугодие 2008 года выдалось интересным с точки зрения мобильных угроз, а точнее, одного из их видов: троянских программ, скрытно отправляющих платные SMS на короткие премиум-номера.

В данном контексте стоит отметить:

1. Рост числа вредоносных программ поведения Trojan-SMS.
2. Кроссплатформенность мобильных троянцев: под угрозой находятся любые телефоны, поддерживающие Java-приложения или имеющие интерпретатор языка Python.
3. Рост числа WAP-сайтов, на которых размещены такие троянские программы.
4. Появление в ICQ спам-рассылок, рекламирующих WAP-сайты и вредоносные программы, размещенные на них.
5. Разнообразные методы социальной инженерии, используемые при распространении и маскировке вредоносных программ.
6. Фиксированное количество коротких номеров, которые используют мошенники.

Об этих и других тенденциях более подробно будет рассказано ниже.

Начнем с роста числа вредоносных программ поведения Trojan-SMS. За первое полугодие 2008 года таких программ было обнаружено больше, чем за все время их существования. Напомним, что первая вредоносная программа этого поведения была задетектирована нами 27 февраля 2006 года (Trojan-SMS.J2ME.RedBrowser.a).

Число новых Trojan-SMS, обнаруженных
аналитиками «Лаборатории Касперского» (по месяцам 2008)

В целом за шесть месяцев 2008 года было обнаружено на 422% больше новых Trojan-SMS, чем во втором полугодии 2007 года.

В настоящий момент насчитывается 9 семейств для платформы J2ME, 3 – для Symbian и 1 для Python.

Что же представляют собой такие троянцы? Сами по себе данные вредоносные программы — достаточно примитивные поделки.

Если говорить о J2ME-троянцах, то абсолютное большинство их имеют следующую структуру: jar-архив, в котором есть несколько class-файлов. Один из этих файлов и осуществляет отправку платного SMS-сообщения на короткий номер (естественно, не спрашивая разрешения владельца телефона об отправке и не уведомляя его о стоимости такого сообщения). Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем – эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.

Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), практически ничем не отличаются от J2ME-троянцев: примитивность самой программы и ее задача остаются такими же. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные скрипты, служащие для маскировки основной деятельности вредоносной программы.

Trojan-SMS опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем. Что касается Trojan-SMS.Python, то здесь идет речь о кроссплатформенности в сегменте смартфонов на базе OS Symbian. Если в телефоне (с любой версией ОС) имеется интерпретатор Python’а, то Trojan-SMS.Python сможет функционировать на любой из таких моделей.

Самый популярный (из числа немногих) способ распространения таких вредоносных программ – через различные WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируются либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного Интернета, либо под приложения эротического или порнографического характера.

Иногда вирусописатели придумывают довольно оригинальные способы маскировки вредоносных действий программы. Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.

Практически все сайты, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации (буквально пара кликов) и бесплатный доступ к таким сервисам позволяют вирусописателям распространять свои примитивные поделки безо всяких проблем. Злоумышленнику остается лишь дать файлу как можно более привлекательное для потенциальных жертв имя (free_gprs_internet, otpravka_sms_besplatno, golaya_devushka и так далее), написать такой же завлекательный комментарий и ждать, когда кто-то из пользователей решит «бесплатно отправить смс» или «посмотреть эротические картинки».

После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди – потенциальные жертвы.

Таким образом, складывается интересная цепочка: создание вредоносной программы  ее размещение на WAP-сайте с привлекательным названием и комментарием  проведение спам-рассылки, которая может затронуть пользователей мобильных клиентов ICQ.

Теперь нам остается рассмотреть лишь один вопрос, который касается коротких номеров, используемых мобильными троянцами. Среди всех вредоносных программ, которые были обнаружены «Лабораторией Касперского», наиболее популярными оказались три коротких номера: 1171, 1161, 3649. Причем эти номера используются не только злоумышленниками, но и различными легальными компаниями, предоставляющими разного рода услуги. Получатель платежа за SMS определяется префиксом, с которым сообщение отправлено. В различных Trojan-SMS эти префиксы меняются, но иногда встречаются и повторения.

Популярность такого вида киберпреступности обусловлена исключительной простотой SMS-платежей.

Известно, что сотовые операторы сдают короткие номера в аренду. Частному лицу арендовать такой номер слишком дорого. Но существуют контент-провайдеры, которые такие короткие номера сдают в субаренду, добавляя к ним определенный префикс. Таким образом один и тот же короткий номер, но с разными префиксами могут использовать несколько арендаторов.

Например, короткий номер 1171 принадлежит одному из таких провайдеров, но если на номер 1171 будет отправлено сообщение, начинающееся на «S1», то система провайдера переведет часть стоимости такой SMS на счет субарендатора «S1».

Сотовый оператор забирает себе от 45% до 49% от стоимости отправленной на короткий номер SMS, около 10% получает арендующий этот номер провайдер. Остальные деньги отправляются субарендатору — в данном случае «мобильному» мошеннику.

Подведем итоги: первое полугодие 2008 года характеризуется первым в истории вредоносного ПО значимым ростом вредоносных программ для мобильных телефонов, которые отправляют платные SMS-сообщения на короткие премиум-номера без ведома владельцев телефонов. Очевидно, что все эти программы создавались с одной целью: обманным путем получить деньги пользователей. Простота создания и распространения таких приложений может привести к дальнейшему росту вредоносных программ поведения Trojan-SMS во втором полугодии 2008 года. Будем следить за развитием ситуации.

Игровые троянцы: игра продолжается

Одна из ярких тенденций прошлого года – стремительный рост числа новых вредоносных программ, нацеленных на кражу паролей к онлайн-играм – сохранилась и в первой половине 2008 года. За шесть месяцев было обнаружено 49 094 новых игровых троянца. Это в полтора раза больше, чем число аналогичных торянских программ, обнаруженных за весь 2007 год, и на 264,6% превышает показатели предыдущего полугодия.

Число новых троянских программ, ворующих пароли к онлайн-играм,
обнаруженных аналитиками «Лаборатории Касперского»

Число новых игровых троянцев,
обнаруженных аналитиками «Лаборатории Касперского» (июль 2007 — июнь 2008)

95% всех новых игровых троянцев, обнаруженных в первой половине 2008 года, воруют пароли не к одной онлайн-игре, а нацелены сразу на несколько игр. К таким программам относятся представители семейств Trojan-PSW.Win32.OnLineGames и Trojan-PSW.Win32.Magania.

Семейство OnLineGames наиболее многочисленное, на его долю по итогам года пришлось 57,6% всех «игровых» троянцев. Количество вредоносных программ этого семейства на протяжении первых шести месяцев 2008 года стремительно росло, значительно опережая рост числа троянцев, ворующих пароли к одной онлайн-игре.

Троянские программы семейства Magania интересны тем, что ориентированы только на пользователей одного популярного игрового портала (подробности на http://en.wikipedia.org/wiki/Gamania). С мая это семейство начало резко терять популярность в связи с закрытием на портале нескольких онлайновых миров (в том числе одного из самых известных MapleStory), но, несмотря на это, по итогам полугодия 37,4% всех новых игровых троянцев оказались представителями Magania.

Количество новых вредоносных программ наиболее популярных семейств «игровых» троянцев
(по месяцам 2008 года)

Trojan-PSW.Win32.OnLineGames — крадет пароли от нескольких онлайн игр
Trojan-PSW.Win32.Magania – атакует игровой портал Gamania
Trojan-PSW.Win32.Ganhame – атакует онлайн-игру Hangame Online
Trojan-PSW.Win32.Lmir – Legend of Mir
Trojan-PSW.Win32.Nilage – Lineage
Trojan-PSW.Win32.WOW – World of Warcraft

Популярность онлайн-игр у вирусописателей напрямую зависит от популярности этих игр у игроков и от того, насколько развит рынок виртуальных ценностей той или иной игры. Львиная доля игровых троянцев, нацеленных на кражу паролей к одной онлайн-игре, атакует игроков четырех игр: популярных в Китае Legend of mir и Hangame, а также Lineage и World of Warcraft, в которые играют во всем мире.

Распределение наиболее популярных игровых троянцев, нацеленных на одну игру

Как видно на диаграмме, больше всего троянских программ ориентировано на кражу паролей к онлайн-игре Lineage. Согласно статистике с сайта mmogchart.com, Lineage, появившаяся в Сети одной из первых еще в 1999 году, в течение четырех лет занимала лидирующие позиции по числу подписчиков. В настоящее время Lineage имеет самую развитую экономику среди всех онлайн-игр и полностью сложившийся рынок виртуальной собственности, которую продают отнюдь не за виртуальные деньги.

Игра World of Warcraft, лидирующая сегодня на рынке онлайн-игр, по итогам полугодия по популярности у вирусописателей занимает только второе место. Однако именно ей принадлежит месячный рекорд по числу новых троянских программ: в мае было обнаружено 209 троянцев, нацеленных на игроков в World of Warcraft, что соответствует 6-7 новым троянцам в день.

Распределение подписчиков популярных онлайн-игр
Источник – mmogchart.com

В первом полугодии 2008 года изменился основной способ распространения вредоносных программ, ворующих пароли к онлайн-играм. В 2007 году злоумышленники предпочитали использовать самораспространяющиеся программы-носители (черви и вирусы). Сейчас самым популярным способом доставки игровых троянцев на компьютеры пользователей является массовый взлом сайтов (например, через sql-инъекции) и использование эксплойтов.

Именно со взломанного российского сайта троянец из семейства OnLineGames попал на компьютер пользователя, опубликовавшего приведенное ниже сообщение на одном из форумов.

Используемая схема распространения оказалась достаточно успешной. Однако в большинстве случаев атака не является целевой – игровым троянцем может заразиться любой посетитель взломанного сайта, а не только играющий в онлайн-игры. Злоумышленники решили использовать преимущества эффективного заражения и расширили функционал «игровых» троянцев: в первой половине 2008 года вирусописатели стали добавлять в программы, ворующие пароли от онлайн-игр, backdoor-модули, которые позволяют объединять зараженные компьютеры в зомби сети.

Таким образом, в первом полугодии 2008 года криминальный бизнес, связанный с кражей персонажей онлайн-игр и виртуальной собственности, продолжал развиваться. Каждый день «Лаборатория Касперского» обнаруживала в среднем 273 новых игровых троянца, из которых 259 были способны воровать пароли не к одной, а сразу к нескольким онлайн-играм. По числу новых вредоносных программ семейство Trojan-PSW.Win32.OnLineGames занимает второе место среди всех семейств класса TrojWare, уступая только Backdoor.Win32.Hupigon.

Вирусописатели оптимизировали разработанную ранее схему атаки. Для распространения своих творений они стали взламывать сайты. И если раньше троянские программы, ворующие пароли к онлайн-играм, представляли угрозу только для игроков, то теперь они опасны для всех посетителей Интернета: подавляющее большинство игровых троянцев, обнаруженных в течение последних месяцев, оснащены бэкдор-функционалом.

Очевидно, что в ближайшее время развитие вредоносных программ, ориентированных на игроков онлайн-игр, продолжится.

Черви и вирусы

Из трех классов вредоносных программ VirWare показали самые низкие темпы роста – всего 129%, однако на практике это означает более двух тысяч новых вирусов и червей в месяц.

Представим в виде графика количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых VirWare-программ:

Число новых VirWare-программ, обнаруженных аналитиками «Лаборатории Касперского»
(июль 2007 – июнь 2008)

На первый взгляд, картина роста числа новых вредоносных программ в этом классе весьма похожа на TrojWare — здесь также наблюдаются периоды подъема и последующего спада. Однако у VirWare подобных пиков в 2008 году было два, а не три, как у TrojWare. Это свидетельствует о том, что данный класс вредоносных программ живет и развивается по своим собственным законам. Отличие VirWare от остальных классов подтверждает и то, что количество программ этого класса растет очень медленно (всего на 129% по сравнению с предыдущим полугодием). В первой половине 2008 года это привело к очередному уменьшению их доли – более чем на 1%.

Если подобная динамика сохранится и во втором полугодии 2008 года, то не исключено перемещение данного класса на третье место и выход на второе место класса Other Malware.

Внутри самого VirWare за полгода произошли весьма значительные изменения. Долевое распределение поведений этого класса отражено на следующей диаграмме:

VirWare: процентное соотношение поведений внутри класса

Чтобы лучше понять изменения, происходившие в классе самораспространяющихся вредоносных программ, рассмотрим, как увеличивалось число вредоносных программ различных поведений.

Количество новых вредоносных программ класса VirWare (по поведениям)

Рост числа новых вредоносных программ класса VirWare

Труднообъяснимая метаморфоза произошла в классе VirWare с классическими файловыми вирусами. В 2007 году вирусы были лидерами по темпам роста (390%) среди всех вредоносных программ и завершили прошлое полугодие на первом месте среди VirWare с солидным показателем в 38,8%. А в первой половине 2008 года вирусы показали отрицательные темпы роста (-73%), и по итогам полугодия их доля составила чуть более 4,5%.

Мы ожидали постепенного увеличения числа более сложных вирусов и дальнейшего развития полиморфных технологий. Однако, судя по всему, киберпреступники увлечены «троянописательством» и не обладают достаточными знаниями для массового внедрения вирусных технологий. Для антивирусной индустрии это является, безусловно, хорошим признаком.

В лидеры вирусных программ прорвались представители Worm. Темпы роста (352%) привели к удвоению их доли среди всех VirWare и позволили им выйти на первое место с результатом, близким к 44%. Именно от подобных червей, распространяющихся на съемных накопителях и по локальным сетям, труднее всего очистить компьютеры пользователей.

Рост числа новых сетевых червей (Net-Worm) был просто беспрецедентным: более 1200% (!) по сравнению с прошлым полугодием. Поведение, практически полностью исчезнувшее в 2007 году, вдруг оказалось на втором месте. Причина столь стремительного роста, очевидно, кроется в дальнейшем развитии обычных Worm, которые выходят на очередной виток эволюции. Их авторы стремятся освоить новые способы распространения и начинают использовать старые методы, но уже на новом уровне. В условиях отсутствия критических уязвимостей, которые были основой работы таких червей прошлого, как Lovesan и Sasser, современные сетевые черви все чаще используют для распространения взломанные веб-сайты и социальные сети.

Не прекращающийся на протяжении последних лет рост числа почтовых червей продолжился и в 2008 году, однако оказался недостаточным для того, чтобы обеспечить им второе место. В первом полугодии 2008 года доля почтовых червей сократилась на 6,7%, и они заняли третье место с показателем 19%. Это означает, что каждый пятый новый представитель класса VirWare – червь, распространяющийся по электронной почте. Рост числа таких червей продолжается в основном за счет трех семейств: Warezov, Zhelatin и Bagle. Так же было и в 2007 году.

В классе VirWare можно выделить две основные группы поведений:

1. Email-Worm, Worm, Net-Worm.
   Долевые показатели каждого поведения превышают 18% от общего количества VirWare. Почти не изменилось количество новых программ бывшего лидера (Email-Worm) и резко выросло у Worm, Net-Worm.
2. IM-Worm, Virus, P2P-Worm, IRC-Worm. Доля каждого поведения в общем числе VirWare менее 6%. Темпы роста сильно отличаются – от отрицательных до сопоставимых с лидерами (более 300%). Однако вероятность значительного увеличения доли имеется только у Virus – остальные поведения зависят от второстепенных интернет-сервисов (IM, IRC, P2P).

Другие вредоносные программы (Other MalWare)

Этот класс все еще является наименее распространенным по количеству обнаруживаемых вредоносных программ, но самым многочисленным по числу поведений.

Слабый рост в 2004-2005 годах, небольшое падение в 2006 и рост на 27% по итогам 2007 года не дают возможность прогнозировать что-либо в отношении числа вредоносных программ класса Other MalWare. Можно лишь констатировать, что первая половина 2008 года оказалась для Other MalWare более чем успешной: новых вредоносных программ этого класса было обнаружено на 249,3% больше, чем в предыдущем полугодии.

Число программ класса Other Malware, обнаруженных аналитиками «Лаборатории Касперского»
(июль 2007 – июнь 2008)

Распределение Other MalWare-поведений можно представить в виде круговой диаграммы:

Other MalWare: процентное соотношение поведений внутри класса

Рассмотрим, как в этом классе увеличивалось число вредоносных программ различных поведений:

Количество новых вредоносных программ класса Other MalWare (по поведениям)

Рост числа новых вредоносных программ класса Other MalWare

Программы поведения Hoax продолжают оставаться самыми распространенными в этом классе. Третий год подряд мы отмечаем очень высокий процент роста – от 150% до 286%. Тем не менее, по итогам первых шести месяцев 2008 года их доля среди всех программ класса OtherMalware снизилась более чем на 3%.

Некогда лидер по численности – Exploit– продолжает терять позиции. Несмотря на рост в 178%, ему не удалось удержаться на втором месте. Сейчас эти программы занимают третье место по популярности и составляют всего лишь 15,5% от общего количества OtherMalware.

Два новых поведения, появившихся в нашей классификации только в 2007 году, – Packed и FraudTool – ведут себя по-разному. Значительный рост, который Packed показали в прошлом году, в первой половине 2008 года практически остановился (всего 26%). Это привело к уменьшению доли Packed среди всех программ класса Other Malware более чем на 7%.

А вот FraudTool фактически является лидером, наряду с Hoax. Это произошло из-за роста численности таких программ более чем на 760%. Популярность данного поведения вредоносных программ у вирусописателей продолжает расти. Основной разновидностью FraudTool являются так называемые rogue-antivirus – программы, выдающие себя за полноценные антивирусные решения. Будучи установленными на компьютер, они обязательно «находят» какой-нибудь вирус, даже на абсолютно чистой системе, и предлагают купить свою платную версию для «лечения». Помимо прямого обмана пользователей, эти программы несут в себе и adware-функционал.

Потенциально нежелательные программы (PUPs)

Потенциально нежелательные программы (Potentially Unwanted Programs) стали фигурировать в наших отчетах только в прошлом году. Это программы, которые разрабатываются и распространяются легальными компаниями, однако имеют набор функций, которые позволяют злоумышленникам использовать их во вред пользователям. Такие программы невозможно однозначно отнести ни к опасным, ни к безопасным — все зависит от того, в чьих руках они находятся.

Согласно классификации «Лаборатории Касперского», к потенциально нежелательным программам относятся три класса программ.

1. AdWare: программное обеспечение, предназначенное для показа рекламных сообщений, перенаправления поисковых запросов на рекламные web-страницы, а также для сбора данных маркетингового характера о пользователе (например, какие тематические сайты он посещает).
2. RiskWare: легальные программы, которые злоумышленники могут употребить во вред пользователю и его данным (уничтожить, блокировать, модифицировать или копировать информацию, нарушить работу компьютеров или компьютерных сетей).
3. PornWare: утилиты, связанные с демонстрацией порнографии (к этому классу относятся всего три поведения: Porn-Tool, Porn-Dialer и Porn-Downloader).

Рекламные программы

Самый стабильный класс программ. Второй год подряд AdWare демонстрируют одинаковые показатели темпов роста – более 450%. Среднемесячное количество новых образцов уже приближается к 8000, что вывело рекламные программы на второе место среди всех программ, детектируемых нашим антивирусом.

Проследим по графику количество обнаруживаемых аналитиками «Лаборатории Касперского» новых AdWare-программ:

Число новых программ класса AdWare
(июль 2007 – июнь 2008)

На графике виден начавшийся с первых месяцев 2008 года всплеск. Очередной раз приходится признать, что все усилия законодательных органов многих стран мира запретить подобные программы и привести их к более «легальному» виду пока не привели к успеху. Конечно, множество разработчиков AdWare изменили функционал своих продуктов (этим, в частности, обусловлен рост числа AdTool-программ, о которых речь пойдет ниже), однако этого явно недостаточно, чтобы пользователей перестала беспокоить навязчивая реклама.

Еще более печально, что многие рекламные программы обрастают настоящим троянским функционалом, вплоть до руткит-технологий, используемых для сокрытия программы в системе. Ярким примером подобной программы является Virtumonde. Несколько лет назад эта программа была «обычной» AdWare, однако в настоящее время классифицируется нами как Trojan — для ее распространения авторы используют самые грязные методы.

Программы классов RiskWare и PornWare

Поскольку поведений в PornWare всего три, а доля новых программ этого класса, обнаруженных аналитиками «Лаборатории Касперского» в первом полугодии 2008 года, составляет 11,7% от всех потенциально нежелательных программ, при анализе мы объединили программы этого класса с программами класса RiskWare.

Представим в виде графика количество обнаруживаемых аналитиками «Лаборатории Касперского» новых программ классов RiskWare и PornWare:

Число новых программ классов RiskWare и PornWare (июль 2007 – июнь 2008)

В 2008 году количество программ, детектируемых Антивирусом Касперского как Riskware и PornWare, превысило 26 000, рост числа программ двух классов составил более чем 1700%. Это произошло из-за того, что в антивирусные базы было добавлено несколько тысяч программ, относящихся к AdTool, – на графике четко виден этот пик в марте месяце.

Распределение программ классов RiskWare и PornWare по поведениям можно представить в виде круговой диаграммы:

RiskWare и PornWare: процентное соотношение поведений

Количество новых программ классов RiskWare и PornWare (по поведениям):

Среди поведений этих двух классов четко выделяются два лидера: AdTool (51,33%) и Porn-Dialer (31,48%).

AdTool – это различные рекламные модули, которые нельзя отнести к AdWare, поскольку они имеют необходимые легальные атрибуты: снабжены лицензионным соглашением, демонстрируют свое присутствие на компьютере и информируют пользователя о своих действиях. Лидерство AdTool было вполне ожидаемым, если учитывать число единовременно добавленных в антивирусные базы программ данного поведения (см. выше).

Porn-Dialers осуществляют телефонные соединения с premium-номерами, что зачастую приводит к судебным разбирательствам между абонентами и телефонными компаниями.

Программы лидировавшего в 2007 году поведения – Monitor – значительно снизили свои показатели. К Monitor относятся легальные кейлоггеры, которые официально производятся и продаются, однако при наличии у них функции сокрытия присутствия в системе такие программы могут быть использованы как полноценные троянцы-шпионы. За первые 6 месяцев 2008 года они потеряли более 35% и заняли всего лишь третье место среди всех потенциально нежелательных программ.

По-прежнему довольно широко представлены такие поведения, как PSW-Tool и Downloader. Первые предназначены для восстановления забытых паролей, но легко могут быть использованы злоумышленниками и для извлечения этих паролей из компьютера ничего не подозревающей жертвы. Вторые могут использоваться злоумышленниками для загрузки вредоносного контента на компьютер-жертву.

Необходимо также отметить значительное уменьшение доли программ поведений RemoteAdmin (-6,5%).

Платформы и операционные системы

В прошлом году мы впервые опубликовали детальную статистику распределения вредоносных и потенциально нежелательных программ по операционным системам и платформам.

Операционная система или приложение может подвергнуться нападению вредоносных программ в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.

Всего за шесть месяцев 2008 года «Лабораторией Касперского» были зафиксированы вредоносные и потенциально нежелательные программы для 41 различных платформ и операционных систем.

Естественно, что подавляющее большинство существующих программ рассчитаны на функционирование в среде Win32 и представляют собой исполняемые бинарные файлы. Такие программы составили 98,31%.

На программы, ориентированные на другие операционные системы и платформы, приходится менее 2% от всех детектируемых программ. В первом полугодии 2008 года число вредоносных и потенциально нежелательных программ для Win32 выросло на 233% по сравнению с последними шестью месяцами 2007 года. Для других платформ и приложений этот рост составил всего лишь 39%, что меньше показателя 2007 года (63%). Таким образом, ожидаемого смещения интересов вирусописателей от Win32 в сторону других платформ не произошло. Напротив, наблюдавшийся ранее рост числа «не-Windows»-угроз прекратился, и число таких угроз начало уменьшаться. (Напомним, что во втором полугодии 2007 на их долю пришлось 4% всех угроз.)

Число новых вредоносных и потенциально нежелательных программ,
ориентированных на различные платформы

Рост числа новых программ для разных ОС и платформ весьма отличается.

Отметим наиболее значимые изменения, произошедшие за полугодие:

• Скрипт-языки VBS и JS, в прошлом году входившие в лидирующую группу, значительно замедлили свое развитие в качестве «вирусной» платформы.
• На 583% выросло число вредоносных программ для платформы J2ME. Мы уже отметили увеличение числа Trojan-SMS, подавляющее большинство которых работают именно на этой платформе.
• На 840% выросло число вредоносных программ, реализованных в виде XLS-файлов и, как правило, использующих уязвимости в MS Excel. За последний год подобных уязвимостей было обнаружено несколько десятков, и все они очень широко использовались вирусописателями, в первую очередь китайскими.
• На 955% выросло число программ, написанных для платформы .NET. Это давно ожидаемый нами факт, и 2008 год показал начало этого процесса. В перспективе мы ожидаем, что данная платформа может стать второй по популярности, значительно обойдя Java Script. Дополнительной особенностью .NET, интересной для вирусописателей, является возможность исполнения файлов не только на Windows-компьютерах, но и на мобильных устройствах, работающих под управлением Windows Mobile.
• Более чем на 8500%(!) выросло число вредоносных программ, реализованных в виде SWF-файлов. Причиной такого роста было обнаружение крайне опасной уязвимости в обработке подобных файлов. Киберандеграунд среагировал моментально и использовал SWF как новый способ доставки вредоносных программ на пользовательские компьютеры. В результате весной этого года в Интернете появилось более двухсот пятидесяти вариантов вредоносных SWF-файлов.

Сгруппируем все ОС и платформы, атакованные в первом полугодии 2008 года, по общему признаку, а именно по конечной атакуемой ОС. Например, JS и VBS мы причислим к Windows, а Ruby и Perl – к *nix и т.д.
Таким образом, в *nix войдут Linux, Perl, PHP, Ruby и Shell;

в Mobile – J2ME, Symbian, WinCE и Python;
в Mac – OSX и Mac;
в «прочие» – DOS, IIS, Multi и MySQL.

Заключение

Развитие угроз в 2008 году продолжается по сформировавшемуся в 2007 году сценарию: вирусописатели по-прежнему не утруждают себя значительными технологическими разработками, отдавая предпочтение количеству, а не качеству вредоносных программ.

Количество новых угроз растет практически в геометрической прогрессии. Этот процесс сопровождается сокращением срока жизни новых вредоносных программ «в дикой природе». Фактически из тысяч новых троянцев, обнаруженных за один день, через неделю или месяц по-прежнему угрожать пользователям Интернета будут несколько десятков. Все остальные постепенно выйдут «из обращения», постоянно сменяясь новыми и новыми модификациями, создаваемыми для обхода антивирусных продуктов и имеющихся детектов.

Однако, на наш взгляд, этот стремительный рост числа новых вредоносных программ не может быть бесконечным, и не исключено, что замедление роста или даже стабилизация ситуации может начаться уже в этом году. Несомненно, уже достигнутые объемы (около 500 000 новых вредоносных программ за полгода) будут сохраняться, но в этих пределах большинство антивирусных компаний способны достаточно эффективно справляться с проблемами.

Сейчас антивирусная индустрия должна решать задачи, несколько отличающиеся от прежних. А именно – основные усилия должны быть направлены на разработку средств «раннего обнаружения» угроз и их скорейшего детектирования. Если раньше достаточная и приемлемая скорость реакции антивирусного ПО измерялась часами, а иногда и днями, то теперь счет идет буквально на минуты. За это время антивирусные эксперты должны обнаружить новый вредоносный код в Интернете — в любой точке мира, — проанализировать его, выпустить защитные средства и доставить их до конечного пользователя.