Kaspersky Security Bulletin

Kaspersky Security Bulletin 2012. Основная статистика за 2012 год

  1. Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году
  2. Kaspersky Security Bulletin 2012. Основная статистика за 2012 год
  3. Kaspersky Security Bulletin 2012. Кибероружие

Эта часть отчета является частью Kaspersky Security Bulletin 2012 и сформирована на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN использует «облачную» архитектуру в персональных и корпоративных продуктах и является одной из важнейших технологий «Лаборатории Касперского».

Kaspersky Security Network позволяет нашим экспертам оперативно, в режиме реального времени обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN помогает выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать значительно большую скорость реакции на новые угрозы — в настоящее время мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Статистика в отчете основана на данных, полученных от продуктов «Лаборатории Касперского», пользователи которых подтвердили свое согласие на передачу статистических данных.

Мобильные угрозы

Развитие мобильных угроз в 2012 году прошло под девизом «Все внимание — на Android». Вирусописатели, в основном, сконцентрировались на «зеленом роботе». Оправдались и наши прогнозы по развитию мобильных угроз в 2012 году, касающиеся создания мобильных ботнетов, целевых атак с использованием мобильных зловредов и «мобильного» шпионажа.

Вредоносные программы для Android

В 2012 году усилия вирусописателей были направлены в основном на создание вредоносных программ для Android. Это привело как к качественному, так и количественному росту мобильных зловредов под эту платформу. 99% обнаруживаемых нами ежемесячно зловредов для мобильных платформ были нацелены на Android.


Распределение мобильных зловредов по платформам


Динамика появления новых мобильных вредоносных программ по месяцам


TOP 10 зловредов для Android

Наиболее распространенные детектируемые объекты на Android-смартфонах можно разделить на 3 основные группы: SMS-троянцы, рекламные модули и эксплойты для получения прав root на смартфоне.

Самыми распространенными из них оказались SMS-троянцы, которые нацелены, в основном, на пользователей из России. В этом нет ничего удивительного, учитывая давнюю популярность подобных вредоносных программ среди российских вирусописателей. Дорогостоящие SMS-сообщения остаются способом заработка №1 среди «мобильных» киберпреступников.

Вторую группу мобильных угроз из TOP 10 составляют рекламные модули Plangton и Hamob. Первое семейство не зря детектируется как Trojan. Plangton встречается в бесплатных приложениях и действительно показывает рекламу, однако в нем имеется еще и функционал смены стартовой страницы браузера. Стартовая страница при этом меняется без предупреждения и согласия пользователя, что считается вредоносным поведением. Что же касается Hamob, то как AdWare.AndroidOS.Hamob детектируются приложения, которые выдают себя за какие-либо полезные программы, а на самом деле лишь показывают рекламу пользователю.

И, наконец, третья группа. К ней относятся различные модификации эксплойтов для получения прав root на смартфонах с ОС Android различных версий.

Такая популярность эксплойтов обусловлена, в частности, тем, что разнообразные модификации бэкдоров из разных семейств, число которых за последний год выросло, используют одни и те же модификации эксплойтов для повышения привилегий (прав root на устройстве).

Рост числа инцидентов с вредоносными программами в официальных магазинах приложений

Несмотря на то, что Google внедрил антивирусный модуль Google Bouncer, осуществляющий автоматическую проверку всех новых приложений на Google Play (бывший Android Market), существенных изменений в среднем количестве инцидентов и их масштабах не произошло. Внимание общественности обычно привлекают случаи с наибольшим количеством заражений, как, например, инцидент с вредоносной программой Dougalek, копии которой загрузили десятки тысяч пользователей (в основном, из Японии). Это привело к одной из наиболее масштабных утечек персональной информации пользователей в результате заражения мобильных устройств. Однако не стоит забывать и о сотнях инцидентов с меньшим количеством пострадавших.

Отметим также первый случай обнаружения вредоносного ПО в App Store для iOS. В самом начале июля было обнаружено подозрительное приложение под именем «Find and Call», копии которого были найдены как в App Store, так и на Android Market. Загрузив и запустив данную программу, пользователь сталкивался с запросом на регистрацию в программе, для чего было необходимо ввести e-mail и телефонный номер. После регистрации введенные данные и телефонная книга жертвы скрытно отправлялись на удаленный сервер.


Часть процедуры загрузки телефонной книги на удаленный сервер

На каждый украденный номер из телефонной книги через какое-то время придет SMS-спам сообщение с предложением перейти по ссылке и загрузить приложение «Find and Call».

Первые мобильные ботнеты

Первым «звоночком» стало обнаружение в самом начале года IRC-бота для Android с именем Foncy, который работал в связке с SMS-троянцем с таким же именем. Именно IRC-бот мог управлять смартфоном после заражения. Ведь помимо SMS-троянца в APK-дроппере содержался также и root-эксплойт, использовавшийся для повышения привилегий в зараженной системе. А после соединения с командным сервером бот был способен получать и исполнять shell-команды. Фактически, все зараженные IRC-ботом Foncy смартфоны составляли полноценный ботнет и были готовы осуществлять практически любые действия по команде «хозяина».

Китайским вирусописателям удалось создать ботнет, число активных устройств которого варьировало от 10 000 до 30 000, при этом общее число зараженных смартфонов исчислялось сотнями тысяч. Основой этого ботнета стал бэкдор RootSmart, который имеет разнообразный функционал для удаленного управления мобильным устройством с ОС Android. Для распространения RootSmart киберпреступники положились на известный и действенный прием: перепаковали легальную программу и выложили ее на сайт одного из неофициальных, но очень популярных в Китае магазинов приложений для Android. В результате пользователи, скачавшие программу якобы для настройки телефона, получили вместе с ней бэкдор, включавший их устройство в ботнет.

Масштабы заражения RootSmart позволили злоумышленникам эффективно монетизировать созданную сеть из зараженных телефонов. Для этого они выбрали самый популярный у мобильных киберпреступников способ — отправку платных SMS-сообщений на короткие номера. Злоумышленники использовали самые дешевые номера для того, чтобы жертвы как можно дольше не замечали потери средств. Полный контроль над мобильными устройствами, который получили злоумышленники, давал им возможность длительное время скрывать присутствие вредоносной программы на телефоне и дольше выкачивать деньги со счетов.

Точечные атаки с использованием мобильных зловредов

В 2012 году некоторые новые зловреды для ОС, отличных от Android, использовались для точечных атак.

Ярким примером таких атак являются атаки с помощью ZitMo и SpitMo (Zeus- и SpyEye-in-the-Mobile). Новые версии ZitMo и SpitMo появлялись регулярно, как для Android, так и для других операционных систем. Вирусописатели по-прежнему используют те же способы маскировки зловредов, что и два года назад. Это либо маскировка под «сертификаты безопасности», либо под программное обеспечение для защиты смартфонов.


Традиционные способы маскировки ZitMo/SpitMo

Несмотря на то, что операционные системы, отличные от Android, не настолько популярны, это вовсе не значит, что ими уже никто не пользуется. Вирусописателям, например, нет никакого дела до слухов о возможной скорой смерти платформы Blackberry. В 2012 году новые версии ZitMo появлялись и для этой платформы, причем в одной волне атак злоумышленники использовали как зловреды для Blackberry, так и для Android. По крайней мере, C&C номера в них были одними и теми же.

Шпионаж с использованием мобильных вредоносных программ

В прошлом году мы предположили, что кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов станет распространенным явлением и выйдет за пределы обычного применения этих технологий правоохранительными органами и отдельными компаниями, которые занимаются детективной деятельностью.

К сожалению, так и произошло. Количество вредоносных программ, которые по своему поведению являются либо троянцами-шпионами, либо бэкдорами, выросло в сотни раз. Стоит отметить также возросшее количество коммерческих приложений для мониторинга, которые иногда сложно отличить от вредоносных программ.

Наиболее ярким примером шпионажа с использованием мобильных вредоносных программ служит инцидент с программным модулем FinSpy. Данный модуль был разработан британской компанией Gamma International, которая специализируется на создании программных средств мониторинга для правительственных организаций. Фактически, эта программа обладает функционалом троянца-шпиона. Обнаружить мобильные версии FinSpy удалось компании The Citizen Lab в августе 2012 года. Были найдены модификации троянца под платформы Android, iOS, Windows Mobile и Symbian. Различия между ними, безусловно, есть, но все они способны логировать практически любую активность пользователей на зараженном устройстве, отслеживать его координаты, осуществлять скрытные звонки, загружать информацию на удаленные серверы.

Ответов на вопросы о заказчиках атак FinSpy и конкретных жертвах на данный момент нет, и вряд ли ответы появятся в будущем. Однако даже без этой информации появление FinSpy означает начало новой главы в истории мобильного вредоносного ПО: мобильные устройства становятся такими же мишенями целевых и шпионских атак, как и обычные компьютеры.

Mac-зловреды

В 2012 году все мифы о безопасности Mac были разрушены. Этот год показал, что Mac-зловреды являются действительно серьёзной угрозой безопасности.

В начале года был обнаружен 700-тысячный ботнет Flashfake, состоявший исключительно из Mac-компьютеров. (Полный разбор этого троянца-загрузчика был опубликован на securelist.com.

Новых волн эпидемий после FlashFake не последовало, но зато злоумышленники в течение всего года активно использовали Mac-зловреды для проведения целевых атак. Это в первую очередь связано с тем, что продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов, и информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории киберзлоумышленников.

В 2012-м году нашими антивирусными экспертами было добавлено на 30% больше сигнатур для детектирования различных Mac-троянцев, чем в 2011; если же сравнивать с 2010 годом, то количество сигнатур, добавленных за год, увеличилось в 6 раз.


Количество новых антивирусных записей, добавляемых ежегодно
для детектирования зловредов под Mac OS X

Самым распространенным Mac-зловредом года, безусловно, можно считать FlashFake, первые версии которого были обнаружены еще в 2011 году. По итогам первого полугодия 2012 FlashFake стал абсолютным лидером. Давайте посмотрим, какие OSX-зловреды были распространены во втором полугодии 2012 года.

TOP 10 зловредов для Mac OS X, H2 2012

Место Название % от всех атак
1 Trojan.OSX.FakeCo.a 52%
2 Trojan-Downloader.OSX.Jahlav.d 8%
3 Trojan-Downloader.OSX.Flashfake.ai 7%
4 Trojan-Downloader.OSX.FavDonw.c 5%
5 Trojan-Downloader.OSX.FavDonw.a 2%
6 Trojan-Downloader.OSX.Flashfake.ab 2%
7 Trojan-FakeAV.OSX.Defma.gen 2%
8 Trojan-FakeAV.OSX.Defma.f 1%
9 Exploit.OSX.Smid.b 1%
10 Trojan-Downloader.OSX.Flashfake.af 1%

 

На первом месте Trojan.OSX.FakeCo.a (52%). Эта вредоносная программа маскируется под установочный файл видеокодека. После инсталляции никаких кодеков в системе не появляется, а установленная программа ведет себя как программа категории AdWare, собирая интересную для маркетинга информацию о пользователе и отсылая ее злоумышленникам.

Второе место в списке занял известный уже четыре года троянец Jahlav (8%). Вредоносная программа также маскируется под установочный файл видеокодека. Вместо кодека на компьютер устанавливается зловред, который незаметно для пользователя подключается к серверу злоумышленников и может с него загружать на зараженную машину другие файлы. Как правило, эта вредоносная программа пытается загрузить троянца, который меняет адреса в настройках DNS на адреса серверов злоумышленников (детектируется «Лабораторией Касперского» как Trojan.OSX.Dnscha).

На четвертом и пятом местах расположились программы семейства Trojan-Downloader.OSX.FavDonw, на которые в сумме пришлось 7% инцидентов. Программы служат лишь одной цели: после установки на Mac они скачивают лжеантивирусы.

На 7-м и 8-м местах в TOP 10 расположились фальшивые антивирусы семейства Trojan-FakeAV.OSX.Defma, которые вымогают у пользователей деньги за лечение якобы обнаруженных вредоносных программ.

На 9-м месте расположился эксплойт Exploit.OSX.Smid.b, нацеленный на уязвимость в Java и позволяющий злоумышленнику запустить произвольных код на машине с необновлённой Java.

После обнаружения ботнета FlashFake компания Apple активнее занялась вопросами безопасности своей операционной системы. Примерами могут служить и выпуски критических патчей для Oracle Java одновременно с их Windows-версиями, и новые защитные функции в Mac OS X Mountain Lion: по умолчанию возможность установки программ только из официального магазина, использование песочницы для программ, загруженных из магазина, автоматическая установка обновлений и т.д.

Вредоносные программы в интернете (атаки через Web)

Количество атак через веб-браузер за год увеличилось с 946 393 693 до 1 595 587 670. Таким образом, наши продукты защищали пользователей при серфинге в интернете в среднем 4 371 473 раз в день.

По сравнению с прошлым годом темпы роста числа атак через браузер практически не изменились. Число отраженных в 2012 году интернет-атак превышает аналогичный показатель 2011 года в 1,7 раза, а в 2011 году мы зафиксировали рост в 1,6 раз. Основной способ атаки — через эксплойт-паки — дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.

Уязвимые приложения, используемые злоумышленниками

Если 2011 год мы назвали годом уязвимостей, то 2012 можно смело назвать годом Java-уязвимостей: в этом году половина всех зафиксированных атак с использованием эксплойтов была нацелена на уязвимости в Oracle Java.

Сегодня Java установлена более чем на 3 миллиардах устройств, использующих различные ОС. Следовательно, для некоторых ошибок в Java можно создать кроссплатформенные эксплойты. В течение года мы регистрировали как массовые атаки с использованием наборов эксплойтов, так и целевые атаки, в которых использовались Java-эксплойты, нацеленные как на PC, так и на Mac.


Приложения, уязвимости в которых использовали веб-эксплойты

В 2012 году снизилась популярность эксплойтов к Adobe Reader — с ними было связано 28% всех инцидентов. В итоге Adobe Reader заняла второе место в рейтинге. Заметим, что в последних версиях Adobe Reader было уделено много внимания проблеме уязвимостей, в частности, были реализованы механизмы, защищающие приложение от срабатывания эксплойта. Подобные меры значительно усложняют создание эффективных эксплойтов.

На третьем месте расположились программы, использующие уязвимости в компонентах Windows и Internet Explorer. В течение года активно использовались эксплойты к уязвимостям, обнаруженным еще в 2010 году: MS10-042 в Windows Help and Support Center и MS04-028, связанной с неправильной обработкой jpeg-файлов.

На 4-м месте с 2% расположились эксплойты для мобильной платформы Android OS. Эти эксплойты злоумышленники используют, чтобы получить root-привилегии, которые дают практически неограниченные возможности для манипуляций над системой.


Распределение установленной у пользователей OS Windows по версиям, 2011


Распределение установленной у пользователей OS Windows по версиям, 2012

За год доля Windows 7 среди используемых пользователями Windows версий OS выросла с 30% до 50%. Хотя Windows 7 регулярно автоматически обновляется, атаки на компьютеры пользователей Windows продолжаются: как мы писали выше, проникновения в систему, происходят в основном не через компоненты Windows, а через установленные приложения других производителей.

Вредоносные программы в интернете: TOP 20

Из всех вредоносных программ, участвовавших в интернет-атаках на компьютеры пользователей, мы выделили 20 наиболее активных. На них пришлось 96% всех атак в интернете.

Место Название* Количество атак % от всех атак**
1 Malicious URL 1 393 829 795 87,36%
2 Trojan.Script.Iframer 58 279 262 3,65%
3 Trojan.Script.Generic 38 948 140 2,44%
4 Trojan.Win32.Generic 5 670 627 0,36%
5 Trojan-Downloader.Script.Generic 4 695 210 0,29%
6 Exploit.Script.Blocker 4 557 284 0,29%
7 Trojan.JS.Popupper.aw 3 355 605 0,21%
8 Exploit.Script.Generic 2 943 410 0,18%
9 Trojan-Downloader.SWF.Voleydaytor.h 2 573 072 0,16%
10 AdWare.Win32.IBryte.x 1 623 246 0,10%
11 Trojan-Downloader.Win32.Generic 1 611 565 0,10%
12 AdWare.Win32.ScreenSaver.e 1 381 242 0,09%
13 Trojan-Downloader.JS.Iframe.cxk 1 376 898 0,09%
14 Trojan-Downloader.JS.Iframe.cyq 1 079 163 0,07%
15 Trojan-Downloader.JS.Expack.sn 1 071 626 0,07%
16 AdWare.Win32.ScreenSaver.i 1 069 954 0,07%
17 Trojan-Downloader.JS.JScript.ag 1 044 147 0,07%
18 Trojan-Downloader.JS.Agent.gmf 1 040 738 0,07%
19 Trojan-Downloader.JS.Agent.gqu 983 899 0,06%
20 Trojan-Downloader.Win32.Agent.gyai 982 626 0,06%

 

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Вредоносные сайты, обнаруженные с помощью облачных эвристических методов детектирования без обновления классических антивирусных баз, занимают первую строчку рейтинга. Развитие новых технологий детектирования, опирающихся на возможности KSN, позволило за год увеличить долю угроз, обнаруживаемых такими методами, с 75% до 87%. Значительная часть детектов Malicious URL приходится на сайты с эксплойтами.

На втором месте — вредоносные скрипты, внедряемые злоумышленниками в код взломанных легитимных сайтов с помощью специальных программ. Это говорит о том, что на многих легитимных сайтах присутствуют инъекции вредоносного кода в виде неотображаемых тегов «iframe». Такие скрипты незаметно для пользователя перенаправляют его на вредоносные веб-ресурсы в ходе drive-by атак. Аналогичные вредоносные скрипты разместились на 13-м и 14-м местах.

Позиции с 3-й по 5-ю занимают различные эвристические вердикты, детектирующие вредоносные скрипты и исполняемых PE-файлы, которые можно разделить на два категории. Зловреды первой категории осуществляют загрузку и исполнение других вредоносных программ. Вредоносные объекты второй категории несут саму «полезную» нагрузку — воруют данные интернет-банкинка, аккаунты к социальным сетям, сервисам и тому подобное.

На 9-м месте Trojan-Downloader.SWF.Voleydaytor.h, который обнаруживается на различных сайтах категории «18+». Под видом обновления программы просмотра видео на компьютеры пользователей доставляются различные вредоносные программы.

В рейтинге присутствуют два представителя эксплойтов — Exploit.Script.Generic, загрузка которого была заблокирована почти в 3 миллионах случаев, и Exploit.Script.Bloker — 4,5 миллиона заблокированных попыток загрузки. В абсолютном большинстве случаев пользователи сталкиваются с работой не отдельно взятых эксплойтов, а наборов эксплойтов. Они являются на сегодняшний день неотъемлемой частью drive-by атак. Что важно, эксплойт-паки оперативно модифицируются и обновляются, чтобы включать эксплойты для свежих уязвимостей и эффективно противодействовать средствам защиты.

Три позиции из TOP 20 заняли рекламные программы семейств iBryte и ScreenSaver. Рекламная программа AdWare.Win32.IBryte.x распространяется как загрузчик популярных бесплатных программ. После запуска она загружает нужную пользователю бесплатную программу и заодно устанавливает рекламный модуль. С тем же успехом установленную IBryte.x программу пользователь может скачать с официального сайта и избежать установки рекламного модуля. В прошлом году представителей AdWare было в два раза больше. Сокращение доли таких программ связано с постепенным вытеснением их различными более эффективными и, что самое главное, легальными методами показа рекламы, такими как контекстная реклама в поисковых системах и социальных сетях.

В отличие от 2011 года в рейтинге нет программ, используемых в мошенничестве с короткими номерами, — Hoax.Win32.ArchSMS. Это программы, требующие отправить SMS на короткий номер для получения кода расшифровки содержимого архива, скаченного пользователем. В 2011 году мошенники создавали сайты, похожие на обычные файловые хранилища, однако в предлагаемых архивах не было указанного содержимого. В 2012 году мошенники стали активно создавать сайты, которые дают возможность реализовать аналогичную схему мошенничества без загрузки каких-либо файлов на диск. Такие сайты автоматически заносятся продуктами «Лаборатории Касперского» в список запрещенных.

Страны, на веб-ресурсах которых размещены вредоносные программы: TOP 20

Для проведения 1 595 587 670 атак через интернет злоумышленники воспользовались 6 537 320 уникальными хостами, что на два с половиной миллиона больше, чем в 2011 году. Серверы, на которых был размещен вредоносный код, были обнаружены в 202 странах и территориях мира. 96,1% всех зафиксированных нами в Сети атак были произведены с вредоносных хостингов расположенных в интернет-пространстве двадцати стран.

Место Страна* Количество атак** % от всех атак
1 США 413 622 459 25,5%
2 Россия 317 697 806 19,6%
3 Нидерланды 271 583 924 16,8%
4 Германия 184 661 326 11,4%
5 Великобритания 90 127 327 5,6%
6 Украина 71 012 583 4,4%
7 Франция 56 808 749 3,5%
8 Китай 31 637 561 2,0%
9 Британские Виргинские острова 26 593 331 1,6%
10 Канада 19 316 279 1,2%
11 Чешская Республика 13 311 441 0,8%
12 Израиль 9 953 064 0,6%
13 Швеция 9 093 053 0,6%
14 Румыния 6 881 404 0,4%
15 Вьетнам 6 624 570 0,4%
16 Испания 6 543 135 0,4%
17 Польша 6 325 848 0,4%
18 Люксембург 5 669 370 0,3%
19 Ирландия 4 854 163 0,3%
20 Латвия 4 685 861 0,3%

 

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Для определения географического источника атаки используется методика сопоставления доменного имени к реальному IP-адресу, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).
** Суммарное число зафиксированных веб-антивирусом уникальных атак с веб-ресурсов, размещенных в стране.

Первые две позиции в рейтинге занимают США (25,5%) и Россия(19,6%). Нидерланды (16,8%) и Германия(11,4%) стабильно находятся в пятерке стран-лидеров и третий год подряд занимают в рейтинге 3-ю и 4-ю позиции соответственно. Если показатель США за год увеличился всего на 0,1%, то в России (+5%), Голландии (+7%) и Германии (+2,7%) доля вредоносных хостингов значительно увеличилась.

До 2010 года первое место в рейтинге занимал Китай, на серверы которого приходилось более 50% всех вредоносных хостингов мира. В 2010 году властям Китая удалось убрать из локального киберпространства множество вредоносных хостингов, в то же время были ужесточены правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась, и мы наблюдаем постепенную консолидацию хостингов в США, России, Нидерландах и Германии.

Стабильный рост показателя России имеет две причины. Во-первых, взломы легитимных сайтов, в том числе крупнейших порталов зоны .ru, с целью заражения компьютеров пользователей через эксплойты, увы, не редкость. Второй причиной является тот факт, что российские киберпреступники чувствуют себя в российском киберпространстве достаточно вольготно и создают множество вредоносных сайтов. По российским законам наказания за киберпреступления достаточно мягкие (в основном, преступникам дают условные строки), а случаи отключения командных серверов ботнетов в России достаточно редки. Если темпы роста доли вредоносных хостингов, приходящихся на российские серверы, сохранятся на текущем уровне, Россия может выйти на первое место по количеству вредоносных хостингов уже в следующем году.

В Голландии и Германии киберпреступники действуют куда аккуратнее — регистрируют или взламывают огромное количество сайтов, а когда адреса вредоносных сайтов попадают в списки запрещенных у провайдеров, оперативно переносят вредоносный контент с одних серверов на другие.

Локальные угрозы

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты.

Наши антивирусные решения успешно обнаружили почти 3 миллиарда вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано 2,7 миллиона разных вредоносных и потенциально нежелательных программ.

Вредоносные объекты, обнаруженные на компьютерах пользователей: TOP 20

Вредоносные программы, попавшие в первую двадцатку, являются самыми распространенными угрозами 2012 года.

Место Детектируемый объект Кол-во уникальных пользователей* %%
1 Trojan.Win32.Generic 9 761 684 22,1%
2 DangerousObject.Multi.Generic 9 640 618 21,9%
3 Trojan.Win32.AutoRun.gen 5 969 543 13,5%
4 Trojan.Win32.Starter.yy 3 860 982 8,8%
5 Virus.Win32.Virut.ce 3 017 527 6,8%
6 Net-Worm.Win32.Kido.ih 2 752 409 6,2%
7 Net-Worm.Win32.Kido.ir 2 181 181 4,9%
8 Virus.Win32.Sality.aa 2 166 907 4,9%
9 Hoax.Win32.ArchSMS.gen 2 030 664 4,6%
10 Virus.Win32.Generic 2 017 478 4,6%
11 Virus.Win32.Nimnul.a 1 793 115 4,1%
12 HiddenObject.Multi.Generic 1 508 877 3,4%
13 Trojan.WinLNK.Runner.bl 1 344 989 3,1%
14 Worm.Win32.AutoRun.hxw 948 436 2,2%
15 Virus.Win32.Sality.ag 841 994 1,9%
16 Virus.Win32.Suspic.gen 408 201 0,9%
17 Trojan.Win32.Patched.dj 367 371 0,8%
18 Email-Worm.Win32.Runouce.b 295 887 0,7%
19 Trojan-Dropper.Script.Generic 232 007 0,5%
20 AdWare.Win32.GoonSearch.b 196 281 0,4%

 

Настоящая статистика представляет собой детектирующие вердикты модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.

На 13,5 миллионах компьютеров были заблокированы попытки заражения, обнаруженные с помощью различных эвристических методов: Trojan.Win32.Generic (1-е место), Virus.Win32.Generic (8-е место), HiddenObject.Multi.Generic (12-е место), Trojan-Dropper.Script.Generic (19-е место).

Второе место в рейтинге занимают различные вредоносные программы, обнаруженные с помощью облачных технологий и детектируемые как DangerousObject.Multi.Generic. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы. При помощи системы мгновенного обнаружения угроз UDS, работающей в составе Kaspersky Security Network, более 9,6 млн. компьютеров пользователей были защищены в режиме реального времени.

8 программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей: Trojan.Win32.Starter.yy (4-е место), Net-Worm.Win32.Kido.ih (6-е место), Net-Worm.Win32.Kido.ir (7-е место), Virus.Win32.Sality.aa (8-е место), Virus.Win32.Nimnul.a (11 место), Virus.Win32.Sality.ag (15-е место) и Virus.Win32.Suspic.gen (16-место).

В 2012 году более 2 миллионов пользователей столкнулись с мошенничеством с использованием коротких SMS-номеров (Hoax.Win32.ArchSMS.gen, 9-е место). Под различными предлогами, в основном обещая доступ к содержимому архива или инсталлятора с игрой, программой, книгой или чем-то подобным, злоумышленники пытаются вынудить пользователей отправить SMS на короткий премиум-номер. В большинстве случаев после отправки сообщения пользователь ничего не получает взамен.

Trojan.WinLNK.Runner.bl (13 место) и Worm.Win32.AutoRun.hxw (14 место) являются детектами вредоносных lnk-файлов (ярлыков). В lnk-файлах данных семейств производится выполнение cmd.exe с параметром запуска вредоносного exe-файла. Они активно используются червями для распространения через usb-накопители.

Интересным представителем является Trojan.Win32.Patched.dj (17 место). Это детект зараженных exe и dll файлов. Вредоносный функционал сводится к отсылке по почте вирусописателю информации о заражении, после чего программа открывает порт на компьютере и ожидает команды хакера, который может загружать файлы, запускать их, останавливать запущенные на компьютере программы и т.д. В конечном итоге зловред используется для построения ботнета.

Методы заражения активно эволюционируют и сегодня мы видим, что в топ не попало ни одно новое семейство вирусов и червей: правят бал Sality, Virut, прошлогодний Nimnul и Kido. Киберпреступники массово переключились на создание ботнетов через интернет-заражения с использованием эксплойтов. Техники заражения исполняемых файлов не пользуются популярностью у коммерчески-ориентированных вирусописателей в силу того, что процесс самораспространения вирусов и червей контролировать очень сложно, а большие ботнеты быстро привлекают внимание правоохранительных органов.

«Картина мира»

Чтобы оценить, в каких странах пользователи чаще всего сталкиваются с киберугрозами, для каждой из стран мы подсчитали, насколько часто в течение года пользователи в ней сталкивались со срабатыванием антивирусной программы. Полученные данные характеризуют степень риска заражения, которому подвергаются компьютеры в разных странах мира, и являются показателем агрессивности среды, в которой работают компьютеры в разных странах.

Веб-угрозы

Наибольший интерес представляет риск заражения через интернет, который является основным источником вредоносных объектов для пользователей большинства стран мира.

Место Страна % уникальных пользователей*
1 Россия 58,6%
2 Таджикистан 58,5%
3 Азербайджан 57,1%
4 Армения 55,7%
5 Казахстан 55,5%
6 Беларусь 51,8%
7 Бангладеш 51,7%
8 Шри-Ланка 51,5%
9 Индия 51,1%
10 Судан 51,0%
11 Туркменистан 51,0%
12 Оман 48,0%
13 Узбекистан 47,5%
14 Малайзия 47,3%
15 Молдова 47,2%
16 Мальдивы 46,8%
17 Украина 46,8%
18 Италия 45,6%
19 США 45,1%
20 Испания 44,7%

 

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
*Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

Второй год подряд в этом рейтинге лидирует Россия. Для российских пользователей за год уровень риска при веб-серфинге увеличился с 55,9% до 58,6%. К сожалению, в Рунете реализуется большое количество киберпреступных схем. Поскольку в стране у частных пользователей и предпринимателей растет популярность интернет-банкинга, в 2012 году киберпреступники активно распространяли соответствующие зловреды. Еще один достаточно часто встречающийся в Рунете вид мошенничества — монетизация с использованием платных SMS: мошенники предлагают пользователю оплатить товар/услугу с помощью SMS, но обещанного покупатель так и не получает.

С 17-го на 2-е место в рейтинге поднялся Таджикистан с показателем 58,5. На третьем месте Азербайджан, поднявшийся с шестого места с 57,1% атакованных пользователей.

В двадцатке стран 2012 года Италия, США и Испания заняли последние три места.

США, которые по итогам 2011 года занимали 3-е место, в 2012 сместились сразу на 19-е: доля атакованных пользователей в этой стране сократилась с 50,1% до 45,1%. Это обусловлено успешной борьбой с киберпреступностью и закрытием нескольких больших ботнетов, в том числе DNSChanger, Hlux и нескольких ZeuS (Zbot) ботнетов.

Италия и Испания впервые попали в TOP 20 стран по доле атакованных пользователей при серфинге в интернете. В этих странах количество инцидентов, приходящихся на одного пользователя, было достаточно большим в течение всего года, что, в первую очередь, связано с атаками банковских троянцев.

Все страны мира можно распределить по степени риска заражения при серфинге в интернете.

  1. Группа повышенного риска
    В эту группу с результатом 41-60% вошла 31 страна. Помимо стран из TOP 20 в нее также попали Австралия (44,4%), Индонезия(44,2%), Канада(42,8%), Грузия (42,3%) и Великобритания (41,1%).
  2. Группа риска
    В эту группу с показателями 21-40% попали 110 стран, в том числе Турция (39,9%), Франция (39,8%), Чили (39.4%), Китай (38,4%), Польша (37,1%), Литва (35,3%), Швеция (34,1%), Австрия (34%), Эквадор (33,3%), Германия (31,8%) Финляндия (27,9%), Норвегия (27,3%), Япония (22,8), Дания (21,6%).
  3. Группа самых безопасных при серфинге в интернете стран (0-20%)
    В 2012 году в эту группу попали 10 стран: Габон (20,6%), Того (20,5%), Реюньон (20,2%), Нигер (19,6%), Маврикий (18%), Гваделупа (17,8%), Мартиника (17,7%), Бенин (17,2%), Бурунди (16,9%) и Конго (16,7%).

Первая группа увеличилась на 8 стран. БОльшая часть группы — это страны постсоветского пространства и страны Азии. Огорчает тот факт, что и европейских стран за год в этой группе стало больше.

Из группы безопасных при серфинге в интернете стран вышли все европейские страны, и теперь она полностью состоит из стран Африки. Отметим, что страны, пополнившие группу безопасных при веб-серфинге, по уровню локальных угроз попали в группы с высоким и максимальным уровнем заражения. Их попадание в группу стран, безопасных для серфинга в интернете, объясняется характером распространения файлов в этих странах: интернет там пока еще не очень хорошо развит, поэтому для обмена файлами пользователи активно используют различные съемные носители информации. В итоге в этих странах на наши радары практически не попадают веб-угрозы, а вот с вирусами и червями, расползающимися по флешкам и заражающими файлы, сталкивается огромное количество пользователей.

В среднем по миру уровень опасности интернета второй год подряд увеличивается и по итогам 2012 года составил 34,7% — на 2,4% больше, чем в прошлом году. Каждый третий пользователь интернета в мире хотя бы раз в год подвергается компьютерной атаке.

Локальные угрозы

Помимо заражений через веб интерес представляют данные о детектировании вредоносных программ, обнаруженных непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. По сути, эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

Место Страна %*
1 Бангладеш 99,7%
2 Судан 88,2%
3 Малави 78,0%
4 Танзания 77,4%
5 Руанда 76,5%
6 Афганистан 75,6%
7 Индия 75,2%
8 Лаос 73,3%
9 Непал 72,9%
10 Ангола 72,0%
11 Вьетнам 70,4%
12 Мавритания 69,8%
13 Ирак 69,6%
14 Мальдивы 69,2%
15 Уганда 69,0%
16 Шри-Ланка 68,5%
17 Монголия 68,0%
18 Джибути 67,4%
19 Мали 67,3%
20 Кот-д’Ивуар 67,0%

 

Настоящая статистика основана на детектирующих вердиктах модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Двадцатка 2012 года состоит из стран Африки и Азии. За год ситуация в странах-лидерах рейтинга не изменилась в лучшую сторону. Как и год назад, в Судане и Бангладеш на 9 из 10 компьютеров пользователи в течение года хотя бы раз сталкивались с заражением вредоносной программой. Еще неразвитая культура использования антивирусов и поверхностные знания пользователей о возможных компьютерных угрозах делают компьютеры в этих странах уязвимыми для вредоносных программ.

В случае локальных угроз мы также можем разделить все страны мира на несколько категорий.

  1. Максимальный уровень заражения (более 75%): 7 стран из Азии и Африки, в том числе Индия (75,2%) и Бангладеш (99,7%), которые попали и в группу повышенного риска при серфинге в интернете.
  2. Высокий уровень заражения (56-75%): 41 стран мира, в том числе Индонезия (64,7%), Эфиопия (58,2%) и Кения (58%).
  3. Средний уровень заражения (35-55%): 67 стран, в том числе Китай (52,7%), Казахстан (52,6%), Россия (48,7%), Турция (48,67%), Бразилия (43,5%), Южная Корея (39,8%), Испания (39,8%), Португалия (35,8%) и Литва (35,7%).
  4. Наименьший уровень заражения (0-35%): 38 стран мира. В том числе США (33,3%), Франция(32,8%), Великобритания (30,9%), Латвия (31,4%) и Бельгия (27,2%). Количество стран в этой группе по сравнению с 2011 годом выросло в 2,7 раз, в прошлом году в нее попало всего 14 стран. В первую очередь изменения связаны с постепенным отмиранием классических вирусов и авторан-червей.

Tоп 10 стран с минимальным процентом зараженных компьютеров:

Место Страна* %
1 Дания 15,0%
2 Япония 19,5%
3 Финляндия 19,8%
4 Швеция 22,9%
5 Чехия 23,5%
6 Нидерланды 23,9%
7 Норвегия 24,0%
8 Люксембург 24,2%
9 Германия 24,3%
10 Швейцария 24,4%

 

В среднем в группе самых безопасных стран мира было атаковано25,4% компьютеров пользователей. По сравнению с прошлым годом этот показатель уменьшился на 4 пункта.

Заключение

2012 год — это год, когда киберпреступники стали активно интересоваться новыми платформами, прежде всего Mac OS X и Android OS. Кибепреступников всегда привлекала возможность легко заразить большое количество компьютеров и устройств пользователей, и число атак на пользователей Mac и Android растет.

В начале года был обнаружен огромный 700-тысячный ботнет из Mac-компьютеров, созданный программой Flashfake. Злоумышленники могли устанавливать на зараженные машины любые дополнительные вредоносные модули. Известно, что один из модулей занимался подменой трафика в браузере. Массовыми атаками история с Mac-зловредами не ограничивается. В течение всего года мы детектировали целевые атаки с использованием бэкдоров, нацеленных на пользователей Mac OS X. Тенденция отразилась и в наших цифрах — количество созданных антивирусных записей под Mac OS X увеличилось на 30% по сравнению с 2011 годом.

Эпидемия Mac-троянца и бесконечная череда Android-зловредов сделала тему защиты новых платформ очень острой. Необходимость такой защиты стала очевидной для большинства интеренет-населения планеты. Мифы о неуязвимости Mac для вирусов были разрушены. Производители стали больше внимания уделять защите платформ: в новой версии Mac OS X было реализовано несколько функций, улучшающих безопасность; Google со свой стороны реализовала скан приложений, добавляемых в магазин приложений. Более высокий уровень защиты предложила и антивирусная индустрия, которая готова к такому повороту событий и уже некоторое время предлагает решения, подобные Kaspersky One, направленные на защиту всего спектра устройств — от PC и Mac до телефона и планшетного компьютера.

К сожалению, несмотря на успехи в борьбе с киберпреступностью, в 2012 году процент атакованных пользователей в интернете продолжил расти и составил 34%. Ни одна европейская страна не попала в группу стран, в которых процент атакованных в процессе веб-серфинга пользователей меньше 20%.

Если 2011 год мы назвали годом уязвимостей, то 2012 год можно назвать годом Java-уязвимостей. По нашей статистике половина атак с использованием эксплойтов в 2012 году проходила с использованием уязвимостей именно в Java. Что немаловажно, уязвимости использовались киберпреступниками как в массовых атаках, так и в целевых, а эксплойты работали как под PC, так и под Mac.

Kaspersky Security Bulletin 2012. Основная статистика за 2012 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике