Kaspersky Security Bulletin

Kaspersky Security Bulletin, январь-июнь 2006. Развитие вредоносных программ

  1. Развитие вредоносных программ
  2. Вредоносные программы для не Win32-платформ
  3. Интернет-атаки
  4. Вредоносные программы для мобильных устройств
  5. Спам в первом полугодии 2006 года

Первые шесть месяцев 2006 года принесли с собой заметные изменения. Число обнаруживаемых за месяц новых модификаций вредоносных программ выросло в среднем на 8% по отношению ко второму полугодию прошлого года:


Число новых модификаций вредоносных программ, обнаруживаемых за месяц.

На диаграмме видно, что львиная доля всех вредоносных программ приходится на троянские программы. Это единственный класс вредоносных программ, по итогам первого полугодия демонстрирующий рост числа новых модификаций, который составил 9%. Рост числа представителей данного класса во многом определяет рост вредоносных программ в целом.

Если же обратить внимание на вирусы и черви, то здесь вместо роста имеет место спад в 1,1%, что является вполне прогнозируемым результатом.

Что касается класса Malware, то он показал наиболее значительный спад по сравнению со вторым полугодием 2005 года — 2,3%.

Рассмотрим произошедшие изменения более подробно по каждому из трех классов.

Троянские программы

Троянские программы являются наиболее динамично развивающимся классом вредоносных программ. Рост числа ежемесячно детектируемых новых модификаций троянских программ за первые шесть месяцев 2006 года составил, как было отмечено выше, 9%.


Количество ежемесячно обнаруживаемых новых модификаций троянских программ.

Распределение поведений троянских программ.

Среди многочисленных поведений, относящихся к классу троянских программ, наиболее популярны Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) и Trojan-Spy (13%). Чем же выделяются эти поведения среди остальных? Ответ гораздо проще, чем может показаться на первый взгляд: все решает финансовая составляющая — эти поведения являются ключевыми при краже персональных данных пользователей или при построении бот-сетей. Именно по этой причине они остаются наиболее популярными у злоумышленников.

Популярность Trojan-Downloader и Backdoor объясняется их частым использованием при формировании бот-сетей из компьютеров-зомби. Для получения возможности контролировать компьютер-жертву в компьютер внедряется специализированная вредоносная программа небольшого размера — Trojan-Downloader. Задачей Trojan-Downloader является инсталляция в систему других вредоносных программ для дальнейшего управления системой. Чаще всего такой «другой программой» становится Backdoor.

Рассмотрим теперь причины популярности Trojan-Spy и Trojan-PSW. Как следует из самих названий, задача Trojan-Spy и Trojan-PSW — кража информации у пользователей. Под интересующую авторов троянцев информацию подпадают практически любые личные данные: от паролей для доступа к игровым, финансовым и другим системам до информации, которая может быть использована в маркетинговых исследованиях без ведома пользователя.

В отличие от вредоносных программ с самоходным функционалом (вирусы и черви), троянские программы должны быть каким-либо образом доставлены на компьютер-жертву. И в последнее время для этого чаще всего используются либо спам-рассылки вредоносных вложений, либо загрузка с использованием эксплоитов. Стоит отметить, что злоумышленники все чаще предпочитают спам-рассылкам вредоносного контента загрузку вредоносных программ с помощью эксплоитов. Цены киберкриминального рынка составляют $40-60 за 1000 заражений, хотя никто не обещает заказчику, что «его» вредоносная программа окажется единственной на зараженном компьютере.

В будущем тенденция роста числа троянских программ сохранится, хотя его темпы могут незначительно снизиться.

Вирусы и черви

Потеря популярности представителями данного класса продолжается уже не первый год. Если представить количество ежемесячно обнаруживаемых неизвестных представителей вирусов и червей в виде графика, то мы получим следующую кривую:


Количество ежемесячно обнаруживаемых новых модификаций вирусов и червей.

По результатам первого полугодия 2006 года число новых модификаций вирусов и червей уменьшилось на 1,1%.


Распределение поведений вирусов и червей в первом полугодии 2006.

Уменьшение числа новых модификаций вредоносных программ в большей или меньшей степени произошло практически во всех поведениях данного класса (от вирусов до почтовых и других червей). И определяется подобный спад экономическими причинами: дешевле разработать примитивную троянскую программу, чем ее аналог с механизмом самораспространения.

О сокращении количества червей свидетельствует не только приведенная статистика, но и ряд других факторов. Например, число глобальных эпидемий, потрясших мир за прошедшие полгода, также значительно уменьшилось по сравнению с соответствующим периодом 2005 года, что говорит о продолжении тенденции, наметившейся годом ранее.

Безусловно, сокращение числа эпидемий приведет к уменьшению причиняемого ими ущерба. Однако на этом фоне не исключен риск потери осторожности со стороны пользователей, чем могут воспользоваться злоумышленники.

В дальнейшем потеря популярности вирусов и червей будет продолжаться.

Прочие вредоносные программы

Обратимся к последнему классу вредоносных программ, которые детектируются нашими основными антивирусными базами. Развитие Malware представлено на диаграмме:


Количество ежемесячно обнаруживаемых новых модификаций Malware.

Число новых модификаций вредоносных программ, входящих в Malware, в первом полугодии 2006 года снизилось на 2,3% относительно второго полугодия 2005 года.

Круговая диаграмма, представленная на рисунке 8, отражает популярность поведений, входящих в Malware согласно нашей классификации.


Распределение поведений в классе Malware.

В этом классе не первый год наиболее популярны Exploit’ы (30%), которые остаются неотъемлемой частью механизмов распространения вредоносного кода.

Вымогательство. Опасная тенденция

Одной из наиболее опасных тенденций прошедшего полугодия является рост числа инцидентов, когда с помощью определенной программы злоумышленники модифицируют данные на компьютере жертвы с целью последующего шантажа и получения финансовой выгоды. Сценарии работы таких программ во многом повторяют друг друга и сводятся либо к блокировке нормальной работы компьютера, либо к блокировке доступа к данным. Рост числа новых модификаций таких программ представлен на диаграмме:


Количество программ, модифицирующих данные и используемых для вымогательства.

В январе 2006 года подобного рода программы были представлены практически единственным троянцем — Trojan.Win32.Krotten. Автор Krotten’а с завидной периодичностью всего в течение двух недель выпустил 13 модификаций этой вредоносной программы, постоянно изменяя код и пытаясь сбивать детектирование Krotten. Этим и объясняется всплеск в самом начале полугодия, видный на диаграмме.

Начиная с февраля 2006 года, компьютерные вымогатели постоянно предоставляют нашему вниманию новые экземпляры вредоносных программ от различных авторов, хотя лидером по количеству новых модификаций остается Krotten.

Следом за Krotten’ом в конце января появляется Virus.Win32.Gpcode. Если Trojan.Win32.Krotten никак не модифицировал пользовательские файлы (напомним, что Krotten занимался модификацией системного реестра — таким образом, чтобы максимально затруднить свое удаление и сделать неудобной работу на компьютере), что оставляло возможность самостоятельного восстановления работоспособности компьютера, то Gpcode лишил пользователя такой возможности, модифицируя файлы данных на зараженном компьютере. Всего за шесть месяцев 2006 года Gpcode проделал значительный путь в своем развитии: от использования обычного симметричного алгоритма шифрования до ассиметричного, последовательно наращивая длину ключа с 56 бит до 64, 26, 330, а затем и до 660.

В течение первого полугодия 2006 года количество троянских семейств, занимающихся вымогательством, успело вырасти с двух до шести (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). Если в самом начале 2006 года, на заре развития таких программ, география атак была ограничена в основном Россией и странами СНГ, то к концу нынешнего полугодия она явно расширилась: появление компьютерных вымогателей было отмечено в Германии, Великобритании и ряде других стран.

Особую озабоченность вызывает тот факт, что никакой сложности разработка рассматриваемого класса зловредов не представляет. Уже отмечены случаи, когда начинающие, только вчера научившиеся нажимать на кнопки пользователи, сегодня пытаются заниматься компьютерным вымогательством. Причем дело, порой, доходит до смешного: пользователю выдвигают условия передачи денег и озвучивается сумма выкупа, но координаты для обратной связи с авторами указать в теле сообщения забывают — примером такого троянца может быть Trojan.WinREG.Schoolboys.a.

Заключение

К сожалению, ничего утешительного относительно ближайшего будущего сказать нельзя, развитие киберкриминальных технологий будет продолжаться, что будет сопровождаться увеличением числа вредоносных программ.

Можно сказать, что число новых модификаций вредоносных программ растет заметными темпами — за полугодие оно увеличилось на 8%.

Самыми популярными из вредоносных программ являются Trojan-Spy, Trojan-PSW, Trojan-Downloader и Backdoor, т.е. все те, которые используются при построении бот-сетей и кражи виртуальной собственности пользователей. Т.е. максимальный рост отмечен по тем поведениям, представители которого приносят максимальный доход.

Увеличивается популярность точечных заражений вредоносными программи.

В первом полугодии 2006 года четко наметился рост популярности метода заражения пользователей с помощью эксплоитов через сайты злоумышленников. Увеличение среди злоумышленников числа любителей этого метода обусловлено незаметностью внедрения на компьютер пользователя вредоносной программы, т.е. отпадает необходимость в использовании человека как звена в активизации вредоносного кода.

Но не все так плохо, постоянные обновления антивирусных баз, а также установка апдейтов ко всему установленному на компьютере программному обеспечению, помогут вам избежать подавляющего большинства рассмотренных здесь угроз.

Kaspersky Security Bulletin, январь-июнь 2006. Развитие вредоносных программ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике