Исследование

KSN в действии-1

Подводя итоги 2009 года, Александр Гостев предсказывал «значительное увеличение инцидентов в P2P-сетях». Всё логично: злоумышленники пытаются заразить как можно больше пользователей, а где больше всего пользовательского трафика, там и рассадник троянцев. В теории все выглядит гладко, однако по различной статистике в нашей аналитике, статьях, «двадцатках» и т.д. никакой угрозы со стороны P2P не видно. В топах все время Kido , Sality и Virut.

С одной стороны, все понятно: вирусы и черви — долгоживущие программы, для устранения, которых требуется много времени и сил. Но где же в этой статистике TDSS , порно-блокеры, «Зевс» и множество других вредоносных программ, которыми ежедневно заражаются миллионы компьютеров пользователей интернета?

Дело в том, что статистика готовится по уже имеющимся вердиктам и кластеризации. При этом нужно понимать, что происходит при сборе статистики в трёх разных ситуациях:

  • Заразив в локальной сети незащищенный антивирусом компьютер, червь регулярно пытается пробраться на другие компьютеры. Установленный на атакуемых компьютерах антивирус постоянно блокирует атаку и периодически рапортует об успешном детектировании червя.
  • При посещении пользователем вредоносного сайта антивирус детектирует вредоносную программу и останавливает ее загрузку.
  • После обновления антивируса на зараженном компьютере обнаружен и удалён троянец.

В первом и втором случае атакуемые компьютеры защищены, и мы получаем данные, свидетельствующие об успешной работе антивируса. При этом статистика по числу детектов червя, который постоянно и безуспешно пытается распространяться, позволит нам подсчитать только количество источников его распространения, но не даст возможности оценить уровень угрозы для незащищенных пользователей.Второй случай аналогичен первому с единственной поправкой на веб-источник вредоносного кода.

А вот третья ситуация принципиально отличается: антивирус после выхода актуальных антивирусных обновлений может победить источник угрозы, однако до этого зараженный компьютер находится под полной властью злоумышленников. Именно в данном случае речь идет о новых и, соответственно, представляющих реальную опасность вредоносных программах и модификациях зловредов.

Посчитать количество компьютеров, которые были беззащитны до выхода обновления, не так просто. Например, после обновления антивирусных баз на компьютере пользователя был обнаружен троянец во временной папке, но как и когда этот троянец туда попал, антивирус не знает. Между тем, ответ на вопрос, какие новые вредоносные программы заражают компьютеры пользователей, и каково число зараженных машин, очень важен, так как позволяет нам увидеть, от каких киберугроз на самом деле страдают пользователи, и что в действительности происходит в интернете.

Справиться с новыми, еще не классифицированными, угрозами может проактивная защита и одна из самых передовых технологии антивирусной индустрии — «облако» Кроме того, статистика, полученная от участников Kaspersky Security Network, позволяет оценить количество машин, которые были атакованы новыми зловредами, еще не попавшими в антивирусные базы.

38160

Процент пользователей KSN, подвергшихся атаке вредоносного кода в сентябре

В сентябре нотификации о детектировании вредоносного кода поступили от 64% всех российских участников KSN, что ставит Россию на второе место по киберкриминальной активности в мире после Индии (67%).

Используя статистику KSN, можно попытаться ответить и на вопрос, какие именно новые модификации/вредоносные программы атаковали компьютеры пользователей. Для этого воспользуемся статистикой за сентябрь, полученной от наших пользователей KSN, например, с территории России.

Продолжение следует…

KSN в действии-1

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике