В этом полугодовом отчете будут проанализированы изменения в динамике развития вредоносных программ по сравнению с последним полугодием 2006 года. Для подготовки отчета была использована новая статистическая методика, отличающаяся от применявшейся нами ранее. Показатели 2006 года, используемые в данном отчете, также были пересчитаны по новой методике, в связи с чем они могут не совпадать с данными, приведенными в прошлом годовом отчете.
- Типы вредоносных программ в первом полугодии 2007 года
- Платформы и операционные системы
- Обновления антивирусных баз
- Выводы
Типы вредоносных программ в первом полугодии 2007 года
Напомним, что согласно классификации «Лаборатории Касперского» существует три класса вредоносных программ:
- TrojWare: различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
- VirWare: саморазмножающиеся вредоносные программы (вирусы и черви);
- Other MalWare: программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.
Первые шесть месяцев 2007 года принесли заметные изменения. Число обнаруживаемых за месяц новых вредоносных программ выросло в среднем на 89% по отношению ко второй половине прошлого года и составило 15 292,2 (во втором полугодии 2006 года — 8108,5). В целом за отчетный период было обнаружено 91 753 новых вредоносных программ.
Рис. 1. Количество новых вредоносных программ,
обнаруженных аналитиками «Лаборатории Касперского»
В первом полугодии 2007 года продолжилась тенденция, которая отмечается нами на протяжении последних лет: увеличение доли разнообразных троянских программ и соответствующее уменьшение показателей VirWare и Other MalWare.
Распределение классов вредоносных программ, второе полугодие 2006 года
Распределение классов вредоносных программ, первое полугодие 2007 годаРис. 2. Процентное соотношение классов вредоносных программ
За первое полугодие 2007 года доля троянских программ увеличилась на 2,61% и составила 91,36%. Относительная простота создания (по сравнению с червями и вирусами) вредоносных программ этого класса и их возможности в области кражи данных, создания ботнетов и организации спам-рассылок по-прежнему остаются основными причинами роста числа троянцев в Интернете.
Уменьшение доли червей и вирусов (VirWare) не столь заметно, как в прошлые годы (-2,26%), однако это легко объяснить уже достигнутыми ими крайне малыми показателями. В ближайшем будущем доля VirWare вряд ли продолжит уменьшаться, и скорее всего сейчас ими достигнута определенная «точка равновесия». Черви и вирусы не исчезнут окончательно со сцены и, скорее всего, еще испытают определенный рост своей популярности в 2007 году, во многом зависящий от того, будут ли обнаружены новые критические уязвимости в ОС Windows в целом и в Vista в частности.
Что же касается группы Other MalWare (разнообразные exploits, в первую очередь), то, несмотря на рост их числа по сравнению со второй половиной прошлого года, в общем объеме их доля уменьшилась еще на 0,36%, достигнув крайне малого значения: 1,95%.
Рассмотрим подробнее изменения, произошедшие в каждом из классов.
Троянские программы
Представим количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых троянских программ в виде графика:
Рис. 3. Ежемесячное количество новых TrojWare-программ,
обнаруженных аналитиками «Лаборатории Касперского»
Даже при беглом взгляде на график заметен стремительный рост популярности троянских программ. Он становится все более и более угрожающим, поскольку подавляющее число троянцев относится к программам, ориентированным на нанесение финансового ущерба пользователям.
Распределение троянцев по популярности отражено на следующем рисунке:
Рис. 4. TrojWare: процентное соотношение поведений внутри класса
Чтобы лучше понять изменения, происходившие в классе троянских программ, рассмотрим, как увеличивалось число вредоносных программ по поведениям. Практически все виды троянских программ активно наращивали свои количественные показатели:
Рис. 5. Количество новых вредоносных программ класса TrojWare (по поведениям)
Рис. 6. Рост числа новых вредоносных программ класса TrojWare
%% | Изменения | 2006 | 2007 | |
Other | 0,07 | -9% | 68 | 62 |
Trojan-Clicker | 1,36 | 57% | 722 | 1137 |
Trojan-Dropper | 1,92 | 27% | 1270 | 1611 |
Trojan-Proxy | 2,27 | 11% | 1710 | 1901 |
Trojan-Spy | 8,51 | 69% | 4216 | 7131 |
Trojan | 9,75 | 42% | 5737 | 8170 |
Trojan-Downloader | 21,56 | 46% | 12363 | 18076 |
Trojan-PSW | 24,33 | 135% | 8694 | 20393 |
Backdoor | 30,24 | 202% | 8397 | 25345 |
TrojWare | 94% | 43177 | 83826 |
В первом полугодии 2007 года среди троянских программ наиболее внушительный рост показали бэкдоры: 202%. Подобный всплеск сравним только со стремительным развитием почтовых червей в 2002-2004 годах. В настоящее время основным местом создания бэкдоров является Китай: по нашим оценкам, китайское происхождение имеют более 30% всех обнаруженных в 2007 году бэкдоров.
Столь высокие темпы роста бэкдоров изменили существовавшее ранее распределение поведений вредоносных программ внутри класса TrojWare: бэкдоры оказались на первом по численности месте, которое в 2006 г. занимали Trojan-Downloader.
Помимо бэкдоров, составляющих теперь почти треть троянских программ (и почти треть всех вредоносных программ), заметно увеличилось количество троянцев-шпионов (Trojan-PSW), ворующих пользовательские аккаунты от различных служб, приложений и игр (+135%). Это поведение, как и во втором полугодии прошлого года, занимает по численности второе место, не уступив его потесненным с лидирующей позиции Trojan-Downloader.
В настоящее время внутри класса TrojWare можно выделить три основные группы поведений:
- Backdoor, Trojan-PSW, Trojan-Downloader. Наиболее распространенные троянские программы, в целом составляющие более 70% всего класса TrojWare (доля каждого поведения в общей массе троянских программ превышает 20%).
- Trojan, Trojan-Spy. Доля поведений из группы составляет от 8% до 10%; показатели роста средние. Вероятность увеличения их веса до уровня, необходимого для вхождения в первую группу, почти исключается, но и уменьшение до уровня третьей группы маловероятно.
- Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Other. Доля каждого поведения менее 3%. За исключением Trojan-Clicker, темпы роста поведений из данной группы не превышают 30%. Не исключен рост числа программ какого-то одного поведения до уровня второй группы, однако вероятность того, что доли зловредов в этой группе будут и далее уменьшаться под натиском представителей первой группы, гораздо выше.
Игровые троянцы
В первом полугодии 2007 года количество Trojan-PSW выросло на 135%, и наблюдается устойчивая тенденция их дальнейшего роста. Trojan-PSW удалось превысить свои результаты 2006 года: тогда их рост составил +125%. Такие высокие показатели обусловлены тем, что 68% Trojan-PSW являются так называемыми «игровыми» троянцами — они ориентированы на кражу учетных данных пользователей различных онлайн-игр.
Онлайн-игры переживают сейчас пик своей популярности: в World of Warcraft, Lineage или Legend of Mir играют миллионы людей по всему миру, в особенности в странах Азии. Зачастую стоимость игровых персонажей или различных предметов в этих играх достигает десятков тысяч долларов. Это не может не привлекать внимания киберпреступников. Они крадут аккаунты доступа и используют украденные виртуальные вещи для продажи на интернет-аукционах.
К игровым троянцам мы относим следующие семейства троянцев-шпионов:
I-2007 | II-2006 | Рост | Доля | |
OnlineGames | 8783 | 640 | 1272% | 63,58 |
Lmir | 477 | 601 | -21% | 3,45 |
Nilage | 2602 | 2034 | 28% | 18,83 |
WOW | 510 | 594 | -14% | 3,69 |
Magania | 1181 | 462 | 156% | 8,55 |
Gamec | 36 | 85 | -58% | 0,26 |
Tibia | 45 | 15 | 200% | 0,33 |
Hangame | 181 | 155 | 17% | 1,31 |
13815 | 4586 | 201% | 100,00 |
Рис. 7. Долевое распределение семейств игровых троянцев
64% от общего количества обнаруженных в первом полугодии 2007 года игровых троянцев составляет семейство OnlineGames. Его основное отличие от остальных семейств игровых троянцев в том, что здесь собраны троянские программы, ориентированные на кражу аккаунтов двух и более игр, а также троянцы, атакующие не столь известные и распространенные игры. Данное семейство «Лаборатория Касперского» начала выделять только во втором полугодии 2006 года, поэтому пока наблюдается запредельный процент роста — 1272%, что, конечно же, не является окончательным показателем, поскольку для статистики такой отрезок времени слишком мал. Выводы можно будет делать через полгода.
А вот самое «древнее» и некогда самое многочисленное семейство игровых троянцев Lmir (ориентированы на игру Legend of Mir), продолжает сдавать позиции: в 2007 году доля подобных шпионов уменьшилась на 21%. Незначительное снижение произошло и с троянцами для игры World of Warcraft (WOW) – минус 14%.
Зато отчетливо видно, как возрос интерес вирусописателей к игровым мирам Gamania (семейство Magania) и Tibia. Если для Tibia рост в 200% можно объяснить все еще относительно малым числом троянцев (45 новых в 2007 году), то Gamania сейчас является второй по популярности среди всех атакуемых игровых вселенных.
Учитывая нерепрезентативность показателей OnlineGames, заметим, что первое место продолжает оставаться за семейством Nilage – доля троянцев, ворующих аккаунты для игры Lineage, составляет более 18% от всех игровых троянцев.
Банковские троянцы
Значительной частью троянцев, обеспечивших 69%-ный рост вредоносных программ поведения Trojan-Spy, являются так называемые Bankers. Это троянцы, ориентированные на кражу данных доступа к различным онлайновым платежным системам, интернет-банкингу и данных кредитных карт. Наверное, это наиболее ярко выраженный вид киберпреступного бизнеса. Кроме Trojan-Spy в число учитываемых нами Bankers входят и некоторые из Trojan-Downloader (семейство Banload), выполняющие функции загрузки различных bankers на пораженные компьютеры. Именно эта функция и позволяет нам считать их банковскими троянцами.
В 2006 году банковские троянцы продолжили свое развитие, число новых Bankers фактически удвоилось: +97% по сравнению с 2005 годом. В 2007 году темпы их роста несколько снизились – «всего лишь» +62% по сравнению с вторым полугодием 2006 года. Однако в количественных показателях это соответствует более чем 4500 новых троянцев.
Рис. 8. Ежемесячное количество новых Bankers,
обнаруженных аналитиками «Лаборатории Касперского»
Руткиты
Стоит отметить и такой вид троянских программ, как руткиты. Они не вошли отдельным показателем в общую таблицу распределения троянцев по поведениям, поскольку их число пока еще уступает даже Trojan-Clicker. Однако зачастую руткиты являются прикрытием для разнообразных троянских программ, и один и тот же руткит может использоваться разными злоумышленниками. Мы относим к руткитам как вредоносные программы с вердиктом rootkit, так и некоторые семейства других троянских программ, использующих руткит-технологии (например, Backdoor.Win32.HacDef).
В 2005 году (когда мы начали выделять руткиты в отдельное поведение) они показали беспрецедентный рост в 413%. В тот момент руткиты были одной из самых горячих тем антивирусной индустрии, и вирусописатели вели активные разработки в этой области. После столь стремительного взлета можно было ожидать некоторого падения темпов их роста, однако и в 2006 году они остались на высоком уровне — +74%.
Первые шесть месяцев 2007 года продемонстрировали еще больший рост — +178%!
Рис. 9. Ежемесячное количество новых руткитов,
обнаруженных аналитиками «Лаборатории Касперского»
Наиболее активное использование руткитов в этом году продемонстрировали почтовые черви семейства Zhelatin, а также множество бэкдоров, создаваемых на территории Китая.
Остается неясным вопрос, как повлияет на развитие руткит-технологий выход Windows Vista, где, по уверениям разработчиков, руткитам не оставлено право на жизнь.
Черви и вирусы
Представим в виде графика количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых VirWare-программ:
Рис. 10. Ежемесячное количество новых VirWare-программ,
обнаруженных аналитиками «Лаборатории Касперского»
Стагнация в этом классе, наблюдавшаяся в течение последних двух лет (2004-2005 гг.), в конце 2006 года сменилась ростом. В первом полугодии 2007 года этот рост продолжился, хотя абсолютные показатели пока еще уступают максимуму, отмеченному в октябре прошлого года, когда мы столкнулись с сотнями новых вариантов червя Warezov.
Рассмотрим, как увеличивалось число вредоносных программ по поведениям.
Рис. 11. Темпы роста числа новых вредоносных программ класса VirWare
%% | Изменения | 2006 | 2007 | |
IRC-Worm | 0,36 | -4% | 22 | 23 |
P2P-Worm | 2,54 | 77% | 156 | 88 |
Net-Worm | 2,82 | 73% | 173 | 100 |
IM-Worm | 4,07 | 51% | 250 | 166 |
Virus | 16,57 | 237% | 1017 | 302 |
Worm | 22,52 | 103% | 1382 | 680 |
Email-Worm | 51,12 | 5% | 3137 | 2993 |
VirWare | 41% | 6137 | 4352 |
«Классические» вирусы в первом полугодии 2007 года продемонстрировали наибольший рост среди всех видов вредоносных программ – 237%! В первую очередь это связано с большой популярностью способа распространения вирусов при помощи съемных флеш-накопителей. Семейство вирусов Win32.Autorun в 2007 году уже пополнилось более чем 200 новыми вариантами. Инциденты, связанные с зараженными флэш-картами, в том числе и используемыми в фотоаппаратах, телефонах и mp3-плеерах, исчисляются сотнями. Следует признать, что функция автозапуска файлов со сменных накопителей при помощи файла «autorun.inf», включенная по умолчанию в Windows, является очередной брешью в системе безопасности этой операционной системы. Не стоит забывать и о том, что в семейство Autorun вошло несколько десятков модификаций червя Viking, о котором будет сказано чуть ниже.
Представители поведения Worm продолжили тенденцию 2006 года, когда они показали рост более чем на 200%. В 2007 году темпы роста Worm-программ несколько замедлились, но все равно превысили 100%. Лидером вновь стал азиатский червь-вирус Viking. Мы отдельно рассматривали историю и причины этой локальной китайской эпидемии в нашем квартальном отчете. Остается только констатировать, что несмотря на арест автора червя, исходные коды Viking остаются доступными в Интернете, и все новые и новые его модификации, созданные уже другими людьми, поступают в антивирусные компании.
Долевое распределение поведений класса VirWare отражено на следующей диаграмме:
Рис. 12. VirWare: процентное соотношение поведений внутри класса
Самым массовым поведением класса по-прежнему остаются почтовые черви (Email-Worm): они составляют более половины от всех VirWare-зловредов. Однако если в 2006 году рост числа почтовых червей составил 43% (в основном, за счет «октябрьского безумия» червя Warezov), то в первом полугодии 2007 года говорить о более или менее заметном росте не приходится – всего +5%. И по-прежнему численность Email-Worm обеспечивается представителями всего трех основных семейств: Warezov, Zhelatin и Bagle. Если хотя бы одно из этих семейств перестанет участвовать «в гонке», это неминуемо приведет к снижению долевых показателей поведения в целом — вероятно, на десятки процентов.
В классе VirWare можно выделить две основные группы поведений:
- Email-Worm, Worm, Virus. Долевые показатели каждого поведения превышают 15% от общего количества VirWare. Стагнация в развитии лидера (Email-Worm) и взрывные показатели роста у Worm, Virus. Не исключен выход Virus на второе место во втором полугодии 2007 года, одновременно с увеличением доли Worm.
- IM-Worm, Net-Worm, P2P-Worm, IRC-Worm. Доля каждого поведения в общем числе VirWare менее 5%. Средние темпы роста – от 50% до 80%. Вероятность увеличения доли имеется только для IM-Worm — за счет все большего развития IM-сервисов, в том числе и Skype. Для Net-Worm ситуация продолжает ухудшаться – отсутствие критических уязвимостей в сетевых службах OS Windows не дает возможности вирусописателям реализовать что-то новое.
В целом темпы роста класса VirWare отстают от TrojWare (41% против 94%) и уступают даже Other MalWare, которые мы рассмотрим ниже.
Другие вредоносные программы
Этот класс является наименее распространенным по количеству обнаруживаемых вредоносных программ, но самым многочисленным по числу поведений.
Здесь вялотекущий рост числа новых вредоносных программ в 2004 — 2005 годах (13% и 43% соответственно) в 2006 году сменился небольшим спадом (-7%). Однако первое полугодие 2007 года показало, что 2006 год был, скорее, периодом стабилизации этого класса, закреплением на занятых позициях перед выходом на новый уровень. Наиболее ярко это проявилось во втором квартале 2007 года, когда число новых программ, ежемесячно обнаруживаемых в этом классе, практически удвоилось.
Рис. 13. Ежемесячное количество новых Other MalWare-программ,
обнаруженных аналитиками «Лаборатории Касперского»
В целом, по итогам первых шести месяцев 2007 года этот класс показал почти 60%-ный рост, однако его оказалось недостаточно даже для сохранения доли этого класса в общей массе вредоносных программ: с 2,51% в 2006 году она уменьшилась до 1,95%.
Распределение Other MalWare-поведений можно представить в виде круговой диаграммы:
Рис. 14. Other MalWare: процентное соотношение поведений внутри класса
Чтобы лучше понять происходившие изменения в данном классе вредоносных программ, рассмотрим, как увеличивалось число вредоносных программ по поведениям:
Рис. 15. Темпы роста числа новых вредоносных программ класса Other MalWare
%% | Изменения | 2006 | 2007 | |
Sniffer | 0,06 | -75% | 1 | 4 |
SMS-Flooder | 0,22 | 0% | 4 | 4 |
Email-Flooder | 0,28 | -62% | 5 | 13 |
Spoofer | 0,34 | 50% | 6 | 4 |
Nuker | 1,40 | 178% | 25 | 9 |
VirTool | 1,62 | 93% | 29 | 15 |
BadJoke | 1,73 | -39% | 31 | 51 |
DoS | 1,90 | 209% | 34 | 11 |
Flooder | 2,29 | 28% | 41 | 32 |
IM-Flooder | 3,07 | -11% | 55 | 62 |
Other | 7,54 | 22% | 135 | 111 |
HackTool | 12,07 | 47% | 216 | 147 |
Constructor | 12,85 | 23% | 230 | 187 |
Hoax | 12,85 | 23% | 230 | 187 |
SpamTool | 20,50 | 222% | 367 | 114 |
Exploit | 28,83 | 83% | 516 | 282 |
MalWare | 56% | 1925 | 1233 |
Спам и DoS-атаки – одна из основных тем новостей информационной безопасности 2007 года. Начиная с октября прошлого года, когда червь Warezov стал создавать гигантские зомби-сети, в Сети начался новый виток развития спама: его стало больше, он стал разнообразней. Мы склонны считать, что эти события связаны друг с другом: Warezov собирал базы адресов электронной почты и отправлял их злоумышленникам. Кроме того, он устанавливал на пораженные компьютеры разнообразные модули для организации спам-рассылок. Этим же занимались и два других активных почтовых червя – Zhelatin и Bagle.
Уже в 2005 году нами отмечался хотя и минимальный, но стабильный интерес к SpamTool. В 2006 году рост числа вредоносных программ данного поведения носил взрывной характер — +107%, а по доле в общем числе Other MalWare-программ SpamTool были пятыми. В первом полугодии 2007 года SpamTool является абсолютным лидером по темпам роста в данном классе. Рост на 222% позволил SpamTool выйти на второе место в процентном соотношении поведений внутри класса.
Что касается DoS-атак, то пик своей популярности они испытали в 2002 — 2003 годах, после чего на довольно продолжительный срок ушли в тень. Возможно это было связано с тем, что происходила своеобразная смена поколений киберпреступников. Те, кто занимался DoS-атаками 4-5 лет назад, постепенно переключились на более «тонкие» способы добычи денег: рассылку спама, кражу данных, установку AdWare. Сейчас появилось новое поколение script-kiddies, которые пока ничего не умеют, предпочитают использовать чужие разработки и действовать методами грубой силы. Отсюда и нынешний всплеск количества разнообразных DoS-программ (+209%), которые позволяют организовывать DoS-атаки и используются на все тех же зомби-компьютерах по всему миру. Хотя количественные показатели этого поведения пока невелики, но тенденция роста наблюдается довольно четкая, и не исключено, что уже в этом году счет таким программам пойдет на сотни.
Рис. 16. Изменение числа новых вредоносных программ
поведений класса Other MalWare
Лидером по числу новых вредоносных программ в классе Other MalWare по-прежнему остаются эксплоиты, использующие разные уязвимости. Тут уместно вспомнить несколько громких историй, когда наборы эксплоитов предлагались на продажу различными хакерскими группами и затем были обнаружены на тысячах взломанных сайтов (см. отчет за второй квартал, Mpack).
В целом темпы роста числа эксплоитов оцениваются как средние, но этого достаточно, чтобы эксплоиты по-прежнему составляли почти 30% в общем числе Other MalWare. Вряд ли даже SpamTool удастся обойти эксплоиты по популярности.
Продолжают пользоваться вниманием вирусописателей всевозможные конструкторы. Это тоже отражение смены поколений — конструкторы избавляют от необходимости создавать что-то самому и позволяют быстро сделать вредоносную программу, даже не имея навыков программирования.
Платформы и операционные системы
Ранее мы не публиковали детальной статистики распределения вредоносных программ по операционным системам и платформам, ограничиваясь отдельным анализом наиболее интересных не-Windows систем (*nix, Mac OS и Symbian). Однако в этом отчете мы рассмотрим ситуацию в целом.
Операционная система или приложение может подвергнуться нападению вредоносных программ в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.
Всего в первом полугодии 2007 года «Лабораторией Касперского» были зафиксированы вредоносные программы для 30 различных платформ и операционных систем.
Естественно, что подавляющее большинство существующих вредоносных программ рассчитаны на функционирование в среде Win32 и представляют собой исполняемые бинарные файлы. Прочие вредоносные программы, ориентированные на другие операционные системы и платформы, составляют менее 4% от общего числа.
Рис. 17. Число новых вредоносных программ,
ориентированных на различные платформы
Однако доля «не-Win32» вредоносных программ за первое полугодие 2007 года увеличилась с 3,18% до 3,42%. Процент пока небольшой, но темпы роста числа подобных приложений составили почти 111%, что превышает аналогичный показатель для Win32 (96%). Очевидно, что и в будущем доля Win32-зловредов будет снижаться, как за счет появления Win64 зловредов, так и за счет роста популярности других операционных систем.
№№ | Платформа | II полугодие 2006 | I полугодие 2007 | Рост, % |
1 | Win32 | 49551 | 97100 | 96,0 |
2 | JS | 247 | 1186 | 380,2 |
3 | VBS | 261 | 580 | 122,2 |
4 | HTML | 272 | 402 | 47,8 |
5 | BAT | 166 | 339 | 104,2 |
6 | MSWord | 77 | 150 | 94,8 |
7 | Linux | 79 | 123 | 55,7 |
8 | Perl | 55 | 115 | 109,1 |
9 | PHP | 28 | 86 | 207,1 |
10 | ASP | 32 | 72 | 125,0 |
11 | IRC | 90 | 52 | -42,2 |
12 | MSIL | 38 | 34 | -10,5 |
13 | DOS | 36 | 24 | -33,3 |
14 | MSExcel | 11 | 19 | 72,7 |
15 | SymbOS | 52 | 19 | -63,5 |
16 | WinREG | 13 | 19 | 46,2 |
17 | MSPPoint | 23 | 18 | -21,7 |
18 | SunOS | 10 | 18 | 80,0 |
19 | NSIS | 22 | 15 | -31,8 |
20 | Java | 9 | 13 | 44,4 |
21 | HTA | 15 | 6 | -60,0 |
22 | MSAccess | 3 | 5 | 66,7 |
23 | Python | 4 | 5 | 25,0 |
24 | RAR | 6 | 4 | -33,3 |
25 | Unix | 6 | 4 | -33,3 |
26 | MSOffice | 1 | 3 | 200,0 |
27 | Ruby | 1 | 3 | 200,0 |
28 | SWF | 11 | 3 | -72,7 |
29 | ALS | 2 | 1 | -50,0 |
30 | Win9x | 3 | 1 | -66,7 |
31 | WMA | 2 | 1 | -50,0 |
Посмотрим на график темпов роста числа вредоносных программ для всех платформ:
Рис. 18. Темпы роста числа вредоносных программ
для различных платформ и ОС
Почти для половины платформ и операционных систем зафиксирован отрицательный рост числа ориентированных на них вредоносных программ. Среди них оказались такие распространенные ОС, как Unix (здесь имеются в виду вредоносные программы, способные работать в любой *nix ОС) и Symbian. Для MacOS за целый год (с июля 2006) вообще не было создано ни одной вредоносной программы! Это свидетельствует о том, что вирусописатели потеряли интерес к малораспространенным системам, ограничились созданием для них нескольких концептуальных программ «на будущее» и переключились на популярные приложения и ОС.
Обратим внимание на то, что практически все скрипт-языки программирования находятся в первой десятке наиболее популярных сред существования вирусов: JS, VBS, HTML, BAT, Perl, PHP, ASP. Однако если в прошлом году показатели трех скрипт-платформ (JS, VBS, HTML) были примерно одинаковы — около 250 зловредов за второе полугодие 2006 для каждой платформы, то в 2007 году проявилась четкая тенденция роста популярности JavaScript.
Фактически, JavaScript стал самой инновационной средой разработки и реализации вредоносных программ – рост 380% и почти двукратный отрыв от брата-близнеца, языка VisualBasic Script. Несомненно, основной причиной этого стало увеличение числа разнообразных эксплоитов, использующих уязвимости в популярных браузерах Internet Explorer и Mozilla Firefox. Кроме этого, JS-зловреды зачастую выполняют функцию Trojan-Downloader.
Из операционных систем второе место по популярности у вирусописателей удерживает Linux c показателем в 123 новые вредоносные программы и ростом 55% по сравнению со вторым полугодием 2006 года.
Из приложений, которые могут функционировать на разных ОС, по-прежнему больше всего зловредов создается для MS Word – 150 новых вредоносных программ и рост 95%. В это число вошли не только традиционные макровирусы, но и гораздо более опасные новомодные Trojan-Dropper, использующие различные уязвимости в MS Word, обнаруженные в прошлом году. Именно они и составляют подавляющее большинство современных MS Word-угроз.
Отдельно стоит отметить 80%-ный рост числа вредоносных программ для такой редкой операционной системы, как SunOS. Счет известных угроз для нее пошел уже на десятки, что, конечно же, заставляет нас обратить пристальное внимание на эту проблему и, возможно, подготовить отдельное исследование на эту тему в ближайшем будущем.
Обновления антивирусных баз
На рост числа вирусных угроз и увеличение частоты появления новых «Лаборатория Касперского» отвечала ускорением выпуска антивирусных баз и увеличением скорости реакции.
Новые записи в антивирусных базах
Количество ежемесячных новых записей в антивирусных базах «Антивируса Касперского» в первом полугодии 2007 года варьировало примерно от 8000 в начале и до 25 000 в конце отчетного периода. По итогам этого полугодия среднемесячное число записей составило 15 518, тогда как во втором полугодии 2006 года это было 8221. Рост числа записей составил 89%, что полностью совпадает с ростом числа всех новых обнаруженных вредоносных программ.
Рис. 19. Общее количество новых детектирующих записей
в антивирусных базах
Рис. 20. Статистика добавлений новых записей
в антивирусные базы по месяцам 2007 г.
Как видно из приведенного графика, количество ежемесячных записей в антивирусных базах увеличивалось в течение года практически равномерно. Из общей тенденции выбивается только май 2007 года, когда вирусными аналитиками «Лаборатории Касперского» было обработано рекордное число новых вредоносных программ и установлен показатель в 25 205 записей.
Рис. 21. Статистика добавлений новых записей в базы
с июля 2006 по июнь 2007
Регулярные и срочные обновления
«Лаборатория Касперского» реагировала на появление новых вредоносных программ выпуском двух видов обновлений антивирусных баз: регулярных (примерно раз в час) и срочных (в случае эпидемии). Для регулярных баз общее число обновлений в первом полугодии 2007 года превысило 4000 и в среднем за месяц составило почти 700 обновлений.
Рис. 22. Количество регулярных обновлений баз по месяцам
Что же касается срочных обновлений, то эти данные весьма интересны по двум причинам. Во-первых, они показывают общее количество «эпидемиологических» ситуаций в первом полугодии 2007 года и позволяют сравнить их с аналогичными показателями 2006 года. Во-вторых, они позволяют проследить некую привязку эпидемий к различным месяцам года.
Данные показывают, что событий, удостоенных срочного выпуска обновлений, в первом полугодии 2007 года было на 33% меньше, чем за аналогичный период 2006 года и на 4% больше, чем во втором полугодии 2006 года. Среднее число срочных обновлений в течение месяца составило 16.
Рис. 23. Количество срочных обновлений баз по месяцам
Выводы
Прогнозы на 2007 год, сделанные нами в годовом отчете 2006, практически полностью подтвердились. Как и ожидалось, основное внимание вирусописателей в 2007 году приковано к различным троянским программам, специализирующимся на краже пользовательской информации. Основными объектами атак остаются клиенты различных банковских и платежных систем, а также пользователи, играющие в онлайн-игры.
Продолжается тесное сотрудничество между авторами вредоносных программ и спамерами. Все крупные эпидемии 2007 года (Warezov, Zhelatin, Bagle) имели своей целью создание ботнетов для последующей рассылки спама через зараженные компьютеры, а также сбор адресов электронной почты для создания баз спам-рассылок.
Что касается путей проникновения вредоносных программ на компьютеры, то основными способами остаются электронная почта и уязвимости в браузерах. Отсутствие новых критических уязвимостей в сетевых службах Windows остается главным фактором, объясняющим отсутствие крупных эпидемий сетевых червей, использующих способ прямой атаки на порты компьютера.
Рост количества вредоносных программ, использующих P2P-сети и системы мгновенного обмена сообщениями (IM), продолжает оставаться на среднем уровне, и мы не ожидаем значительных изменений в данной области во втором полугодии 2007 года.
В первом полугодии 2007 года весьма ярко проявилась тенденция локальных эпидемий, протекающих в пределах одного национального сегмента Интернета и не затрагивающих пользователей в других странах мира.
Вопреки ожиданиям экспертов, новая операционная система Windows Vista все еще не стала главной темой информационной безопасности 2007 года. В первую очередь это произошло из-за того, что темпы ее распространения пока гораздо ниже ожидаемых, и число пользователей, перешедших на нее, остается недостаточным для достижения критической массы, после которой к ОС появляется интерес у хакеров и вирусописателей.
Не наблюдается повышения интереса и к MacOS, несмотря на рост популярности этой платформы и наличие ряда серьезных уязвимостей в ней. Такая же картина и с мобильными платформами Symbian и Windows Mobile: рост числа пользователей продолжается, рост числа вредоносных программ значительно замедлился. С другой стороны, все больше стало появляться троянских программ, написанных для платформы J2ME, также работающей на мобильных телефонах.
Скорее всего, до конца 2007 года никаких серьезных изменений во всех этих процессах не произойдет, и ситуация будет развиваться по предсказанным сценариям.
Kaspersky Security Bulletin, январь-июнь 2007. Развитие вредоносных программ в первом полугодии 2007 года