Kaspersky Security Bulletin. Основная статистика за 2011 год

1. Kaspersky Security Bulletin. Развитие угроз в 2011 году
2. Kaspersky Security Bulletin. Основная статистика за 2011 год
3. Kaspersky Security Bulletin. Спам в 2011 году

Эта часть отчета является частью Kaspersky Security Bulletin 2011 и сформирована на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN использует «облачную» архитектуру в персональных и корпоративных продуктах и является одной из важнейших технологий «Лаборатории Касперского».

Kaspersky Security Network позволяет нашим экспертам оперативно, в режиме реального времени обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN помогает выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать гораздо большую скорость реакции на новые угрозы — в настоящее время мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Статистика в отчете основана на данных, полученных от продуктов «Лаборатории Касперского», пользователи которых подтвердили свое согласие на передачу статистических данных.

Вредоносные программы в интернете (атаки через Web)

Количество атак через браузер за год увеличилось с 580 371 937 до 946 393 693. Таким образом, при серфинге пользователей в интернете наши продукты отражали атаки вредоносного ПО в среднем 2 592 859 раз в день.

Число отраженных в 2011 году интернет-атак превышает показатели 2010 года в 1,63 раза, что значительно уступает тем темпам роста, которые мы видели на протяжении последних трех лет. Так, в 2010 году мы зафиксировали восьмикратный рост попыток заражения по сравнению с 2009 годом.

Замедление темпов роста попыток заражения через web обусловлено тем, что в 2011 году в ходе интернет-атак злоумышленники не использовали никаких принципиально новых технологий массового заражения компьютеров. Основным оружием заражения через браузер так и остались наборы эксплойтов, дающие возможность проводить drive-by атаки совершенно незаметно для пользователя. В течение года на черном рынке активно продавались два набора эксплойтов: BlackHole и Incognito, которые быстро завоевали популярность у киберпреступников и вошли в пятерку чаще всего используемых наборов. Заметим, что практически весь этот бизнес функционирует вокруг партнерских программ, организованных хакерами.

Предпосылок к серьезному изменению ситуации нет, поэтому в ближайшее время рост числа веб-атак еще больше замедлится. Затем произойдет постепенная стабилизация количества инцидентов.

Вредоносные программы в интернете: TOP20

Из всех вредоносных программ, участвовавших в интернет-атаках на пользователей, мы выделили 20 наиболее активных. На них пришлось 87,5% атак в интернете.

Настоящая статистика представляет собой детектирующие вердикты модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Суммарное число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей.

Развитие новых технологий детектирования, опирающихся на возможности KSN, позволило увеличить с 60% до 75% долю угроз, обнаруживаемых эвристическими методами без обновления классических антивирусных баз. Вредоносные сайты, обнаруженные с помощью этих методов, занимают первую строчку рейтинга. Отметим, что значительная часть детектов Malicious URL приходится на сайты с эксплойтами.

На втором месте — вредоносные скрипты, внедряемые злоумышленниками в код взломанных легитимных сайтов с помощью специальных программ. Инъекции скрытого тега Iframe со ссылкой на вредоносный ресурс используются в ходе drive-by атак: пользователь заходит на легитимный сайт, а браузер незаметно перенаправляется на ресурс, содержащий набор эксплойтов. Аналогичные вредоносные скрипты, обнаруживаемые более простыми — сигнатурными — методами, разместились на 14-м и 18-м местах.

Позиции с 3-й по 6-ю занимают различные эвристические вердикты, детектирующие вредоносные программы в виде скриптов и исполняемых PE-файлов. Такие программы осуществляют загрузку и исполнение других вредоносных программ, а также несут «полезную» нагрузку — воруют данные интернет-банкинга, учетные записи в социальных сетях, сервисах и тому подобное.

Еще семь представителей TOP 20 — рекламные программы семейств Zwangi, FunWeb, Eorezo, Shopper и HotBar, которые уже не первый год попадают в наш рейтинг. Эти программы стараются попасть на компьютер пользователя различными способами, легальными и нелегальными.

По сравнению с 2010 годом в рейтинг попало два новых вида вредоносных программ. Во-первых, это программы, используемые в мошенничестве с короткими номерами, — Hoax.Win32.ArchSMS.heur (13-е место). Нашими продуктами зафиксировано более одного миллиона инцидентов с их участием, и подавляющее большинство этих случаев приходится на русскоговорящий сегмент интернета. Во-вторых, это троянец-вымогатель Digitala (17-е место). Этот зловред блокирует нормальную работу компьютера и требует, чтобы пользователь заплатил злоумышленникам за восстановление исходного состояния системы.

Страны, на веб-ресурсах которых размещены вредоносные программы: TOP 20

Для проведения 946 393 693 атак через интернет злоумышленники воспользовались 4 073 646 доменами. Серверы, на которых был размещен вредоносный код, были обнаружены в 198 странах мира. 86,4% всех зафиксированных нами в Сети вредоносных хостингов были размещены в интернет-пространстве двадцати стран.

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Для определения географического источника атаки используется методика сопоставления доменного имени к реальному IP-адресу, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).
** Суммарное число зафиксированных веб-антивирусом уникальных атак с веб-ресурсов, размещенных в стране.

Первые две позиции занимают те же страны, что и год назад: США (25,4%) и Россия(14,6%). Важно отметить, что активный рост доли вредоносных хостингов, который мы фиксировали в этих странах в предыдущие годы, прекратился. Этому способствовали активные действия правоохранительных органов по закрытию ботнетов. Однако несмотря на то что процент вредоносных хостингов в этих странах немного снизился, он все еще остается на очень высоком уровне.

Жесткое регулирование регистрации доменов в Китае продолжает давать положительный эффект. Еще два года назад Китай был в лидерах по числу вредоносных хостингов с невероятным отрывом от других стран. На долю этой страны приходилось более половины всех источников зловредов в интернете (52%). Однако в прошлый отчетный период этот показатель сократился до 13%. В 2011 году доля китайских вредоносных хостингов уменьшилась еще на 8,2%, и страна переместилась с третьей позиции на шестую.

Голландия и Германия занимают в рейтинге 3-ю и 4-ю позиции соответственно. Это объясняется в частности тем, что провайдеры этих стран предлагают дешевый и качественный хостинг, который интересен не только честным клиентам, но и злоумышленникам.

Где размещаются вредоносные ссылки

Помимо drive-by загрузок в арсенале у злоумышленников имеется еще несколько методов заманивания пользователей на вредоносные сайты: черная поисковая оптимизация, спам в социальных сетях и постинг ссылок с заманчивыми комментариями на популярных сайтах.

Мы выяснили, на каких именно сайтах в 2011 году чаще всего размещались вредоносные ссылки — в соответствии с числом попыток переходов по этим ссылкам пользователей KSN. Двадцатку сайтов, с которых было зафиксировано больше всего попыток перехода, мы сгруппировали по категориям.

Категории TOP 20 сайтов, откуда пользователи чаще всего
переходили по вредоносным ссылкам. % переходов, 2011

На первом месте оказались различные развлекательные сайты, содержащие видеоконтент, такие как Youtube.

Второе место заняли поисковые системы — пользователи периодически переходят по вредоносным ссылкам прямо на страницах выдачи крупнейших поисковиков Google и Yandex.

С отставанием в 1% на третьем месте расположились социальные сети. Наиболее осторожными нужно быть при общении в Facebook и Vkontakte — именно в этих социальных сетях злоумышленники особенно активно распространяют вредоносный контент.

На четвертом и пятом местах расположились сайты с контентом «для взрослых» и различные рекламные сети (чаще всего баннерные).

Уязвимые приложения, используемые злоумышленниками

Как было отмечено выше, уже второй год подряд эксплойты являются главным оружием киберпреступников при проведении интернет-атак. Анализ эксплойтов позволил выявить программы, уязвимости в которых в 2011 году чаще всего использовали хакеры для проведения атак на компьютеры пользователей.

Приложения, уязвимости в которых использовали веб-эксплойты, 2011

35% инцидентов с эксплойтами были нацелены на уязвимости в Adobe Acrobat Reader.

В 2011 году резко увеличилась популярность эксплойтов к Java-машине, в итоге уязвимости в Java заняли второе место в рейтинге мишеней — с ними было связано четверть всех инцидентов. Заметим, что современные наборы эксплойтов наполовину состоят именно из Java-эксплойтов.

На третьем месте расположились программы, использующие уязвимости в компонентах Windows. Наиболее заметными их представителями стали эксплойты к уязвимости 2010 года MS10-042 в Windows Help and Support Center. 4% приходится на уязвимости в установленном по умолчанию во всех версиях Windows браузере Internet Explorer.

Что особенно интересно, на 6-м месте с 4% расположились эксплойты для мобильной платформы Android OS, которые до 2011 года вообще не попадали в подобные рейтинги. Все они дают возможность вредоносным программам получить права администратора и полный контроль над телефоном или планшетом (jailbreak).

Процентное соотношение версий OS Windows,
установленных на компьютерах по всему миру

Для массовых заражений злоумышленники активно эксплуатируют давно известные уязвимости, в то время как zero-day эксплойты припасаются для целевых атак. Причина проста: в мире достаточно компьютеров, которые используют устаревшее ПО и операционные системы. В частности, в сети KSN 63% компьютеров, которые подвергались атакам, работают под Windows XP, в то время как на более современные Windows 7 и Vista приходится лишь 37% инцидентов.

Локальные угрозы

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты.

Наши антивирусные решения успешно обнаружили более 2,3 миллиарда вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано 1 590 861 разных вредоносных и потенциально опасных программ.

Вредоносные объекты, обнаруженные на компьютерах пользователей: TOP 20

Вредоносные программы, попавшие в первую двадцатку, являются самыми распространенными угрозами 2011 года.

Настоящая статистика представляет собой детектирующие вердикты модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.

На 18 230 930 компьютерах были заблокированы попытки заражения, обнаруженные с помощью различных эвристических методов: Trojan.Win32.Generic (1-е место), Worm.Win32.Generic (8-е место), HiddenObject.Multi.Generic (12-е место), Exploit.Script.Generic (18-е место).

Второе место в рейтинге занимают различные вредоносные программы, обнаруженные с помощью облачных технологий и детектируемые как DangerousObject.Multi.Generic. Облачные технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. При помощи системы мгновенного обнаружения угроз UDS, работающей в составе Kaspersky Security Network, более 12 млн. компьютеров пользователей получили защиту в режиме реального времени.

8 программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей: Net-Worm.Win32.Kido.ih (3-е место), Virus.Win32.Sality.aa (4-е место), Net-Worm.Win32.Kido.ir (5-е место), Virus.Win32.Sality.bh (6-е место), Trojan.Win32.Starter.yy (7-е место), Virus.Win32.Sality.ag (10-е место), Virus.Win32.Nimnul.a (13-е место) и Worm.Win32.VBNA.b (14-е место).

Почти 2 миллиона пользователей столкнулись с мошенничеством с использованием коротких SMS-номеров (Hoax.Win32.ArchSMS.heur, 9-е место). Под различными предлогами, в основном обещая доступ к содержимому архива или инсталлятора с игрой, программой, книгой или чем-то подобным, злоумышленники пытаются вынудить пользователей отправить SMS на короткий премиум-номер. Как правило, после отправки сообщения пользователь ничего не получает взамен.

В стане классических файловых вирусов пополнение — Virus.Win32.Nimnul.a. Эта вредоносная программа распространяется двумя путями: с помощью заражения исполняемых файлов и через сменные носители информации с использованием функции автозапуска. Основной регион распространения — азиатские страны, такие как Индия (21%), Индонезия(16%), Вьетнам (18%), Бангладеш (10%), где операционные системы обновляются редко и защитное ПО установлено далеко не на каждом компьютере. Основной нагрузкой зловреда является доставка на компьютер бэкдора Backdoor.Win32.IRCNite.yb, который подключается к удаленному серверу и включает компьютер-жертву в зомби-сеть.

Обфускация и упаковка остаются в числе популярных у злоумышленников средств защиты вредоносных программ от детектирования: 11-е, 14-е и 17-е места занимают именно такие программы — семейств Katusha, VBNA и Klone. Что примечательно, все три программы были обнаружены практически в одно и то же время: в конце августа — начале сентября 2010 года.

Картина мира

Один из самых интересных вопросов, на который можно получить ответ с помощью статистики, — в каких странах пользователи чаще всего сталкиваются с киберугрозами. По сути, эта конкретная статистика — показатель агрессивности среды, в которой работает компьютер.

Чтобы оценить степень риска заражения, которому подвергаются компьютеры в разных странах мира, для каждой из стран мы подсчитали, насколько часто в течение 2011 года пользователи в ней сталкивались со срабатыванием антивирусной программы.

Веб-угрозы

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
*Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В 2011 году изменилось процентное соотношение развитых и развивающихся стран в первой двадцатке. В прошлом году в этот рейтинг входила лишь одна развитая страна — США. В 2011 помимо Соединенных Штатов в рейтинг попали Англия и Канада.

Произошли изменения и в тройке лидеров. За год значительно снизился уровень риска при веб-серфинге в Ираке — с 61,8% до 45,4%. Эта страна опустилась с первой строчки нашего рейтинга на восьмую. С третьего на первое место поднялась Россия (+2,2%), где процент пользователей, атакованных в процессе веб-серфинга, составил 55,9%. Второе место осталось за Оманом с показателем 54,8%. А вот на третье место с пятой позиции поднялись США с 50,1%. Значительная доля атак на американских пользователей в 2011 году была проведена со взломанных сайтов с помощью набора эксплойтов BlackHole Exploit Pack. В результате успешной атаки на компьютер пользователя мог быть установлен целый зоопарк различных вредоносных программ: троянцы-банкеры Zbot (Zeus), многофункциональные бэкдоры-кликеры ZeroAccess, фальшивые антивирусы и программы-вымогатели.

Все страны можно распределить по степени риска заражения при серфинге в интернете.

1. Группа повышенного риска
   В эту группу с результатом 41-60% вошли 22 страны. Помимо стран из TOP 20 в нее также попали Австралия (41,5%) и Китай (41,4%).
2. Группа риска
   В эту группу с показателями 21-40% попали 118 стран, в том числе Италия (38,9%), ОАЭ (38,2%), Франция (37%), Швеция (32%), Голландия (37,1%) и Германия (26,6%).
3. Группа самых безопасных при серфинге в интернете стран (0-20%)
   В 2011 году в эту группу попали 9 стран: Эфиопия (20,5%), Гаити (20,2%), Дания (19,9%), Нигер (19,9%), Того (19,6%), Бурунди (18,6%), Зимбабве (18,6%), Бенин (18,0%), Мьянма (17,8%).

Самые значительные изменения в 2011 году произошли в последней группе стран — ее состав обновился практически полностью. Германия, Япония, Люксембург, Австрия и Норвегия, чьи показатели в 2010 году варьировали от 19% до 20%, перешли в группу риска. За исключением Дании, группа безопасных стран почти полностью состоит из новичков рейтинга.

Отметим, что страны, пополнившие группу безопасных при веб-серфинге, по уровню локальных угроз попали в группы с высоким и максимальным уровнем заражения. Их попадание в группу стран, безопасных для серфинга в интернете, объясняется характером распространения файлов в этих странах: интернет там пока еще не очень хорошо развит, поэтому для обмена файлами пользователи активно используют различные съемные носители информации. В итоге в этих странах на наши радары практически не попадают веб-угрозы, а вот с вирусами и червями, которые живут на флешках и заражают файлы, сталкивается огромное количество пользователей.

В целом в мире уровень опасности интернета за год вырос на 2% и составил 32,3%. К тому же переход многих западноевропейских стран и Японии в группу риска является тревожным знаком: именно на пользователей из этих стран нацелены наиболее профессиональные злоумышленники.

Локальные угрозы

Помимо заражений через веб интерес представляют данные о детектировании вредоносных программ, обнаруженных непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. По сути, эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

Настоящая статистика основана на детектирующих вердиктах модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Вся двадцатка 2011 года состоит из стран Африки и Азии. Ситуация в некоторых регионах настораживает, например, в Судане и Бангладеш на 9 из 10 компьютеров пользователи в течение года хоть раз сталкивались с заражением вредоносной программой. Еще неразвитая культура использования антивирусов и поверхностные знания пользователей о возможных компьютерных угрозах делают компьютеры в этих странах уязвимыми для вредоносных программ.

В случае локальных угроз мы также можем разбить все страны мира на несколько категорий. По сравнению с прошлым годом мы изменили методику подсчета, включив данные об угрозах, найденных on-demand сканером, который сканирует жесткий диск и внешние носители информации. В результате общий уровень заражения стал выше, и мы пересмотрели порог вхождения в различные группы для более адекватного отражения текущей ситуации.

1. Максимальный уровень заражения (более 75%): 9 стран из Азии и Африки.
2. Высокий уровень заражения (56-75%): 70 стран мира, в том числе Филиппины (61%), Россия (60,6%), Эквадор (57,8%), Колумбия (57,7%), Китай (57,5%).
3. Средний уровень заражения (35-55%): 55 стран, в том числе Мексика (55%), Турция (55%), Бразилия (54,1%), Румыния (48,6%), Испания (44,9%), США (40,2%), Австралия (39,1%), Франция (37,9%), Канада (37,4%) и Англия (37%).
4. Наименьший уровень заражения (0-35%): 14 стран мира.

Страны с минимальным процентом зараженных компьютеров:

Группа самых безопасных стран, несмотря на изменение методики подсчета, выглядит практически так же, как и в прошлом году.

Сетевые атаки

Обязательным элементом современной защитной программы является файервол. Он позволяет блокировать атаки на компьютер, осуществляемые извне через локальную сеть, а также противодействует попыткам кражи с компьютера пользовательских данных.

В состав Kaspersky Internet Security включен файервол с функцией детектирования входящих пакетов (IDS), многие из которых являются эксплойтами, использующими уязвимости в сетевых службах операционных систем, и способны вызвать заражение системы с незакрытыми уязвимостями или предоставить злоумышленнику полный доступ к ней.

В 2011 году наши системы защиты от сетевых атак отразили 2 656 409 669 попыток незаконного проникновения на компьютеры пользователей — в прошлом году эта цифра была в два раза меньше.

Сетевые атаки: TOP 20

Настоящая статистика основана на детектирующих вердиктах модуля IDS, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
*Доля от всех уникальных инцидентов, зафиксированных IDS на компьютерах пользователей.

Лидером рейтинга вновь стал червь Slammer (Helkern). Его поведение в течение года было очень странным: были периоды, когда он вдруг исчезал с радаров, а спустя недели так же неожиданно появлялся вновь.

Число уникальных пользователей, на компьютерах которых
была зафиксирована атака Slammer

Лидер прошлого года Intrusion.Win.NETAPI.buffer-overflow.exploit переместился на вторую строчку рейтинга. Напомним, что это эксплойт к уязвимости MS08-067, который впервые был применен в черве Kido, а затем и в черве Stuxnet.

Большая часть рейтинга состоит из эксплойтов-долгожителей, которые уже не первый год распространяются с зараженных компьютеров. А девятизначные цифры количества попыток заражения через Сеть говорят лишь об огромном парке никак не защищенных компьютеров, подключенных к интернету.