Kaspersky Security Bulletin

Kaspersky Security Bulletin. Основная статистика за 2008 год

  1. Развитие угроз в 2008 г.
  2. Основная статистика за 2008 г.
  3. Спам в 2008 г.

В отличие от наших прошлых годовых и полугодовых статистических отчетов, текущий отчет практически полностью сформирован на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN является одним из важнейших нововведений в персональных продуктах линейки 2009 и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского».

Kaspersky Security Network позволяет нашим экспертам оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать значительно большую скорость реакции на новые угрозы – в настоящий момент мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей KSN через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Вредоносные программы в интернете (атаки через Web)

Как способ заражения вредоносными программи, электронная почта отошла на второй план, уступив свое место веб-сайтам. Злоумышленники используют веб-ресурсы и для первоначального заражения компьютеров пользователей, и для загрузки из интернета новых вариантов вредоносных программ. Для этого используются как «серые» хостинги, такие как названные выше McColo и Atrivo и печально известный RBN, так и взломанные легальные веб-сайты.

Подавляющее большинство атак через Web осуществляется при помощи технологии drive-by-download: заражение компьютера происходит незаметно для пользователя, во время обычной работы в интернете. Многие взломанные сайты осуществляют скрытое обращение к другим ресурсам, и именно там размещается вредоносный код, срабатывающий у пользователя, – в основном через уязвимости в браузерах или плагинах к браузеру (таких как ActiveX, RealPlayer и т.д.)

При помощи Kaspersky Security Network мы можем осуществлять учет и анализ всех попыток заражения наших пользователей при работе в интернете.

Вредоносные программы в интернете: TOP-20

По итогам работы KSN в 2008 году зафиксировано 23 680 646 атак на наших пользователей, которые были успешно отражены. Из всех вредоносных программ, участвовавших в этих атаках, мы выделили 100 наиболее активных. На их долю пришлось 3 513 355 атак.

Каждая из числа этих 100 программ была зафиксирована нами более 7000 раз. На долю программ, попавших в первую двадцатку, пришлось более 59% инцидентов, что позволяет считать их наиболее распространенными в Сети в 2008 году:

Место Название Количество
атак
Процент
относительно
TOP 100
1 Heur.Trojan.Generic 248857 7,08%
2 Trojan-Downloader.Win32.Small.aacq 228539 6,50%
3 Trojan-Clicker.HTML.IFrame.wq 177247 5,04%
4 Exploit.JS.RealPlr.nn 157232 4,48%
5 Trojan-Downloader.SWF.Small.ev 135035 3,84%
6 Trojan-Clicker.HTML.IFrame.yo 121693 3,46%
7 Exploit.Win32.Agent.cu 120079 3,42%
8 Trojan-Downloader.HTML.IFrame.wf 107093 3,05%
9 Exploit.SWF.Downloader.hn 85536 2,43%
10 Trojan-Downloader.Win32.Small.abst 78014 2,22%
11 Trojan-Downloader.JS.Agent.dau 73777 2,10%
12 Exploit.Win32.PowerPlay.a 70749 2,01%
13 Exploit.JS.RealPlr.nl 70082 1,99%
14 Exploit.SWF.Downloader.ld 69804 1,99%
15 Trojan-Downloader.JS.IstBar.cx 68078 1,94%
16 Trojan-GameThief.Win32.Magania.gen 66136 1,88%
17 Trojan-Downloader.JS.Iframe.yv 62334 1,77%
18 Trojan.HTML.Agent.ai 60461 1,72%
19 Trojan-Downloader.JS.Agent.czf 41995 1,20%
20 Exploit.JS.Agent.yq 40465 1,15%

Первое место занимает один из эвристических вердиктов новых троянских программ, для которых еще не существует точной сигнатуры. В 2008 году один только этот эвристик остановил около 250 000 атак на наших пользователей.

Если же учитывать только сигнатурные записи, то наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.

В двадцатке присутствуют 7 эксплойтов – причем практически все они являются эксплойтами, использующими уязвимости в RealPlayer и Flash Player (RealPlr и SWF). Эти уязвимости, обнаруженные в 2008 году, стали главным инструментом злоумышленников при заражении пользователей.

Десять из двадцати вредоносных программ реализованы на JavaScript в виде HTML-тегов, что очередной раз подчеркивает, насколько актуален на компьютере веб-антивирус с проверкой исполняемых скриптов. Весьма действенным инструментом в борьбе с подобными угрозами являются различные плагины к браузеру, осуществляющие блокирование выполнения скриптов без ведома пользователя – например, NoScript для Firefox. Мы настоятельно рекомендуем использовать на компьютерах такие решения дополнительно к антивирусной защите. Помимо того, что они уменьшают риск заражения, они способны защищать и от прочих видов атак в Сети, например от множества XSS-уязвимостей.

Страны, на ресурсах которых размещены вредоносные программы: TOP-20

Как мы уже отметили выше, для размещения вредоносных программ и эксплойтов злоумышленники используют и «серые» хостинги, и взломанные сайты.

23 508 073 атаки, зафиксированные нами в 2008 году, проводились с интернет-ресурсов, размещенных в 126 странах мира (территориальную принадлежность еще 172 573 атак определить не удалось): киберпреступность окончательно вышла на всемирный уровень и в настоящий момент практически в любой стране мира есть интернет-ресуры, которые являются источниками вредоносных программ.

Однако более 99% всех зафиксированных нами атак проводились с ресурсов из двадцати стран. Мы не стали выводить коэффициент «зараженности» на основе общего числа существующих в этих странах интернет-ресурсов, однако те, кому известны эти цифры, легко могут сами составить отдельный рейтинг стран с наиболее зараженными ресурсами на основе нижеследующей статистики:

Место Страна Количество
атак
Процент
от общего
числа атак
1 CHINA 18568923 78,990%
2 UNITED STATES 1615247 6,871%
3 NETHERLANDS 762506 3,244%
4 GERMANY 446476 1,899%
5 RUSSIAN FEDERATION 420233 1,788%
6 LATVIA 369858 1,573%
7 UNITED KINGDOM 272905 1,161%
8 UKRAINE 232642 0,990%
9 CANADA 141012 0,600%
10 ISRAEL 116130 0,494%
11 LITHUANIA 110380 0,470%
12 SOUTH KOREA 46167 0,196%
13 HONG KONG 44487 0,189%
14 ESTONIA 41623 0,177%
15 SWEDEN 40079 0,170%
16 FRANCE 31257 0,133%
17 ITALY 29253 0,124%
18 BRAZIL 25637 0,109%
19 PHILIPPINES 19920 0,085%
20 JAPAN 16212 0,069%

Абсолютным лидером в 2008 году по числу атак, проведенных с ресурсов, размещенных в стране, стал Китай.

Почти 80% всех вредоносных программ и эксплойтов, действие которых было заблокировано в момент проникновения на компьютеры наших пользователей, находились именно на китайских серверах. Это полностью соответствует другой статистике, которой мы располагаем: более 70% новых вредоносных программ имеют китайское происхождение.

Зачастую китайские веб-ресурсы используются злоумышленниками других стран по причине того, что регистрационные данные на китайских хостингах никем не проверяются, а также из-за отсутствия возможности у правоохранительных органов других стран закрыть такие сайты.

Наличие в первой двадцатке таких небольших стран, как Эстония, Латвия и Литва, обусловлено тесными связями тамошней киберпреступности с их «коллегами» в России и на Украине. Прибалтика продолжает оставаться одним из самых удобных регионов для киберкриминала. В прошлом русскоязычные киберпреступники неоднократно использовали прибалтийские банки для отмывания денег, полученных в результате кардинга и прочих видов компьютерной преступности. История с эстонским регистратором EstDomains, предоставлявшим услуги тысячам киберпреступников, достаточно широко освещалась в конце 2008 года.

Эти факты в значительной мере опровергают активные в последнее время разговоры о том, что, например, Эстония является одним из европейских лидеров в области борьбы с киберугрозами и обладает опытом в отражении сетевых атак.

Страны, пользователи которых подвергались атакам в 2008 году: TOP-20

Существует еще один не менее важный показатель: пользователи каких стран и регионов стали объектами атак.

В 2008 году компьютеры жителей 215 стран и регионов мира подвергались угрозе заражения 23 680 646 раз. Это без преувеличения весь мир. Жители всех стран, включая даже самые маленькие и отдаленные (например, Микронезию – 15 атак, Кирибати – 2 атаки, Каймановы острова – 13 атак), подвергались риску заражения, и никто не знает, сколько таких атак все-таки оказались успешными.

Место Страна Количество
атак
Процент
от общего
числа атак
1 CHINA 12708285 53,665%
2 EGYPT 3615355 15,267%
3 TURKEY 709499 2,996%
4 INDIA 479429 2,025%
5 UNITED STATES 416437 1,759%
6 VIETNAM 346602 1,464%
7 RUSSIAN FEDERATION 335656 1,417%
8 MEXICO 308399 1,302%
9 SAUDI ARABIA 287300 1,213%
10 GERMANY 253097 1,069%
11 MOROCCO 230199 0,972%
12 THAILAND 204417 0,863%
13 INDONESIA 190607 0,805%
14 UNITED KINGDOM 188908 0,798%
15 FRANCE 182975 0,773%
16 SYRIA 134601 0,568%
17 BRAZIL 123736 0,523%
18 TAIWAN 122264 0,516%
19 ITALY 121508 0,513%
20 ISRAEL 118664 0,501%

На долю жителей следующих двадцати стран пришлось около 89% от общего количества всех зафиксированных атак:

Этот рейтинг фактически является отражением того, в каких странах компьютеры пользователей подверглись наибольшему числу атак . Неудивительно, что на первом месте стоит Китай: китайские вредоносные программы в первую очередь ориентированы на местных пользователей. Более половины (53,66%) всех атак пришлось именно на них. Вероятней всего, большинство их было связано с распространением троянских программ, ориентированных на кражу учетных записей пользователей онлайн-игр.

Не вызывает удивления и большое количество атак на пользователей в таких странах, как Египет, Турция и Индия. Эти страны в настоящее время переживают «интернет-бум», число пользователей там растет в геометрической прогрессии, но это происходит на фоне исключительно низкого уровня технической подготовки пользователей. Именно такие владельцы компьютеров и становятся главными жертвами киберпреступников. Зараженные компьютеры в этих странах используются в основном для создания зомби-сетей. Через них в дальнейшем осуществляется рассылка спама, фишинговые атаки и распространение новых вредоносных программ.

Такие страны, как США, Россия, Германия, Великобритания, Франция, Бразилия, Италия и Израиль, также попали в первую двадцатку, а преступников интересуют учетные записи пользователей платежных и банковских систем, различных сетевых ресурсов и персональные данные.

Время жизни вредоносного URL

Довольно интересный показатель был получен нами на основе анализа более двадцати шести миллионов зафиксированных атак – время жизни вредоносного URL.

Если раньше эпидемии в электронной почте длились месяцами, а порой и годами, то с выходом на первый план заражения через Web срок жизни одной атаки стал исчисляться днями или даже часами.

Кратковременность таких атак объясняется не только тем, что вредоносные программы оперативно удаляются владельцами взломанных сайтов, но и тем, что сами киберпреступники постоянно перемещают их с одного ресурса на другой, стремясь обойти различные «списки запрещенных URL», реализованные как в антивирусных программах, так и в ряде современных браузеров, и избежать детектирования новых вариантов вредоносного ПО.

В 2008 году среднее время жизни вредоносного URL составило 4 часа.

Атаки по портам

Неотъемлемой частью современной антивирусной программы является файервол. Он позволяет блокировать различные атаки на компьютер, осуществляемые извне, не через браузер, а также должен противодействовать попыткам кражи с компьютера пользовательских данных.

В состав Kaspersky Internet Security включен файервол с функцией детектирования входящих пакетов, многие из которых являются эксплойтами, использующими уязвимости в сетевых службах операционных систем, и способны вызвать заражение непропатченной системы или предоставить злоумышленнику полный доступ к ней.

В 2008 году система UDS, реализованная в KIS2009, отразила 30 234 287 сетевые атаки.

Место Атака Количество Количество
от общего
числа атак
1 DoS.Generic.SYNFlood 20578951 68,065
2 Intrusion.Win.MSSQL.worm.Helkern 6723822 22,239
3 Intrusion.Win.DCOM.exploit 783442 2,591
4 Intrusion.Win.NETAPI.buffer-overflow.exploit 746421 2,469
5 Scan.Generic.UDP 657633 2,175
6 Intrusion.Win.LSASS.exploit 267258 0,884
7 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 194643 0,644
8 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 172636 0,571
9 DoS.Generic.ICMPFlood 38116 0,126
10 Scan.Generic.TCP 38058 0,126
11 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 13292 0,044
12 Intrusion.Win.Messenger.exploit 5505 0,018
13 DoS.Win.IGMP.Host-Membership-Query.exploit 2566 0,008
14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 1320 0,004
15 Intrusion.Win.PnP.exploit 1272 0,004
16 Intrusion.Win.MSFP2000SE.exploit 1131 0,004
17 Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit 1073 0,004
18 DoS.Win.ICMP.BadCheckSum 986 0,003
19 Intrusion.Unix.Fenc.buffer-overflow.exploit 852 0,003
20 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 821 0,003

В первой десятке присутствует сразу несколько атак, относящихся к действиям сетевых червей, вызывавших глобальные эпидемии в 2003-2005 годах. Так, например, второе место (более шести миллионов атак) приходится на долю червя Helkern (Slammer), вызвавшего эпидемию в январе 2003 года. С тех пор прошло почти шесть лет, однако до сих пор существуют зараженные компьютеры, которые являются источниками таких атак.

Третье место относится к действиям различных червей, использующих уязвимость RPC-DCOM (MS03-026). Эта же уязвимость вызвала глобальную эпидемию червя Lovesan в августе 2003 года.

4-е место заняла одна из самых опасных уязвимостей 2008 года – MS08-063. О ее существовании эксперты узнали только после того, как в интернете было обнаружено несколько вредоносных программ, уже использующих эту дыру в сетевой службе NetAPI. Сетевой червь Gimmiv оказался виновником нескольких тысяч заражений, а после того, как информация об уязвимости и эксплойт были опубликованы в интернете, вредоносные программы на базе MS08-067 стали появляться десятками и в конце 2008 года уже представляли основную опасность для пользователей.

6 и 7-е место принадлежит червям, использующим уязвимость MS04-011. Самым ярким представителем подобных зловредов является червь Sasser, эпидемия которого произошла в апреле 2004 года.

Все эти данные показывают, что, несмотря на то, что пик эпидемий множества сетевых червей давно остался в прошлом, они продолжают существовать в интернете и ищут новых жертв. Подвергнуться заражению ими очень легко – достаточно использовать старые, необновленные версии операционных систем и не пользоваться файерволом.

Локальные заражения

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты.

Наши антивирусные решения успешно обнаружили более 6 000 000 (6 394 359) вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Securirty Network.

Всего в данных инцидентах было зафиксировано 189 785 разных вредоносных и потенциально нежелательных программ.

На долю первых ста из них пришлось 941 648 инцидентов, или 14,72%.

Вредоносные программы из первой двадцатки являются наиболее распространенными угрозами 2008 года.

Номер Детектируемый
объект
Количество
уникальных
компьютеров,
на которых
был обнаружен
объект
1 Virus.Win32.Sality.aa 29804
2 Packed.Win32.Krap.b 27575
3 Trojan-Downloader.Win32.Small.acmn 25235
4 Worm.Win32.AutoRun.dui 22127
5 Trojan-Downloader.Win32.VB.eql 21615
6 Packed.Win32.Black.a 19586
7 Trojan.Win32.Agent.abt 17832
8 Virus.Win32.Alman.b 16799
9 Trojan-Downloader.JS.IstBar.cx 16264
10 Trojan.Win32.Obfuscated.gen 15795
11 Worm.VBS.Autorun.r 15240
12 Trojan-Downloader.WMA.Wimad.n 15152
13 Trojan.Win32.Agent.tfc 15087
14 not-a-virus:AdWare.Win32.BHO.ca 14878
15 Trojan-Downloader.WMA.GetCodec.c 14638
16 Virus.Win32.VB.bu 14452
17 Trojan-Downloader.HTML.IFrame.sz 14247
18 not-a-virus:AdWare.Win32.Agent.cp 14001
19 Email-Worm.Win32.Brontok.q 13142
20 Worm.Win32.AutoRun.eee 12386

Не стоит забывать о том, что эта статистика отражает инциденты, которые зафиксированы только на компьютерах пользователей наших продуктов, участвующих в проекте Kaspersky Securirty Network.

Лидером 2008 года по числу компьютеров, на которых он был обнаружен, стал вирус Sality.aa. Таким образом, впервые за последние шесть лет наших наблюдений, «угрозой года» стал классический файловый вирус, а не почтовый или сетевой червь, как это было ранее.

Sality.aa действительно вызвал всемирную эпидемию в 2008 году. Мы получали сообщения о его обнаружении из России, Европы, Америки и Азии.

Одной из важных тенденций последних лет, о чем мы неоднократно писали ранее, является стремительный рост популярности съемных накопителей, таких как USB-flash card, как способа распространения вредоносных программ. Функция автоматического запуска autorun-файлов, встроенная в операционную систему Windows, активизирует вредоносную программу, которая находится на USB. То есть работает та же схема, что и 15 лет назад, когда классические загрузочные вирусы активизировались при работе с дискетами.

Sality.aa использует именно такой способ распространения, копируя зараженные собой файлы на «флешки» и создавая специальный autorun.inf файл для их запуска.

Пример одного из подобных файлов:

[AutoRun]
;sgEFA
;uloN hbXYcKOjfOmfOsHelLoPenDEfAult=1
;ajdsvAswgioTfv
sheLlopenCOmmAnD= qwail.cmd
;
sheLlexPLoRecommANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElLAUtOplaycommANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu

 

Зеленым цветом выделены исполняемые команды. Прочие строки в файле добавлены автором вируса исключительно для обхода детектирования антивирусными программами

Аналогичный прием распространения используют еще пять вредоносных программ из первой двадцатки: Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q, Worm.Win32.AutoRun.eee.

Доля машин, зараженных этими шестью autorun-malware, составляет 30,77% от всех компьютеров, зараженных вредоносными программами из первой двадцатки. По отношению к машинам, зараженным вредоносными программами из первой сотни, этот показатель составит более 18%.

Можно с уверенностью констатировать тот факт, что такой способ распространения в настоящее время является наиболее популярным среди вирусописателей и практически всегда комбинируется с другим функционалом – таким как заражение файлов, кража информации, создание ботнетов. Распространение вредоносных программ с помощью съемных накопителей уже стало неотъемлемой чертой таких семейств троянских программ, как например Trojan-GameThief.

Из двадцати наиболее распространенных вредоносных программ шесть относятся к классу Trojan-Downloader (из них два в первой пятерке). Это говорит о том, что очень часто вирусописатели пытаются поразить компьютер пользователя первоначально именно загрузчиком, а не главной вредоносной программой. Такой подход дает им гораздо большие возможности при выборе того, как использовать зараженный компьютер, и позволяет осуществлять установку на него других троянских программ – созданных другими группами киберпреступников.

Позволим себе лирическое отступление и вспомним древнегреческую легенду о троянском коне. Это был дар коварных греков жителям осажденного ими города Трои. Троянцы обнаружили у стен города и внесли в него гигантского деревянного коня. Ночью, когда Троя уснула, из коня вылезли прятавшиеся внутри греческие воины и открыли ворота, через которые в город ворвалась их основная армия. Троя была захвачена.
Так вот, из всех современных троянских программ только Trojan-Downloader действительно выполняют функцию троянского коня на компьютере.

Уязвимости

Уязвимости в программных продуктах являются наиболее опасным видом угроз для пользователя. Они могут предоставить злоумышленникам возможность обойти имеющиеся средства защиты и атаковать компьютер. Как правило, это касается вновь обнаруженных уязвимостей, для которых еще нет «заплаток» – с ними связаны так называемые «zero-day атаки».

В 2008 году zero-day уязвимости несколько раз использовались злоумышленниками – в первую очередь уязвимости в пакете Microsoft Office и входящих в его состав приложениях.

В сентябре неизвестные китайские хакеры активно начали эксплуатировать новую уязвимость в сетевой службе NetApi Microsoft Windows, которая позволяла заразить компьютер путем сетевой атаки. Эта уязвимость была классифицирована как MS08-063, и такие атаки, совершенные на пользователей, заняли в нашей статистике атак по портам четвертое место (см. главу «Атаки по портам»).

Однако излюбленным способом проведения атаки остаются уязвимости в браузерах и связанных с ними плагинах.

«Лаборатория Касперского» первой среди антивирусных компаний реализовала в своем персональном продукте сканер уязвимостей. Это решение является первым шагом к созданию полноценной системы управления патчами, необходимость которой остро стоит не только перед антивирусной индустрией, но и перед производителями операционных систем и приложений.

Сканер позволяет обнаружить на компьютере уязвимые приложения и файлы, с тем чтобы пользователь принял соответствующие меры для устранения этих проблем. Крайне важно знать, что уязвимости обнаруживаются не только в OS Microsoft Windows, у которой есть встроенная система обновления, но и в других используемых приложениях сторонних производителей.

По итогам работы системы анализа уязвимостей в 2008 году нами было проанализировано 100 наиболее распространенных из них. На их долю пришлось 130 518 320 уязвимых файлов и приложений, обнаруженных на компьютерах пользователей наших антивирусных решений.

Из этих ста уязвимостей на долю двадцати наиболее часто обнаруживаемых пришлось 125 565 568 файлов и приложений, что составляет более 96%.

Secunia ID Vulnerabilty Количество
уязвимых
файлов и
приложений
Rating Impact Where Release Date
1 29293 Apple QuickTime Multiple Vulnerabilities 70849849 Highly critical System access From remote 10.06.2008
2 31821 Apple QuickTime Multiple Vulnerabilities 34655311 Highly critical System access From remote 10.09.2008
3 31010 Sun Java JDK / JRE Multiple Vulnerabilities 2374038 Highly critical System access, Exposure of system information, Exposure of sensitive information, DoS, Security Bypass From remote 07.09.2008
4 31453 Microsoft Office PowerPoint Multiple Vulnerabilities 2161690 Highly critical System access From remote 12.08.2008
5 30975 Microsoft Word Smart Tag Invalid Length Processing Vulnerability 1974194 Extremely critical System access From remote 09.07.2008
6 28083 Adobe Flash Player Multiple Vulnerabilities 1815437 Highly critical Security Bypass, Cross Site Scripting, System access From remote 09.04.2008
7 31454 Microsoft Office Excel Multiple Vulnerabilities 1681169 Highly critical Exposure of sensitive information, System access From remote 12.08.2008
8 32270 Adobe Flash Player Multiple Security Issues and Vulnerabilities 1260422 Moderately critical Security Bypass, Cross Site Scripting, Manipulation of data, Exposure of sensitive information From remote 16.10.2008
9 29321 Microsoft Office Two Code Execution Vulnerabilities 1155330 Highly critical System access From remote 11.03.2008
10 29320 Microsoft Outlook «mailto:» URI Handling Vulnerability 1102730 Highly critical System access From remote 11.03.2008
11 29650 Apple QuickTime Multiple Vulnerabilities 1078349 Highly critical Exposure of sensitive information, System access, DoS From remote 03.04.2008
12 23655 Microsoft XML Core Services Multiple Vulnerabilities 800058 Highly critical Cross Site Scripting, DoS, System access From remote 09.01.2007
13 30150 Microsoft Publisher Object Handler Validation Vulnerability 772520 Highly critical System access From remote 13.05.2008
14 26027 Adobe Flash Player Multiple Vulnerabilities 765734 Highly critical Exposure of sensitive information, System access From remote 11.07.2007
15 27620 RealNetworks RealPlayer Multiple Vulnerabilities 727995 Highly critical Exposure of sensitive information, System access From remote 25.07.2008
16 32211 Microsoft Excel Multiple Vulnerabilities 606341 Highly critical System access From remote 14.10.2008
17 30143 Microsoft Word Two Code Execution Vulnerabilities 559677 Highly critical System access From remote 13.05.2008
18 25952 ACDSee Products Image and Archive Plug-ins Buffer Overflows 427021 Highly critical System access From remote 02.11.2007
19 31744 Microsoft Office OneNote URI Handling Vulnerability 419374 Highly critical System access From remote 09.09.2008
20 31371 Winamp «NowPlaying» Unspecified Vulnerability 378329 Moderately critical Unknown From remote 05.08.2008

По числу файлов и приложений, обнаруженных на пользовательских компьютерах, самыми распространенными в 2008 году стали уязвимости в продукте компании Apple – QuickTime 7.x. Более 80% всех уязвимостей обнаружены именно в этом продукте.

Рассмотрим, в продуктах какой компании было обнаружено более всего уязвимостей из первой двадцатки:


Распределение уязвимостей по компаниям-производителям уязвимых приложений

На долю продуктов Microsoft приходится 10 из 20 самых распространенных уязвимостей. Все они обнаружены в приложениях, входящих в состав Microsoft Office: Word, Excel, Outlook, PowerPoint и т.д. Уязвимости в QuickTime и Microsoft Office оказались самыми распространенными на пользовательских компьютерах в 2008 году.

Третьим, и наиболее активно использовавшимся вирусописателями в 2008 году, был продукт компании Adobe – Flash Player. Уязвимости в нем открыли широкие возможности для вирусописателей: появились тысячи вредоносных программ, реализованных в виде флеш-файлов и атаковавших пользователей уже при их простом просмотре в интернете. SWF-троянцы сталиодной из главных проблем антивирусных компаний: во всех продуктах пришлось оперативно реализовывать процедуру обработки файлов формата SWF, чего ранее не требовалось.

Похожая ситуация сложилась и еще с одним популярным проигрывателем медиа-файлов – Real Player. Обнаруженная в нем уязвимость весьма активно эксплуатировалась злоумышленниками – отражение этого можно увидеть в вышеприведенной статистике атак через Web, где в первой двадцатке присутствуют такие программы, как Exploit.JS.RealPlr.

В двадцатку не попали уязвимости, обнаруженные в другом популярном продукте компании Adobe – Acrobat Reader, однако множество разнообразных PDF-троянцев использовали уязвимости этой программы что потребовало от антивирусных компаний немедленного решения проблемы.

На наш взгляд, рейтинг наиболее опасных приложений 2008 года должен выглядеть следующим образом:

  1. Adobe Flash Player
  2. Real Player
  3. Adobe Acrobat Reader
  4. Microsoft Office

Наиболее показательным является тот факт, что все двадцать наиболее часто обнаруживаемых уязвимостей относятся к категории «remote», что подразумевает возможность их использования злоумышленником удаленно, даже если он не имеет локального доступа к компьютеру.

Использование каждой из этих уязвимостей приводит к разным последствиям для атакованной системы. Самым опасным является тип воздействия «system access», позволяющий злоумышленнику получить практически полный доступ к системе.

Если сгруппировать двадцать наиболее распространенных уязвимостей по типам воздействия, то мы получим следующий график:


Распределение уязвимостей по типам воздействия

18 уязвимостей открывают возможности для «system access», 6 способны привести к утечке важной информации.

Результаты данного исследования показывают, насколько серьезна проблема уязвимостей и их ликвидации. Разрозненность подходов к установке патчей у разных производителей программного обеспечения и отсутствие у пользователей понимания необходимости обновлений являются основными предпосылками для того, чтобы вирусописатели стали активнее заниматься разработками вредоносного ПО, использующими уязвимости в программных продуктах.

Для того чтобы пользователи и компания Microsoft приучили друг друга к регулярному и легкому способу обновления Windows потребовались годы и десятки глобальных вирусных эпидемий. Сколько потребуется времени и инцидентов для того, чтобы такие же меры защиты были реализованы другими производителями и также усвоены пользователями?

Платформы и операционные системы

Операционная система или приложение могут подвергнуться нападению вредоносных программ в том случае, если они имеют возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.

В 2008 году «Лабораторией Касперского» были зафиксированы вредоносные программы для 46 различных платформ и операционных систем. Естественно, что подавляющее большинство таких программ рассчитано на функционирование в среде Win32 и представляет собой исполняемые бинарные файлы.

Наиболее значительный рост угроз произошел для следующих платформ: Win32, SWF, MSIL, NSIS, MSOffice, WMA.

WMA была одной из наиболее часто используемых платформ при атаках drive-by-download. Семейство троянских загрузчиков Wimad, использующих уязвимость в Windows Media Player, оказалось в числе двадцати наиболее распространенных угроз при локальных заражениях.

Наибольшего внимания заслуживают вредоносные программы для платформ MSIL, NSIS и SWF. Для MSIL рост нами прогнозировался уже давно. Это было логичным продолжением развития данной среды программирования компании Microsoft и переходом на нее все большего числа программистов, преподавание MSIL во многих образовательных учреждениях и оптимизация Windows и Windows Mobile для работы с приложениями на данной платформе.

NSIS оказался в поле зрения вирусописателей по причине того, что представляет собой инсталлятор с мощным скриптовым языком. Это позволило злоумышленникам реализовать на его основе разнообразные программы класса Trojan-Dropper. Использование вирусописателями легальных инсталляторов может стать одной из наиболее серьезных проблем 2009 года. Не все антивирусные продукты способны успешно распаковывать такие файлы, кроме того, их, как правило, значительный размер усложняет эмуляцию.

Неприятным сюрпризом года стал SWF. Троянские программы на основе нескольких эксплойтов уязвимостей в Macromedia Flash Player вошли в наши списки наиболее распространенных атак через Web. Сами уязвимости также оказались в числе двадцати наиболее часто встречаемых на компьютерах пользователей (6, 8 и 14 место).

SWF-троянцы, наряду с PDF-эксплойтами, стали самой актуальной вирусной проблемой в 2008 году: ранее никаких инцидентов с этими форматами не было (некоторое количество концептуальных PDF-вирусов в расчет можно не принимать), и не предполагалось, что они могут представлять опасность. Именно поэтому не все антивирусные компании смогли оперативно отреагировать на эти атаки. Наличие уязвимостей в SWF натолкнуло вирусописателей еще на одну идею: на поддельных сайтах, на которых якобы были размещены различные видеоролики, посетителям сообщалось об отсутствии у них нужной версии кодека для медиаплеера или необходимости его обновления (из-за наличия уязвимостей в ранних версиях). Но по предлагаемой для загрузки кодека ссылке всегда находилась троянская программа.

Несмотря на растущую популярность ОС Linux и MacOS, число вредоносных программ для этих систем практически не увеличивается. Во многом это связано с тем, что основным центром вирусописательства в настоящее время является Китай, где эти ОС не так популярны, как в Европе или в США. Кроме того, онлайн-игры, которые стали одним из основных объектов атак киберпреступников, крайне слабо представлены на отличных от Windows платформах. Однако в ближайшем будущем мы ожидаем усиления внимания игровых компаний к данным ОС, а особенно к ОС для мобильных устройств. Это приведет к появлению игровых клиентов для этих систем, и, как следствие, появлению вредоносных программ.

Kaspersky Security Bulletin. Основная статистика за 2008 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике