KSN в действии-1

Подводя итоги 2009 года, Александр Гостев предсказывал «значительное увеличение инцидентов в P2P-сетях». Всё логично: злоумышленники пытаются заразить как можно больше пользователей, а где больше всего пользовательского трафика, там и рассадник троянцев. В теории все выглядит гладко, однако по различной статистике в нашей аналитике, статьях, «двадцатках» и т.д. никакой угрозы со стороны P2P не видно. В топах все время Kido , Sality и Virut.

С одной стороны, все понятно: вирусы и черви — долгоживущие программы, для устранения, которых требуется много времени и сил. Но где же в этой статистике TDSS , порно-блокеры, «Зевс» и множество других вредоносных программ, которыми ежедневно заражаются миллионы компьютеров пользователей интернета?

Дело в том, что статистика готовится по уже имеющимся вердиктам и кластеризации. При этом нужно понимать, что происходит при сборе статистики в трёх разных ситуациях:

• Заразив в локальной сети незащищенный антивирусом компьютер, червь регулярно пытается пробраться на другие компьютеры. Установленный на атакуемых компьютерах антивирус постоянно блокирует атаку и периодически рапортует об успешном детектировании червя.
• При посещении пользователем вредоносного сайта антивирус детектирует вредоносную программу и останавливает ее загрузку.
• После обновления антивируса на зараженном компьютере обнаружен и удалён троянец.

В первом и втором случае атакуемые компьютеры защищены, и мы получаем данные, свидетельствующие об успешной работе антивируса. При этом статистика по числу детектов червя, который постоянно и безуспешно пытается распространяться, позволит нам подсчитать только количество источников его распространения, но не даст возможности оценить уровень угрозы для незащищенных пользователей.Второй случай аналогичен первому с единственной поправкой на веб-источник вредоносного кода.

А вот третья ситуация принципиально отличается: антивирус после выхода актуальных антивирусных обновлений может победить источник угрозы, однако до этого зараженный компьютер находится под полной властью злоумышленников. Именно в данном случае речь идет о новых и, соответственно, представляющих реальную опасность вредоносных программах и модификациях зловредов.

Посчитать количество компьютеров, которые были беззащитны до выхода обновления, не так просто. Например, после обновления антивирусных баз на компьютере пользователя был обнаружен троянец во временной папке, но как и когда этот троянец туда попал, антивирус не знает. Между тем, ответ на вопрос, какие новые вредоносные программы заражают компьютеры пользователей, и каково число зараженных машин, очень важен, так как позволяет нам увидеть, от каких киберугроз на самом деле страдают пользователи, и что в действительности происходит в интернете.

Справиться с новыми, еще не классифицированными, угрозами может проактивная защита и одна из самых передовых технологии антивирусной индустрии — «облако» Кроме того, статистика, полученная от участников Kaspersky Security Network, позволяет оценить количество машин, которые были атакованы новыми зловредами, еще не попавшими в антивирусные базы.

В сентябре нотификации о детектировании вредоносного кода поступили от 64% всех российских участников KSN, что ставит Россию на второе место по киберкриминальной активности в мире после Индии (67%).

Используя статистику KSN, можно попытаться ответить и на вопрос, какие именно новые модификации/вредоносные программы атаковали компьютеры пользователей. Для этого воспользуемся статистикой за сентябрь, полученной от наших пользователей KSN, например, с территории России.