Kaspersky Security Bulletin

Kaspersky Security Bulletin 2013. Основная статистика за 2013 год

PDF-версия отчета

  1. Развитие угроз в 2013 году
  2. Корпоративные угрозы
  3. Основная статистика за 2013 год
  4. Прогнозы

Эта часть отчета Kaspersky Security Bulletin 2013 сформирована на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN использует «облачную» архитектуру в персональных и корпоративных продуктах и является одной из важнейших технологий «Лаборатории Касперского».

Статистика в отчете основана на данных, полученных от продуктов «Лаборатории Касперского», пользователи которых подтвердили свое согласие на передачу статистических данных.

Цифры года

  • По данным KSN, в 2013 году продукты «Лаборатории Касперского» заблокировали 5 188 740 554  вредоносных  атак на компьютерах и мобильных устройствах пользователей.
  • Обнаружено 104 427 новых модификаций вредоносных программ для мобильных устройств.
  • Решения «Лаборатории Касперского» отразили 1 700 870 654  атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.
  • Наши антивирусные решения обнаружили почти 3 миллиарда вирусных  атак  на компьютерах пользователей. Всего в данных инцидентах было зафиксировано 1,8 млн. вредоносных и потенциально нежелательных  программ.
  • 45% веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

Мобильные угрозы

Мир мобильных устройств относится к той сфере, где IT-безопасность развивается наиболее быстро.  В 2013 году проблема безопасности мобильных устройств встала очень остро, и это связано и с количественным, и с качественным ростом мобильных угроз. Если 2011 год был годом становления мобильных зловредов, особенно в секторе Android-устройств, а 2012 — годом развития их многообразия, то 2013 год стал годом наступления их зрелости. Неудивительно, что мир мобильных зловредов становится все более похожим на мир угроз для персональных компьютеров с точки зрения применяемых киберпреступниками методов и технологий; однако скорость развития этой сферы впечатляет.

Obad – пожалуй, наиболее заметное событие в сфере мобильных зловредов. Этот мобильный троянец распространяется разными способами, в том числе через уже существующий мобильный ботнет — смартфоны, зараженные Trojan-SMS.AndroidOS.Opfake.a, используются в качестве дополнительного вектора заражения. С них на все номера из списка контактов рассылаются сообщения, содержащие вредоносные ссылки. Такая практика широко распространена в сфере угроз для персональных компьютеров и популярна как сервис, предоставляемый ботоводами на теневом рынке киберпреступников.

На поверку оказывается, что мобильные ботнеты имеют значительные преимущества по сравнению с традиционными. Мобильный ботнет более стабильный: смартфоны редко отключаются, поэтому почти все его узлы всегда доступны и готовы выполнять новые инструкции. Наиболее распространенные задачи, выполняемые с помощью традиционных ботнетов — это массовая рассылка спама, проведение DDoS-атак и массовое отслеживание личной информации пользователей. Все эти задачи малотребовательны по отношению к вычислительной мощности устройств и, соответственно, легко реализуемы на смартфонах. Ботнет MTK, появившийся в начале 2013 года, а также ботнет Opfake, как и многие другие, подтверждают, что мобильные ботнеты для киберпреступников стали большим, чем просто «площадкой для игр», и уже активно используются для основной цели: дать киберпреступникам заработать денег.

Значимые события

  1. Мобильные банковские троянцы. Сюда относится мобильный фишинг, кража информации о кредитных картах, перевод денег с банковских карт на счёт мобильного телефона и оттуда – в кошелек QIWI. В 2013 году появились также мобильные троянцы, способные проверять баланс счёта жертвы, чтобы «доход» был максимальным.
  2. Мобильные ботнеты. Как сказано выше,  ботнеты предоставляют большие возможности и большую гибкость при использовании нелегальных схем получения прибыли. Теперь это явление охватило и  мобильные устройства. По нашим оценкам, около 60% мобильных вредоносных программ представляют собой элементы больших и малых мобильных ботнетов.
  3. Backdoor.AndroidOS.Obad. Этот  зловред – пожалуй, самый универсальный из всех, зарегистрированных на сегодняшний день. Он включает целых три эксплойта, бэкдор, SMS-троянец, предоставляет функциональные возможности бота и другие. Это, по сути, швейцарский армейский нож, оснащенный разнообразными инструментами.
  4. Контроль ботнетов через Google Cloud Messaging. Киберпреступники обнаружили способ, как использовать сервис Google Cloud Messaging  (GCM) для осуществления контроля зомби-устройств в ботнете. Этот метод используется в относительно небольшом количестве вредоносных программ, но некоторые из них при этом широко распространены. Выполнение команд, получаемых через GCM, производится системой GCM, и их невозможно заблокировать непосредственно на зараженном устройстве.
  5. APT-атаки против уйгурских активистов. Мы наблюдали, как в целевых атаках против уйгурских активистов используются зловреды, написанные и под Windows, и под MAC OS X. В прошлом атаки происходили также через PDF, XLS, DOC и ZIP-файлы, рассылаемые по электронной почте. Теперь в арсенал злоумышленников добавлены APK-файлы, отслеживающие личную информацию, хранящуюся на устройстве-жертве, а также передающие данные о его местонахождении.
  6. Уязвимости  в Android. В 2013 году мы наблюдали эксплойты, направленные на Android и созданные для трех разных целей: для обхода проверки целостности кода приложения при установке (также известную как уязвимость мастер-ключа), для повышения прав и для затруднения анализа приложения. Последние два типа также задействованы в Obad.
  7. Атака на ПК при помощи Android-устройства. Существуют  угрозы для персональных компьютеров, которые могут заразить смартфоны, но мы обнаружили и зловред под Android, который заражает ПК.  Когда Android-устройство подсоединяется к компьютеру в режиме эмуляции USB-флешки, запускается вредоносный контент.

Статистика

Что касается мобильных ОС, на которые нацелены вредоносные программы, то значимых изменений за 2013 год не произошло. Android по-прежнему остаётся основной целью для вредоносных атак – на эту платформу нацелено уже 98,05% всех известных зловредов. Как видно на диаграмме ниже, никакая другая ОС и рядом не стоит по «популярности». Причиной тому – ведущие позиции Android на рынке, преобладание сторонних магазинов приложений и в значительной степени открытая архитектура этой платформы, благодаря чему под нее легко писать как разработчикам приложений, так и авторам вредоносных программ. Мы не думаем, что эта тенденция в ближайшем будущем изменится.

 
Распределение мобильных вредоносных программ по платформам

На сегодняшний день нам удалось собрать 8 260 509 уникальных вредоносных установочных пакетов. Стоит учитывать, что разные установочные пакеты могут устанавливать программы с одним и тем же функционалом, разница может заключаться лишь в интерфейсе вредоносного приложения и, например, содержимом отправляемых им SMS.

Общее число образцов мобильных зловредов в нашей коллекции составляет 148 778, из которых 104 427 обнаружены в 2013 году. Только в октябре появилось 19 966 модификаций – половина того количества, что «Лаборатория Касперского» обнаружила за весь 2012 год. К счастью, это сильно отличается от ситуации, наблюдаемой в мире зловредов для персональных компьютеров – их мы обрабатываем более 315 000 образцов в сутки. Тем не менее, тенденция к интенсивному росту вполне очевидна:

 
Количество образцов в нашей коллекции

Среди мобильных зловредов по-прежнему лидируют SMS-троянцы:

 
Распределение мобильных вредоносных программ по поведениям

Однако зловреды категории Trojan-SMS за очень малым исключением эволюционировали в ботов, поэтому можно смело объединить двух лидеров диаграммы в одну категорию — Backdoor. Таким образом, 62% вредоносных приложений являются элементами мобильных ботнетов.

Выводы

  1. Все техники и механизмы инфицирования, сокрытия деятельности вредоносных программ очень быстро перебираются с PC на платформу Android. Этому способствует ее открытость и популярность.
  2. Большинство мобильных  вредоносных приложений ориентировано на кражу денег и только во вторую очередь на кражу личной информации.
  3. Большинство мобильных вредоносных приложений представляют собой ботов с богатым функционалом. В ближайшее время начнется торговля мобильными ботнетами.
  4. Явно прослеживается  «банковская» направленность развития мобильных зловредов. Вирусописатели следят за развитием сервисов мобильного банкинга. При успешном инфицировании смартфона сразу проверяют, привязан ли телефон к банковской карте.

Уязвимые приложения, используемые злоумышленниками

Рейтинг уязвимых приложений, приведенный ниже, построен на основе данных о заблокированных нашими продуктами эксплойтах, используемых злоумышленниками как в атаках через интернет, так и при компрометации локальных приложений, в том числе на мобильных устройствах пользователей.

 
Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений

Из всех зафиксированных нами попыток эксплуатации уязвимостей 90,52% пришлось на уязвимости в Oracle Java. Такие уязвимости эксплуатируются в ходе drive-by атак через интернет, и новые Java-эксплойты входят в состав множества эксплоит-паков. Подробнее о Java-эксплойтах можно прочитать в нашей статье.

На втором месте расположилась категория «Windows компоненты», которая включает уязвимые файлы семейств ОС Windows, не относящиеся к Internet Explorer и программам Microsoft Office – их мы выделили отдельно. В этой категории самое большое количество атак приходится на обнаруженную в win32k.sys уязвимость CVE-2011-3402,  которую  впервые использовал Duqu.

На третьем месте с показателем 2,5% расположились эксплойты для Android OS. Уязвимости в Android используют злоумышленники (а иногда и сами пользователи), чтобы получить root-привилегии, которые дают практически неограниченные возможности для манипуляций над системой. Данные уязвимости не используются в drive-by атаках и эксплойты к ним детектируются либо веб-антивирусом в случае попытки скачивания пользователем приложения с эксплойтом, либо файловым антивирусом при нахождении эксплойта уже на устройстве. Тут стоит упомянуть, что недавно появилась информация о нахождении в браузере Chrome на Nexus 4 и Samsung Galaxy S4 уязвимости, которая может привести к использованию в будущем Android-уязвимостей в drive-by атаках.

 
Распределение установленной у пользователей OS Windows по версиям, 2013

Среди пользователей наших продуктов, подтвердивших свое участие в KSN, суммарно 61,5% используют различные версии операционной системы Windows 7 (на 5% больше чем в прошлом году); 6,3% — Windows XP (на 7,75% меньше, чем в 2012 году).

Вредоносные программы в интернете (атаки через Web)

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

Количество атак с интернет-ресурсов, размещенных в разных странах мира, за год увеличилось с 1 595 587 670 до  1 700 870 654. Таким образом, наши продукты защищали пользователей при серфинге в интернете в среднем 4 659 920 раз в день.

По сравнению с прошлым годом темпы роста числа атак через браузер снизились. Число отраженных в 2013 году интернет-атак превышает аналогичный показатель 2012 года в 1,07 раз, а в 2012 году мы зафиксировали рост в 1,7 раз. Основной способ атаки – через эксплоит-паки – дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.

Вредоносные программы в интернете: TOP 20

Из всех вредоносных программ, участвовавших в интернет-атаках на компьютеры  пользователей, мы выделили 20 наиболее активных. На них пришлось 99,9% всех атак в интернете.

Название* % от всех атак**
1 Malicious URL 93,01%
2 Trojan.Script.Generic 3,37%
3 AdWare.Win32.MegaSearch.am 0,91%
4 Trojan.Script.Iframer 0,88%
5 Exploit.Script.Blocker 0,49%
6 Trojan.Win32.Generic 0,28%
7 Trojan-Downloader.Script.Generic 0,22%
8 Trojan-Downloader.Win32.Generic 0,10%
9 Hoax.SWF.FakeAntivirus.i 0,09%
10 Exploit.Java.Generic 0,08%
11 Exploit.Script.Blocker.u 0,08%
12 Exploit.Script.Generic 0,07%
13 Trojan.JS.Iframe.aeq 0,06%
14 Packed.Multi.MultiPacked.gen 0,05%
15 AdWare.Win32.Agent.aece 0,04%
16 WebToolbar.Win32.MyWebSearch.rh 0,04%
17 AdWare.Win32.Agent.aeph 0,03%
18 Hoax.HTML.FraudLoad.i 0,02%
19 AdWare.Win32.IBryte.heur 0,02%
20 Trojan-Downloader.HTML.Iframe.ahs 0,02%

 

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

По сравнению с 2012 годом увеличилась доля вердиктов, связанных с блокированием зловредных ссылок, находящихся в списке запрещенных веб-антивируса (1 место – Malicious URL). Развитие новых технологий детектирования, опирающихся на возможности KSN, позволило за год увеличить долю угроз, обнаруживаемых такими методами, с 87% до 93%. Значительная часть детектов Malicious URL приходится на сайты с эксплойтами и на сайты, перенаправляющие на эксплойты.

7 из 20 мест в нашем рейтинге заняли вердикты, которые присваиваются вредоносным объектам, используемым в  drive-by атаках — самом популярном способе проникновения вредоносных программ через интернет. Это и эвристические вердикты, такие как Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic, и не-эвристические.  Это вердикты, присваиваемые как скриптам, перенаправляющим на эксплойты, так и самим эксплойтам.

Девятое место занимает Hoax.SWF.FakeAntivirus.i. Так детектируются флеш-файлы с анимацией, имитирующей работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать антивирусное ПО. Подобные флеш-файлы могут показываться на сайтах, размещающих у себя  баннеры рекламной сети, участники которой не гнушаются время от времени «подкладывать» перенаправление на нежелательный контент.

Восемнадцатое место Hoax.HTML.FraudLoad.i — детект HTML-страницы, которая имитирует стандартное окошко для загрузки  файла:

На подобную страницу перенаправляют различные русскоязычные сайты, на которых предлагается скачать какой-либо контент: игры, программы, фильмы (чаще всего подобные сайты размещаются на бесплатных хостингах). Если пользователь нажмет кнопку «Сохранить файл», то будет перенаправлен на файловый хостинг, где предлагается скачать файл после оформления платной подписки по SMS. Однако после выполнения всех требований вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

По сравнению с 2012 годом в рейтинге больше вердиктов рекламных программ. суммарная доля детектирований которых в TOP 20 выросла с 0,3% до 1,04%.

Страны — источники веб-атак: TOP 10

Данная статистика показывает распределение по странам источников заблокированных антивирусом веб-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальных хост мог быть источником одной и более веб атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

Для проведения  1 700 870 654 атак через интернет злоумышленники воспользовались  10 604 273  уникальными хостами, что на 4 с небольшим миллиона больше, чем в 2012 году. 82%  нотификаций о заблокированных веб-атаках были получены  при блокировании атак с веб-ресурсов, расположенных в десяти странах мира – это на 14,5% меньше, чем в 2012 году.


Распределение по странам источников веб-атак

TOP 10 стран в 2013 году практически не изменился по сравнению с 2012 годом.  Из первой десятки выбыл Китай, занимавший первое место в рейтинге до 2010 года, а на восьмом месте появился Вьетнам. В 2010 году властям Китая удалось убрать из локального киберпространства множество вредоносных хостингов, в то же время были ужесточены правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась. В 2010 году Китай занимал 3 место, в 2011 году – 6-е, в 2012 году —  8-е, а по итогам 2013 года эта страна заняла в рейтинге лишь  21-е место.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение года пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.

20 стран, в которых отмечен наибольший риск заражения компьютеров через интернет:

Страна* % уникальных пользователей**
1 Азербайджан 56,29%
2 Казахстан 55,62%
3 Армения 54,92%
4 Россия 54,50%
5 Таджикистан 53,54%
6 Вьетнам 50,34%
7 Молдова 47,20%
8 Беларусь 47,08%
9 Украина 45,66%
10 Киргизия 44,04%
11 Шри-Ланка 43,66%
12 Австрия 42,05%
13 Германия 41,95%
14 Индия 41,90%
15 Узбекистан 41,49%
16 Грузия 40,96%
17 Малайзия 40,22%
18 Алжир 39,98%
19 Греция 39,92%
20 Италия 39,61%

 

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В 2013 году в этом рейтинге сменился лидер: первое место занял Азербайджан, где веб-атакам подверглись 56,3% пользователей. Россия, которая лидировала два года подряд, сместилась на 4-ю строчку с показателем 54,5% (на 4,1% меньше, чем в прошлом году).

Покинули TOP 20 США, Испания, Оман, Судан, Бангладеш, Мальдивы, Туркменистан. Среди новичков – Австрия, Германия, Греция, Грузия, Киргизия, Вьетнам, и Алжир.

США опустились с 19-го сразу на 25-е место. Показатель этой страны уменьшился на 7% и составил 38,1%. Напомним, что еще два года назад по уровню веб-угроз эта страна была на 3-м месте. Уменьшение риска заражения компьютеров через интернет в США может быть связано в том числе с  ростом популярности у пользователей веб-серфинга через мобильные устройства. Испания, которая в 2012 замыкала TOP 20, в 2013 году оказалась на 31-м месте (36,7%, на 8% меньше, чем в прошлом году).

Австрия (+8%), оказалась сразу на 12-м месте, Германия (+9,3%) — на 13-м, а Греция (-1,6%) — на 19-м. Замыкает TOP 20 еще одна западноевропейская страна —  Италия (-6%).

Все страны мира можно распределить по степени риска заражения при серфинге в интернете.

  1. Группа повышенного риска
    В эту группу с результатом 41-60% вошли первые 15 стран из TOP 20. Это Россия, Австрия, Германия, большинство стран постсоветского пространства и страны Азии.  Эта группа уменьшилась более чем вдвое: по итогам 2012 года в нее  входила 31 страна.
  2. Группа риска
    В эту группу с показателями 21-40,99% попали 118 стран, в том числе:
    Австралия (38,9%), США (38,1%), Канада (36,5%);
    Италия (39,6%), Франция (38,1%), Испания (36,7%), Великобритания (36,7%), Нидерланды (27,3%), Финляндия (23,6%),  Дания (21,8%);
    Польша (37,6%), Румыния (33,2%), Болгария (24,1%);
    Бразилия (34,6%), Мексика (29,5%), Аргентина (25%);
    Китай (32,3%),  Япония (25,3%).
  3. Группа самых безопасных при серфинге в интернете стран (0-20,99%)
    В эту группу попали 25 стран. В нее входят Чехия (20,3%), Словакия (19,7%), Сингапур (18,5%) и ряд африканских стран.

Африканские страны из группы самых безопасных при веб-серфинге попали в группы с высоким и средним уровнем заражения по уровню локальных угроз (см. ниже). В этих странах интернет пока не очень хорошо развит, и для обмена файлами пользователи активно используют различные съемные носители информации. Поэтому веб-угрозам в этих странах подвергаются немногие, тогда как вредоносные программы, распространяющиеся на съемных носителях,  часто детектируются на компьютерах пользователей.

В среднем уровень опасности интернета за год увеличился на 6,9%: в 2013 году в мире 41,6%  компьютеров пользователей интернета хотя бы раз подвергались веб-атаке. Интернет по-прежнему является основным источником вредоносных объектов для пользователей большинства стран мира.

Локальные угрозы

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через  интернет, почту или сетевые порты.

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Наши антивирусные решения успешно обнаружили почти 3 миллиарда вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано  1,8 миллиона вредоносных и потенциально нежелательных программ.

Вредоносные объекты, обнаруженные на компьютерах пользователей: TOP 20

Название % уникальных атакованных пользователей*
1 DangerousObject.Multi.Generic 27,8%
2 Trojan.Win32.Generic 27,1%
3 Trojan.Win32.AutoRun.gen 13,9%
4 Virus.Win32.Sality.gen 9,4%
5 Exploit.Win32.CVE-2010-2568.gen 6,8%
6 AdWare.Win32.DelBar.a 5,5%
7 Trojan.Win32.Starter.lgb 4,7%
8 Virus.Win32.Nimnul.a 4,0%
9 Worm.Win32.Debris.a 3,9%
10 Virus.Win32.Generic 3,7%
11 Trojan.Script.Generic 3,6%
12 Net-Worm.Win32.Kido.ih 3,5%
13 AdWare.Win32.Bromngr.i 3,1%
14 Net-Worm.Win32.Kido.ir 3,0%
15 Trojan.Win32.Starter.yy 2,7%
16 DangerousPattern.Multi.Generic 2,7%
17 HiddenObject.Multi.Generic 2,6%
18 Trojan.Win32.Hosts2.gen 2,5%
19 AdWare.Win32.Agent.aeph 2,5%
20 Trojan.WinLNK.Runner.ea 2,4%

 

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

*Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Вердикт DangerousObject.Multi.Generic, используемый для вредоносных программ, обнаруженных с помощью облачных технологий, в этом году поднялся со второго места на первое. Облачные технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы. При помощи системы мгновенного обнаружения угроз UDS, работающей в составе Kaspersky Security Network, более 11 млн. компьютеров пользователей были защищены в режиме реального времени.

Второе место занимает эвристический вердикт Trojan.Win32.Generic — лидер прошлого года.

Exploit.Win32.CVE-2010-2568.gen (5-е место), Trojan.WinLNK.Runner.ea (20-е место) являются детектами вредоносных lnk-файлов (ярлыков). В lnk-файлах данных семейств осуществляется запуск другого вредоносного исполняемого файла. Они активно используются червями для распространения через USB-накопители.

Восемь программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей: Virus.Win32.Sality.gen (4-е место), Trojan.Win32.Starter.lgb (7-е место), Virus.Win32.Nimnul.a (8-е место), Worm.Win32.Debris.a (9-е место), Virus.Win32.Generic (10-е место), Net-Worm.Win32.Kido.ih (12-е место), Net-Worm.Win32.Kido.ir (14-е место), Trojan.Win32.Starter.yy (15-е место).

Доля знаменитых червей Net-Worm.Win32.Kido (12-е и 14-е места), появившихся еще в 2008 году, из года в год уменьшается по мере того, как пользователи обновляют свои системы.

В ТОР 20 в этом году не попали вердикты семейства Virus.Win32.Virut, однако доли других представителей вирусов — Sality (4-е место) и Nimnul (8-е место) — увеличились соответственно на 8,5% и на 1,4%.

Новое семейство в рейтинге этого года — Worm.Win32.Debris.a — на 9-м месте. Распространяется червь через съемные носители с помощью lnk-файлов. Полезная нагрузка этого червя представляет собой вредоносную программу Andromeda, которая используется для загрузки посторонних файлов. Эта программа известна на черном рынке вирусописателей еще с 2011 года. Однако новый способ ее инсталляции и распространения был выделен нами в отдельное семейство.

На 18-м месте расположился вердикт Trojan.Win32.Hosts2.gen — он присваивается вредоносным программам, которые пытаются изменить специальный файл hosts, перенаправляя запросы пользователей к определенным доменам на свои подконтрольные хосты.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Чтобы оценить, в каких странах пользователи чаще всего сталкиваются с киберугрозами, для каждой из стран мы подсчитали, насколько часто в течение года пользователи в ней сталкивались со срабатыванием антивирусной программы. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

TOP 20 стран по уровню зараженности компьютеров:

  Страна* %**
1 Вьетнам 68,14%
2 Бангладеш 64,93%
3 Непал 62,39%
4 Монголия 60,18%
5 Индия 59,26%
6 Судан 58,35%
7 Афганистан 57,46%
8 Алжир 56,65%
9 Лаос 56,29%
10 Камбоджа 55,57%
11 Ирак 54,91%
12 Джибути 54,36%
13 Мальдивы 54,34%
14 Пакистан 54,12%
15 Шри-Ланка 53,36%
16 Мавритания 53,02%
17 Индонезия 52,03%
18 Руанда 51,68%
19 Ангола 50,91%
20 Египет 50,67%

 

Настоящая статистика основана на детектирующих вердиктах модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

**Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже больше года TOP 20 стран по уровню зараженности компьютеров состоит из стран Африки, Ближнего Востока и Юго-Восточной Азии. Однако за прошедший год ситуация в целом изменилась к лучшему. Если в 2012 году показатели страны — лидера рейтинга превышали 99%, то в 2013 году максимальный показатель в TOP 20 не достигает 70%.

В среднем в группе стран из TOP 20 вредоносный объект хотя бы раз был обнаружен  на компьютере — на жестком диске или на съемном носителе, подключенном к нему, — у   60,1% пользователей KSN, предоставляющих нам информацию, тогда как в 2012 году – у 73,8%.

В случае локальных угроз мы можем разделить все страны мира на несколько категорий. Учитывая общее уменьшение уровня локальных заражений,  связанное, по всей видимости, с падением популярности использования флешек для обмена информацией, мы снизили пороговые значения показателей  групп (по сравнению со статистикой за 2012 год).

  1. Максимальный уровень заражения (более 60%): 4 страны, лидирующие в рейтинге — Вьетнам (68,1%), Бангладеш (64,9%), Непал (62,4%) и Монголия (60,2%).
  2. Высокий уровень заражения (41-60%): 67 стран мира, в том числе Индия (59,2%), Китай (46,7%), Казахстан (46%), Азербайджан (44,1%), Россия (41,5%), большинство стран Африки.
  3. Средний уровень заражения (21-40,99%): 78 стран, в том числе
    Испания (36%), Франция 33,9%, Португалия (33,1%), Италия (32,9%), Германия (30,2%), США (29%), Великобритания (28,5%), Швейцария (24,6%), Швеция (21,4%), Украина (37,3%),
    Бразилия (40,2%), Аргентина (35,2%), Чили (28,9%), Южная Корея (35,2%), Сингапур (22,8%).
  4. Наименьший уровень заражения (0-20,99%): 9 стран мира.

В десятку самых безопасных по уровню локального заражения стран попали:

  Страна %
1 Дания 14,74%
2 Чехия 15,584%
3 Финляндия 15,93%
4 Куба 17,18%
5 Япония 18,93%
6 Словакия 19,24%
7 Словения 19,32%
8 Норвегия 19,36%
9 Сейшельские острова 19,90%
10 Мальта 21,28%

 

По сравнению с 2012 годом в списке произошло одно изменение – в нем появились Сейшельские острова, которые вытеснили Нидерланды.

В среднем в десятке самых безопасных стран мира хотя бы раз в течение года было атаковано 18,8% компьютеров пользователей. По сравнению с прошлым годом этот показатель уменьшился на 6,6%.

Kaspersky Security Bulletin 2013. Основная статистика за 2013 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике