- Прогнозы на 2015 год
- Основная статистика за 2014 год
- Развитие угроз в 2014 году
- APT-угрозы: взгляд в магический кристалл
Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.
Данные представлены за период ноябрь 2013 года – октябрь 2014 года.
Цифры года
- В 2014 году продукты «Лаборатории Касперского» заблокировали 6 167 233 068 вредоносных атак на компьютеры и мобильные устройства пользователей.
- Заблокировано 3 693 936 попыток заражения компьютеров на платформе Mac OS X.
- Отражено 1 363 549 атак на Android-устрйства.
- Решения «Лаборатории Касперского» отразили 1 432 660 467 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.
- Для проведения атак через интернет злоумышленники воспользовались 9 766 119 уникальными хостами.
- 44% веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в США и Германии.
- В течение года 38,3% компьютеров пользователей интернета хотя бы раз подвергались веб-атаке.
- Попытки запуска банковского вредоносного ПО отражены на компьютерах 1 910 520 пользователей.
- Нашим веб-антивирусом задетектировано 123 054 503 уникальных вредоносных объекта (скрипты, эксплойты, исполняемые файлы и т.д.).
- На компьютерах пользователей нашим файловым антивирусом задетектировано 1 849 949 вредоносных и потенциально нежелательных программ.
Мобильные угрозы
За отчетный период было обнаружено:
- 4 643 582 вредоносных установочных пакета;
- 295 539 новых мобильных вредоносных программ;
- 12 100 мобильных банковских троянцев.
Всего в период с начала ноября 2013 по конец октября 2014 «Лаборатория Касперского» отразила 1 363 549 уникальных атак на Android устройства. За аналогичный период 2012-2013 годов было отражено 335 000 уникальных атак. Таким образом, число атак на Android устройства увеличилось в 4 раза.
В течение года с мобильными угрозами хотя бы раз столкнулись 19% пользователей Android – практически каждый пятый.
В 53% Android-атак были использованы мобильные троянцы, нацеленные на кражу денег пользователя (SMS-троянцы и троянцы-банкеры).
География мобильных угроз
Атаки мобильного вредоносного ПО зафиксированы более чем в 200 странах мира.
TOP 10 стран по числу атакованных пользователей
Страна | % атакованных пользователей* | |
1 | Россия | 45,7% |
2 | Индия | 6,8% |
3 | Казахстан | 4,1% |
4 | Германия | 4,0% |
5 | Украина | 3,0% |
6 | Вьетнам | 2,7% |
7 | Иран | 2,3% |
8 | Великобритания | 2,2% |
9 | Малайзия | 1,8% |
10 | Бразилия | 1,6% |
* Процент пользователей, атакованных в стране, от всех атакованных пользователей
Число зафиксированных атак во многом зависит от числа пользователей в стране. Чтобы оценить опасность заражения мобильными зловредами в разных странах, мы посчитали, какой процент составляют вредоносные приложения среди всех приложений, которые пытаются установить пользователи. Рейтинг стран по этому показателю отличается от приведенного выше.
TOP 10 стран по риску заражения
Страна* | % вредоносных приложений | |
1 | Вьетнам | 2,34% |
2 | Польша | 1,88% |
3 | Греция | 1,70% |
4 | Казахстан | 1,62% |
5 | Узбекистан | 1,29% |
6 | Сербия | 1,23% |
7 | Армения | 1,21% |
8 | Чехия | 1,02% |
9 | Марокко | 0,97% |
10 | Малайзия | 0,93% |
* При расчетах мы исключили страны, в которых число скачиваний приложений менее 100 000
В этом рейтинге лидирует Вьетнам: в этой стране из всех приложений, которые пытались установить пользователи, на вредоносные пришлось 2,34%.
Россия, с большим отрывом опережающая все страны по числу атак, по риску заражения заняла 22-е место с показателем 0,69%.
В Испании риск заражения составляет 0,54%, в Германии – 0,18%, в Великобритании – 0,16%, в Италии – 0,09, в США – 0,07%. Среди всех стран лучше всего ситуация в Японии, где вредоносные приложения составляют всего 0,01% от всех приложений, которые пытались установить пользователи.
ТOP 20 мобильных угроз 2014
Название | % атак | |
1 | Trojan-SMS.AndroidOS.Stealer.a | 18,0% |
2 | RiskTool.AndroidOS.MimobSMS.a | 7,1% |
3 | DangerousObject.Multi.Generic | 6,9% |
4 | RiskTool.AndroidOS.SMSreg.gc | 6,7% |
5 | Trojan-SMS.AndroidOS.OpFake.bo | 6,4% |
6 | AdWare.AndroidOS.Viser.a | 5,9% |
7 | Trojan-SMS.AndroidOS.FakeInst.a | 5,4% |
8 | Trojan-SMS.AndroidOS.OpFake.a | 5,1% |
9 | Trojan-SMS.AndroidOS.FakeInst.fb | 4,6% |
10 | Trojan-SMS.AndroidOS.Erop.a | 4,0% |
11 | AdWare.AndroidOS.Ganlet.a | 3,8% |
12 | Trojan-SMS.AndroidOS.Agent.u | 3,4% |
13 | Trojan-SMS.AndroidOS.FakeInst.ff | 3,0% |
14 | RiskTool.AndroidOS.Mobogen.a | 3,0% |
15 | RiskTool.AndroidOS.CallPay.a | 2,9% |
16 | Trojan-SMS.AndroidOS.Agent.ao | 2,5% |
17 | Exploit.AndroidOS.Lotoor.be | 2,5% |
18 | Trojan-SMS.AndroidOS.FakeInst.ei | 2,4% |
19 | Backdoor.AndroidOS.Fobus.a | 1,9% |
20 | Trojan-Banker.AndroidOS.Faketoken.a | 1,7% |
Десять из первых двадцати программ в этом рейтинге – SMS-троянцы семейств Stealer, OpFake, FakeInst, Agent и Erop.
В течение всего года Trojan-SMS.AndroidOS.Stealer.a занимал лидирующие позиции среди всех семейств мобильного вредоносного ПО. По итогам года этот троянец также лидирует.
Распространялся этот SMS-троянец весьма активно. С мая 2014 года количество атак Stealer сопоставимо с суммарным количеством атак с использованием других распространённых SMS-троянцев.
Количество пользователей, атакованных Trojan-SMS.AndroidOS.Stealer.a и остальными SMS-троянцами (ноябрь 2013 – октябрь 2014)
SMS-троянцы: уменьшение числа атак
SMS-троянцы по-прежнему доминируют в потоке мобильного вредоносного ПО – в нашей коллекции на них приходится 23,9%.
Распределение мобильных угроз по типам
(коллекция «Лаборатории Касперского»)
Однако, как видно на диаграмме динамики атак выше, во втором полугодии 2014 года количество атак с использованием SMS-троянцев в целом уменьшилось. В результате за год их показатель сократился на 12,3%.
Рассмотрим подробнее динамику распространения самых популярных у злоумышленников SMS-троянцев (за исключением Stealer.a).
Количество пользователей, атакованных популярными SMS-троянцами
(ноябрь 2013 – октябрь 2014)
Зафиксированный в мае резкий спад числа детектов SMS-троянцев обусловлен изменением ситуации с платными сообщениями в России, где атаки с использованием SMS-троянцев особенно популярны у злоумышленников. Дело в том, что с мая 2014 года сотовых операторов в России обязали использовать механизм Advise of Charge (AoC): теперь, когда с мобильного устройства отсылается сообщение на платный номер, оператор обязан уведомить о стоимости услуги/сервиса владельца устройства, который должен подтвердить оплату.
В результате бизнес с использованием SMS-троянцев стал менее прибыльным и откровенно криминальным. Теперь, чтобы получить выгоду, злоумышленникам надо использовать троянцы, которые отправляют SMS на платные номера, перехватывают запрос от оператора и от имени пользователя посылают оператору подтверждение.
Как следствие, от этого бизнеса отказались некоторые полулегальные партнерские программы, которые ранее занимались распространением приложений с функциональностью SMS-троянцев, где были плохо прописаны условия оказания платной услуги, либо цены на подписку или услугу просто не указывались.
Можно предположить, что оказавшиеся не у дел российские создатели SMS-троянцев будут вынуждены искать новые способы заработка. Часть из них может переключиться на атаки пользователей других стран, часть — на более серьезные вредоносные программы, такие как банкеры. Будем надеяться, что найдутся и те, кто не рискнет перейти черту и займется легальной деятельностью.
Изменения динамики распространения хорошо видны на примере таких популярных у злоумышленников SMS-троянцев как OpFake.bo, FakeInst.a и OpFake.a. Их показатели уменьшились с 10-20 тысяч атакованных пользователей в месяц до 1-2 тысяч.
Мобильные банковские троянцы
За отчетный период мы обнаружили 12 100 мобильных банковских троянцев – в 9 раз больше, чем в 2013 году.
Количество мобильных банковских троянцев в коллекции «Лаборатории Касперского»
(ноябрь 2013 — октябрь 2014)
Мобильными банковскими троянцами хотя бы раз в течение года были атакованы 45 032 пользователя.
Растет количество атакованных стран: атаки мобильных банковских троянцев хотя бы раз были зафиксированы в 90 странах мира.
TOP 10 стран, атакуемых банковскими троянцами
Страна | Количество атакованных пользователей | % от всех атак* | |
1 | Россия | 39 561 | 87,85% |
2 | Казахстан | 1 195 | 2,65% |
3 | Украина | 902 | 2,00% |
4 | США | 831 | 1,85% |
5 | Беларусь | 567 | 1,26% |
6 | Германия | 203 | 0,45% |
7 | Литва | 201 | 0,45% |
8 | Азербайджан | 194 | 0,43% |
9 | Болгария | 178 | 0,40% |
10 | Узбекистан | 125 | 0,28% |
* Процент пользователей, атакованных в стране, по отношению ко всем атакованным пользователям
Традиционным лидером этого рейтинга остается Россия.
Угрозы для Mac OS X
- В 2014 году продукты «Лаборатории Касперского», предназначенные для защиты компьютеров на платформе Mac OS X, заблокировали 3 693 936 попыток заражения.
- Эксперты «Лаборатории Касперского» обнаружили 1499 новых вредоносных программ для Mac OS X, что на 200 зловредов меньше по сравнению с прошлым годом.
- Атаке подвергался каждый второй пользователь продуктов компании.
- В течение года каждый Mac-пользователь в среднем 9 раз сталкивался с какой-либо угрозой для Mac OS X.
TOP 20 угроз для Mac OS X
Название | % атак* | |
1 | AdWare.OSX.Geonei.b | 9,04% |
2 | Trojan.Script.Generic | 5,85% |
3 | Trojan.OSX.Vsrch.a | 4,42% |
4 | Trojan.Script.Iframer | 3,77% |
5 | AdWare.OSX.Geonei.d | 3,43% |
6 | DangerousObject.Multi.Generic | 2,40% |
7 | AdWare.OSX.Vsrch.a | 2,18% |
8 | Trojan.Win32.Generic | 2,09% |
9 | AdWare.OSX.FkCodec.b | 1,35% |
10 | Trojan.OSX.Yontoo.i | 1,29% |
11 | Trojan-PSW.Win32.LdPinch.ex | 0,84% |
12 | AdWare.Win32.Yotoon.heur | 0,82% |
13 | Trojan.OSX.Yontoo.j | 0,80% |
14 | Exploit.Script.Generic | 0,76% |
15 | AdWare.OSX.Bnodlero.a | 0,58% |
16 | AdWare.JS.Agent.an | 0,57% |
17 | Trojan.OSX.Yontoo.h | 0,52% |
18 | Exploit.PDF.Generic | 0,51% |
19 | AdWare.Win32.MegaSearch.am | 0,50% |
20 | Trojan.Win32.AutoRun.gen | 0,43% |
* Процент пользователей, атакованных данным зловредом, от всех атакованных пользователей
Практически половину мест в нашем TOP 20, включая первое место, заняли рекламные программы – AdWare. Как правило, подобные зловреды попадают на компьютер пользователя вместе с легальной программой, если та была загружена не с официального сайта производителя, а с одного из хранилищ ПО. Вместе с программой на компьютер пользователя устанавливается AdWare-модуль, который может добавить рекламные ссылки в закладки браузера, изменить установленную по умолчанию поисковую систему, добавить контекстную рекламу и т.д.
Любопытно, что на 8-м месте расположился зловред Trojan.Win32.Generic, работающий в ОС семейства Windows. Скорее всего, речь идет о проникновении троянца в виртуальную машину, на которой установлена Windows.
В течение 2014 года эксперты обнаружили несколько интересных зловредов для Mac OS X, о которых стоит упомянуть отдельно.
- Backdoor.OSX.Callme – бэкдор предоставляет злоумышленнику удаленный доступ к системе и заодно ворует список контактов, видимо, для поиска новых жертв. Распространяется в теле специально сконструированного документа MS Word, который при запуске устанавливает через уязвимость в систему бэкдор.
- Backdoor.OSX.Laoshu – зловред каждую минуту делает скриншоты экрана. Этот бэкдор оказался подписанным доверенным сертификатом разработчика, поэтому, возможно, создатели готовились разместить его в AppStore.
- Backdoor.OSX.Ventir – многомодульный троянец-шпион с функцией скрытого удалённого управления. Он несёт в себе драйвер перехвата нажатий клавиатуры logkext, исходный код которого доступен публично.
- Trojan.OSX.IOSinfector – установщик мобильной версии Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis).
- Trojan-Ransom.OSX.FileCoder – первый шифровальщик файлов на OS X. Условно рабочий прототип, автор которого по каким-то причинам решил забросить разработку зловреда.
- Trojan-Spy.OSX.CoinStealer – первый похититель биткоинов для OS X, маскирующийся под несколько разных биткоин-утилит с открытым исходным кодом. На самом деле устанавливает вредоносное расширение браузера и/или пропатченный вариант bitcoin-qt.
- Trojan-Downloader.OSX.WireLurker – необычный зловред, занимающийся кражей данных жертвы. Атакует не только Mac-компьютеры, но и подключенные к ним устройства на iOS; существует и Windows-версия зловреда. Распространялся через известный китайский магазин приложений для для OS X и iOS.
География угроз
TOP 10 атакуемых стран
Страна | Количество атакованных пользователей | % атак* | |
1 | США | 98 077 | 39,14% |
2 | Германия | 31 466 | 12,56% |
3 | Япония | 13 808 | 5,51% |
4 | Великобритания | 13 763 | 5,49% |
5 | Российская Федерация | 12 207 | 4,87% |
6 | Франция | 9 239 | 3,69% |
7 | Швейцария | 6 548 | 2,61% |
8 | Канада | 5 841 | 2,33% |
9 | Бразилия | 5 558 | 2,22% |
10 | Италия | 5 334 | 2,13% |
* Процент пользователей, атакованных в стране, от всех атакованных пользователей
На первой позиции в нашем рейтинге разместились США (39,14%), большое количество атак на жителей этой страны можно объяснить популярностью в ней компьютеров Apple. На втором месте Германия (12,56%), на третьем – Япония (5,51%).
Уязвимые приложения, используемые злоумышленниками
Рейтинг уязвимых приложений построен на основе данных о заблокированных нашими продуктами эксплойтах, используемых злоумышленниками как в атаках через интернет, так и при компрометации локальных приложений, в том числе на мобильных устройствах пользователей.
Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений, 2014 год
В 2014 году чаще прочих злоумышленники пытались эксплуатировать уязвимости в Oracle Java. Однако по сравнению с прошлым годом доля этого приложения уменьшилась в два раза – с 90,5% до 45%. Мы фиксировали падение популярности Java-уязвимостей на протяжении всего 2014 года – скорее всего, это связано с закрытием старых уязвимостей и отсутствием информации о новых.
Второе место в нашем рейтинге заняла категория «Браузеры» (42%), она включает эксплойты для Internet Explorer, Google Chrome, Mozilla Firefox и др. В 2014 году эта категория занимала лидирующую позицию по итогам подсчета показателей последних трех кварталов, но так и не смогла догнать лидера по итогам отчетного периода, поскольку Java-эксплойтов было очень много в конце 2013 — начале 2014 года.
На третьем месте расположились эксплойты для уязвимостей в Adobe Reader (5%). Такие уязвимости эксплуатируются в ходе drive-by атак через интернет, а PDF-эксплойты входят в состав множества эксплойт-паков.
В течение года мы отмечали снижение количества атак с использованием эксплойтов-паков. Это может быть обусловлено сразу несколькими причинами, в частности, арестами некоторых их разработчиков. Кроме того, многие эксплойт-паки перестали атаковать компьютеры, защищенные продуктами «Лаборатории Касперского» (эксплойт-паки проверяют атакуемый компьютер и прекращают атаку, если на нем стоит решение «Лаборатории Касперского»). Несмотря на все перечисленное, эксплуатация уязвимостей остается одним из основных способов доставки вредоносного ПО на компьютер пользователя.
Вредоносные программы в интернете (атаки через Web)
Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей Windows в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.
В 2014 году количество атак с интернет-ресурсов, размещенных в разных странах мира, составило 1 432 660 467. Таким образом, наши продукты защищали пользователей при серфинге в интернете в среднем 3 925 097 раз в день.
Основной способ атаки – через эксплойт-паки – дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.
Онлайн-угрозы в банковском секторе
За отчетный период решения «Лаборатории Касперского» отразили попытки запуска вредоносного ПО, предназначенного для кражи денежных средств через онлайн-доступ к банковским счетам, на компьютерах 1 910 520 пользователей.
Число компьютеров, атакованных банковским вредоносным ПО, ноябрь 2013 – октябрь 2014
Отметим, что количество атак резко возросло в мае и июне 2014 года. Данный факт связан с началом сезона отпусков, когда растет финансовая активность пользователей онлайн-банкинга, а также главным спортивным событием года – Чемпионатом мира по футболу в Бразилии, в ходе которого преступники использовали финансовое вредоносное ПО для кражи платежных данных туристов.
Всего защитными продуктами «Лаборатории Касперского» было зарегистрировано 16 552 498 уведомлений о попытках заражения вредоносными программами, предназначенными для кражи денежных средств через онлайн-доступ к банковским счетам.
География атак
ТОП-10 стран по числу атакованных пользователей
Страна | Количество атакованных пользователей | |
1 | Бразилия | 299 830 |
2 | Российская федерация | 251 917 |
3 | Германия | 155 773 |
4 | Индия | 98 344 |
5 | США | 92 224 |
6 | Италия | 88 756 |
7 | Великобритания | 54 618 |
8 | Вьетнам | 50 040 |
9 | Австрия | 44 445 |
10 | Алжир | 33 640 |
ТОР 10 семейств банковского вредоносного ПО
TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в 2014 году (по количеству атакованных пользователей):
Название | Количество атакованных пользователей | |
1 | Trojan-Spy.Win32.Zbot | 742 794 |
2 | Trojan-Banker.Win32.ChePro | 192 229 |
3 | Trojan-Banker.Win32.Lohmys | 121 439 |
4 | Trojan-Banker.Win32.Shiotob | 95 236 |
5 | Trojan-Banker.Win32.Agent | 83 243 |
6 | Trojan-Banker.AndroidOS.Faketoken | 50 334 |
7 | Trojan-Banker.Win32.Banker | 41 665 |
8 | Trojan-Banker.Win32.Banbra | 40 836 |
9 | Trojan-Spy.Win32.SpyEyes | 36 065 |
10 | Trojan-Banker.HTML.Agent | 19 770 |
Самым распространенным банковским троянцем остается ZeuS (Trojan-Spy.Win32.Zbot). В течение года он лидировал в квартальной статистике, потому неудивительно, что по итогам года он также занял первое место в нашем ТОР 10. Вторую позицию занимает Trojan-Banker.Win32.ChePro, третью – Trojan-Banker.Win32.Lohmys. Оба семейства обладают одинаковой функциональностью и распространяются посредством спам-сообщений, тема которых связана с онлайн-банкингом (например, «Счет из интернет-банкинга»). Внутри письма находится документ Word с вложенной картинкой, при нажатии на которую запускается вредоносный код.
Банковский троянец Trojan-Banker.Win32.Shiotob занял четвертое место. Он осуществляет мониторинг трафика с целью перехвата платежных данных и, как многие другие зловреды, распространяется преимущественно посредством спам-сообщений.
Подавляющее большинство зловредов из TOP 10 используют технику внедрения произвольного HTML-кода в отображаемую браузером веб-страницу и перехвата платежных данных, вводимых пользователем в оригинальные и вставленные веб-формы.
Хотя в 2014 году почти три четверти атак, нацеленных на деньги пользователей, осуществлялись при помощи банковского вредоносного ПО, финансовые угрозы этим не ограничиваются.
Распределение атак, нацеленных на деньги пользователей, по типам вредоносного ПО, 2014 год
Второй по популярности угрозой является похищение Bitcoin-кошельков (14%). Далее следует еще одна угроза, связанная с криптовалютой – заражение компьютера с целью его использования для генерации биткойнов, т.е. Bitcoin-майнинг (10%).
Угрозы в интернете: TOP 20
Всего в течение года нашим веб-антивирусом было задетектировано 123 054 503 уникальных вредоносных объекта (скрипты, эксплойты, исполняемые файлы и т.д.).
Мы выделили двадцать угроз, которые в 2014 году чаще всего встречались в интернете. На них пришлось 95,8% всех атак.
Название* | % от всех атак** | |
1 | Malicious URL | 73,70% |
2 | Trojan.Script.Generic | 9,10% |
3 | AdWare.Script.Generic | 4,75% |
4 | Trojan.Script.Iframer | 2,12% |
5 | Trojan-Downloader.Script.Generic | 2,10% |
6 | AdWare.Win32.BetterSurf.b | 0,60% |
7 | AdWare.Win32.Agent.fflm | 0,41% |
8 | AdWare.Win32.Agent.aiyc | 0,38% |
9 | AdWare.Win32.Agent.allm | 0,34% |
10 | Adware.Win32.Amonetize.heur | 0,32% |
11 | Trojan.Win32.Generic | 0,27% |
12 | AdWare.Win32.MegaSearch.am | 0,26% |
13 | Trojan.Win32.AntiFW.b | 0,24% |
14 | AdWare.JS.Agent.an | 0,23% |
15 | AdWare.Win32.Agent.ahbx | 0,19% |
16 | AdWare.Win32.Yotoon.heur | 0,19% |
17 | AdWare.JS.Agent.ao | 0,18% |
18 | Trojan-Downloader.Win32.Generic | 0,16% |
19 | Trojan-Clicker.JS.Agent.im | 0,14% |
20 | AdWare.Win32.OutBrowse.g | 0,11% |
* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей
Как и прежде, в TOP 20 представлены вердикты, которые присваиваются объектам, использующимся в drive-by атаках, а также рекламным программам и ссылкам из списка запрещенных (первое место – 73,7%).
Отметим, что по сравнению с прошлым годом увеличилось количество позиций в рейтинге, занятых рекламными программами – с 5 до 12. На рекламные программы, попавшие в TOP 20, пришлось 8,2% – на 7,01 п.п. больше, чем в 2013 году. Увеличение количества рекламных программ, агрессивные способы их распространения и их противодействие детектированию антивирусов определяют тренд 2014 года.
Вердикт Trojan-Clicker.JS.Agent.im также имеет отношение к рекламной и всяческой «потенциально нежелательной» деятельности. Так детектировались скрипты-редиректоры, размещенные на сервисе Amazon Cloudfront, и перенаправляющие пользователей на страницы с рекламой. Ссылки на эти скрипты вставляются рекламными программами и различными расширениями для браузеров, в основном, на страницы поисковых запросов пользователей. Скрипты могут также перенаправлять пользователей на вредоносные страницы с размещенной на них рекомендацией обновления Adobe Flash и Java – это популярный у злоумышленников прием распространения вредоносных программ.
Страны — источники веб-атак: TOP 10
Данная статистика показывает распределение по странам источников заблокированных антивирусом веб-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальных хост мог быть источником одной и более веб-атак.
Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).
Для проведения 1 432 660 467 атак через интернет злоумышленники воспользовались 9 766 119 уникальными хостами, что на 838 154 (на 8%) меньше, чем в 2013 году.
87% нотификаций о заблокированных веб-атаках были получены при блокировании атак с веб-ресурсов, расположенных в десяти странах мира – это на 5 п.п. больше, чем в 2013 году.
Распределение по странам источников веб-атак, ноябрь 2013 – октябрь 2014
Состав стран в первой десятке не изменился по сравнению с 2013 годом, однако поменялось их расположение. Россия сместилась со второй позиции на четвертую, Германия поднялась с четвертого на второе место. Украина поднялась с шестого на пятое место, вытеснив с него Великобританию, которая в результате оказалась на шестой строчке рейтинга.
44% веб-атак проводились с ресурсов, расположенных в США и Германии.
Страны, в которых пользователи подвергались наибольшему риску заражения через интернет
Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение года пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.
20 стран, в которых отмечен наибольший риск заражения компьютеров через интернет
Страна* | % уникальных пользователей** | |
1 | Россия | 53,81% |
2 | Казахстан | 53,04% |
3 | Азербайджан | 49,64% |
4 | Вьетнам | 49,13% |
5 | Армения | 48,66% |
6 | Украина | 46,70% |
7 | Монголия | 45,18% |
8 | Беларусь | 43,81% |
9 | Молдова | 42,41% |
10 | Киргизия | 40,06% |
11 | Германия | 39,56% |
12 | Алжир | 39,05% |
13 | Катар | 38,77% |
14 | Таджикистан | 38,49% |
15 | Грузия | 37,67% |
16 | Саудовская Аравия | 36,01% |
17 | Австрия | 35,58% |
18 | Литва | 35,44% |
19 | Шри Ланка | 35,42% |
20 | Турция | 35,40% |
Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч)
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране
В 2014 году в этом рейтинге сменился лидер: наибольший риск заражения через интернет в России, где веб-атакам подверглись 53,81% пользователей.
Лидер прошлого года Азербайджан опустился на третье место (49,64%).
Покинули TOP 20 Индия, Узбекистан, Малайзия, Греция и Италия. Среди новичков – Монголия, Катар, Саудовская Аравия, Литва и Турция.
Все страны мира по степени риска заражения при серфинге в интернете можно распределить на три группы.
- Группа повышенного риска
В эту группу с результатом выше 41% вошли первые девять стран из TOP 20. Эта группа уменьшилась: по итогам 2013 года в нее входило 15 стран. - Группа риска
В эту группу с показателями 21-40,9% попали 111 стран, в том числе: Киргизия (40,1%), Германия (39,6%), Катар (38,8%), Таджикистан (38,5%), Грузия (37,7), Саудовская Аравия (36%), Турция (35,4%), Франция (34,9%), Индия (34,8%), Испания (34,4%), США (33,8%), Канада (33,4%), Австралия (32,5%), Бразилия (32,1%), Польша (31,7%), Италия (31,5%), Израиль (30,2%), Китай (30,1%), Великобритания (30%), Египет (27,8%), Мексика (27,5%), Филиппины (27,2%), Хорватия (26,2%), Пакистан (26,1%), Румыния (25,7%), Япония (21,2%), Аргентина (21, 1%). - Группа самых безопасных при серфинге в интернете стран (0-20,9%)
В эту группу попали 39 стран. В нее входят Швеция (19,5%), Дания (19,2%), Уругвай (19,5%) и ряд африканских стран.
В 2014 году при серфинге в интернете веб-атакам хотя бы раз подверглись 38,3% компьютеров пользователей интернета.
В среднем уровень опасности интернета за год снизился на 3,3 п.п. Это может быть обусловлено несколькими факторами:
- Во-первых, свой вклад в борьбу с вредоносными сайтами стали вносить браузеры и поисковые системы, разработчики которых обеспокоились безопасностью пользователей.
- Во-вторых, многие эксплойт-паки стали проверять, стоит ли у пользователя наш продукт. Если продукт стоит, то эксплойты не пытаются атаковать компьютер пользователя.
- В-третьих, все чаще пользователи отдают предпочтение для серфинга в интернете мобильным устройствам и планшетам.
Кроме того, немного уменьшилось число атак с использованием эксплойт-паков – аресты их разработчиков не проходят зря. Однако не стоит ждать радикального изменения ситуации с эксплойтами – они по-прежнему являются основным способом доставки вредоносных программ, в том числе в случае таргетированных атак. Интернет по-прежнему является основным источником вредоносных объектов для пользователей большинства стран мира.
Локальные угрозы
Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры пользователей Windows не через интернет, почту или сетевые порты.
В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.
Вредоносные объекты, обнаруженные на компьютерах пользователей: TOP 20
В 2014 году нашим файловым антивирусом было задетектировано 1 849 949 вредоносных и потенциально нежелательных программ.
Название | % уникальных атакованных пользователей* | |
1 | DangerousObject.Multi.Generic | 26,04% |
2 | Trojan.Win32.Generic | 25,32% |
3 | AdWare.Win32.Agent.ahbx | 12,78% |
4 | Trojan.Win32.AutoRun.gen | 8,24% |
5 | Adware.Win32.Amonetize.heur | 7,25% |
6 | Virus.Win32.Sality.gen | 6,69% |
7 | Worm.VBS.Dinihou.r | 5,77% |
8 | AdWare.MSIL.Kranet.heur | 5,46% |
9 | AdWare.Win32.Yotoon.heur | 4,67% |
10 | Worm.Win32.Debris.a | 4,05% |
11 | AdWare.Win32.BetterSurf.b | 3,97% |
12 | Trojan.Win32.Starter.lgb | 3,69% |
13 | Exploit.Java.Generic | 3,66% |
14 | Trojan.Script.Generic | 3,52% |
15 | Virus.Win32.Nimnul.a | 2,80% |
16 | Trojan-Dropper.Win32.Agent.jkcd | 2,78% |
17 | Worm.Script.Generic | 2,61% |
18 | AdWare.Win32.Agent.aljt | 2,53% |
19 | AdWare.Win32.Kranet.heur | 2,52% |
20 | Trojan.WinLNK.Runner.ea | 2,49% |
Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых файловый антивирус детектировал данный объект, от всех уникальных пользователей продуктов «Лаборатории Касперского», у которых происходило срабатывание антивируса
Первое место занимает вердикт DangerousObject.Multi.Generic (26,04%), используемый для вредоносных программ, обнаруженных с помощью облачных технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.
Из топа выбыл знаменитый червь Net-Worm.Win32.Kido. Продолжает падать доля вирусов: например, Virus.Win32.Sality.gen в прошлом году встречался у 13,4% пользователей, в 2014 – у 6,69%.
Рекламные программы становятся все более распространенными, что отражено как в этом рейтинге, так и в рейтинге веб-детектов. Количество пользователей, столкнувшихся с рекламными программами, по сравнению с прошлым годом выросло почти в два раза и составило 25 406 107 человек. При этом рекламные программы становятся не только все более навязчивыми, но и более опасными. Некоторые «переходят границу» категории потенциально нежелательных, и им присваивается более «суровый» вердикт. Пример такой программы – Trojan-Dropper.Win32.Agent.jkcd (16-е место, 2,78%): она не только донимает пользователя навязчивым показом рекламы и изменяет поисковую выдачу, но и может скачать на компьютер вредоносную программу.
Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения
Для каждой из стран мы подсчитали, насколько часто в течение года пользователи в ней сталкивались со срабатыванием файлового антивируса. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, – флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.
TOP 20 стран по уровню зараженности компьютеров
Страна* | %** | |
1 | Вьетнам | 69,58% |
2 | Монголия | 64,24% |
3 | Непал | 61,03% |
4 | Бангладеш | 60,54% |
5 | Йемен | 59,51% |
6 | Алжир | 58,84% |
7 | Ирак | 57,62% |
8 | Лаос | 56,32% |
9 | Индия | 56,05% |
10 | Камбоджа | 55,98% |
11 | Афганистан | 55,69% |
12 | Египет | 54,54% |
13 | Саудовская Аравия | 54,37% |
14 | Казахстан | 54,27% |
15 | Пакистан | 54,00% |
16 | Сирия | 53,91% |
17 | Судан | 53,88% |
18 | Шри-Ланка | 53,77% |
19 | Мьянма | 53,34% |
20 | Турция | 52,94% |
Настоящая статистика основана на детектирующих вердиктах файлового антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч)
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране
Первая четверка лидеров не изменилась по сравнению с прошлым годом: первое место по-прежнему занимает Вьетнам; Монголия и Бангладеш поменялись местами – Бангладеш опустился со второго на четвертое место, Монголия поднялась с четвертого на второе.
Покинули TOP 20 Джибути, Мальдивы, Мавритания, Индонезия, Руанда и Ангола. Среди новичков – Йемен, Саудовская Аравия, Казахстан, Сирия, Мьянма и Турция.
В среднем в группе стран из TOP 20 вредоносный объект хотя бы раз был обнаружен на компьютере – на жестком диске или на съемном носителе, подключенном к нему, – у 58,7% пользователей KSN, предоставляющих нам информацию, тогда как в 2013 году – у 60,1%.
В случае локальных угроз мы можем разделить все страны мира на несколько категорий.
- Максимальный уровень заражения (более 60%): 4 страны, лидирующие в рейтинге, – Вьетнам (69,6%), Монголия (64,2%), Непал (61,0%) и Бангладеш (60,5%).
- Высокий уровень заражения (41-60%): 83 страны мира, в том числе Индия (56,0%), Казахстан (54,3%), Турция (52,9%), Россия (52,0%), Китай (49,7%), Бразилия (46,5%), Беларусь (45,3%), Мексика (41,6%), Филиппины (48,4%).
- Средний уровень заражения (21-40,9%): 70 стран, в том числе
Испания (40,9%), Франция (40,3%), Польша (39,5%), Литва (39,1%), Греция (37,8%), Португалия (37,7%), Корея (37,4%), Аргентина (37,2%), Италия (36,6%), Австрия (36,5%), Австралия (35,3%), Канада (34,8%), Румыния (34,5%), США (34,4%), Великобритания (33,8%), Швейцария (30,8%), Гонконг (30,4%), Ирландия (29,7%), Уругвай (27,8%), Нидерланды (26,4%), Норвегия (25,1%), Сингапур (23,5%), Япония (22,9%), Швеция (23%), Дания (21,3%). - Наименьший уровень заражения (0-20,9%): 3 страны мира: Финляндия (20%), Куба (19,1%) и Сейшельские острова (19%).
В десятку самых безопасных по уровню локального заражения стран попали:
Страна | %* | |
1 | Сейшельские острова | 19,03% |
2 | Куба | 19,08% |
3 | Финляндия | 20,03% |
4 | Дания | 21,34% |
5 | Япония | 22,89% |
6 | Швеция | 22,98% |
7 | Чехия | 23,13% |
8 | Сингапур | 23,54% |
9 | Мартиника | 25,04% |
10 | Норвегия | 25,13% |
* Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране
По сравнению с 2013 годом в списке произошли изменения – появились Мартиника, Сингапур и Швеция; покинули рейтинг Словакия, Словения и Мальта.
В среднем в десятке самых безопасных стран мира хотя бы раз в течение года было атаковано 23% компьютеров пользователей. По сравнению с прошлым годом этот показатель увеличился на 4,2%.
Kaspersky Security Bulletin 2014. Основная статистика за 2014 год