Архив

«Лаборатория Касперского» подвела итоги за 2001 год

2001 год отмечен определенными успехами антивирусных компаний в разработке новых и совершенствовании существующих технологий защиты от вредоносных программ. В то же время в этом году наблюдался дальнейший рост числа пострадавших от вирусных атак.

Бурное развитие информационных технологий имеет свои положительные и отрицательные моменты. С одной стороны, это повышает эффективность коммуникаций, документооборота, финансовых транзакций и в целом позитивно влияет на ведение бизнеса. С другой стороны, дальнейшее развитие информационных технологий привлекает к работе с компьютерами все большее количество новых пользователей. Большинство из них имеет поверхностные знания о правилах компьютерной безопасности. Из-за этого даже самые примитивные вредоносные программы порой вызывают глобальные эпидемии (например, вирус «Anna Kournikova»). Это главная причина ухудшения ситуации в области антивирусной безопасности.

Другой причиной является увеличение количества и появление новых типов вредоносных программ: в течение года не проходило и месяца, чтобы очередная вирусная эпидемия не поражала компьютерные системы в разных странах мира.
Наконец, важно отметить, что вирусописатели активно изобретают новые методы проникновения на компьютеры, что также способствует росту количества вирусных инцидентов.

По итогам 2001 года можно сказать, что:

  • электронная почта и Интернет укрепили свои позиции как наиболее опасные источники вредоносных программ;
  • приобретают популярность альтернативные способы рассылки вредоносных программ (ICQ, Gnutella, MSN Messenger, IRC)
  • получили распространение вредоносные программы для Linux;
  • появились «бестелесные» сетевые черви;

в списках наиболее распространенных вредоносных программ доминируют сетевые черви для Windows и резко снизилась доля скрипт- и макро-вирусов,
но основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, «CodeRed», «Nimda», «Aliz», «BadtransII» и др.).


Ошибки в системах безопасности

Брешь — это ошибка в обычной программе, через которую злоумышленник может незаметно внедрить на компьютер вредоносный код.

Опасность этого типа вирусов в том, что их активация происходит автоматически и практически не зависит от действий пользователя. Например, для заражения червем «Nimda» достаточно открыть письмо даже в окне предварительного просмотра. Червь «CodeRed» не требует и такого вмешательства — он самостоятельно находит в Интернет уязвимые компьютеры и заражает их.
По статистике «Лаборатории Касперского» доля подобных вредоносных программ в общем объеме вирусных инцидентов составила около 55%. Эта цифра наводит на мысль о необходимости пересмотреть важнейшие правила антивирусной безопасности.

Столь пристальное внимание компьютерного андерграунда к брешам в системах безопасности вполне логично. Традиционный способ проникновения вируса на компьютер, при котором пользователь самостоятельно запускает зараженный файл, уже не является столь эффективным, как раньше. Большинство пользователей давно поняли опасность вложенных файлов, и многие из них вообще предпочитают не открывать такие письма, предлагая своим корреспондентам переслать информацию в теле сообщения. Учитывая это, вирусописатели начали поиск нового, более эффективного способа заражения компьютеров и нашли его в использовании уязвимостей в системах безопасности.

Для гарантированной защиты вашего компьютера от подобного рода вредоносных программ необходимо сочетать использование Антивируса Касперского с установкой специальных «заплаток» для программного обеспечения, которые закрывают известные бреши. «Заплатки» выпускаются непосредственно производителями программ и, как правило, бесплатно доступны на их Web сайтах.
«Лаборатория Касперского» рекомендует обратить особое внимание на «заплатки» для MS Windows, MS Outlook и MS Internet Explorer, так как это программное обеспечение наиболее подвержено вирусным атакам. Чтобы своевременно получать оповещения о выпуске новых заплаток, вы можете подписаться на рассылку новостей соответствующего разработчика.


Электронная почта и интернет — главные источники вирусной угрозы

По статистике «Лаборатории Касперского» в 2001 г. количество вирусных атак через электронную почту увеличилось по сравнению с 2000 г. на 5% и достигло почти 90% от общего числа инцидентов.

Наряду с этим наблюдается рост числа заражений компьютеров через интернет. Ранее подавляющее большинство таких случаев происходило, когда пользователи загружали непроверенные файлы с Web-сайтов и запускали их на своих компьютерах. Сегодня все больше инцидентов происходит при намеренном или случайном посещении инфицированных сайтов. Вредоносная программа подменяет одну из страниц сайта, так что при ее посещении компьютер может быть заражен: либо в случае использования злоумышленниками брешей в системах безопасности Web-браузеров, чаще всего Internet Explorer (бреши позволяют незаметно заразить компьютер в момент просмотра инфицированной страницы), либо пользователю автоматически предлагается загрузить некую программу, которая оказывается вредоносной.

В 2001 г. стала также очевидной уязвимость таких популярных среди пользователей всего мира интернет-технологий,как многочисленные интернет-пейджеры (ICQ, Instant Messenger), которые были использованы для распространения целого ряда вредоносных программ. Жертвой сетевого червя «Mandragore» стала сеть обмена данными Gnutella. Наконец, огромное количество червей было запрограммировано на распространение по каналам IRC.

Современные тенденции позволяют сделать вывод, что и в будущем электронная почта и Интернет останутся наиболее популярными каналами распространения вирусов. Это обстоятельство еще раз подтверждает необходимость установки надежных средств защиты для предотвращения вирусных атак через эти источники.


Атака на Linux продолжается

2001 г. ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. «Первой ласточкой» стал сетевой червь «Ramen», обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro.

Далее процесс развивался лавинообразно. Вслед за «Ramen» появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты.
Практически все вредоносные программы для этой операционной системы использовали известные бреши в системах безопасности Linux. Их широкое распространение указывает на неготовность компаний противостоять новой угрозе. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости установки «заплаток» и повсеместного внедрения антивирусных программ. В результате многие из них оказались жертвами Linux-червей.

Ситуация на Linux-фронте была бы еще серьезнее, если бы данная операционная система активно использовалась не только на специализированном серверном оборудовании, но и как платформа для рабочих станций. В этом случае количество пользователей Linux может возрасти многократно, что вызовет повышенный интерес к данной операционной системе среди вирусописателей. Результатом указанного процесса будет резкое увеличение вредоносных программ для Linux.

Вы можете ознакомиться с подготовленным «Лабораторией Касперского» исследованием проблем вирусной защиты Linux по адресу:


«Бестелесные» черви — очередной вызов антивирусной индустрии

Одним из самых неприятных сюрпризов 2001 г. стало обнаружение нового типа вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие программы существуют исключительно в системной памяти, а при передаче на другие компьютеры — в виде специальных пакетов данных.

Эта особенность создала серьезные проблемы разработчикам антивирусного ПО. Традиционные технологии (антивирусный сканер и монитор) проявили неспособность эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. «Лаборатория Касперского» первой решила эту проблему и создала специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет «бестелесных» червей.

Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила действенность технологии «бестелесности». Важно отметить, что до сих пор большое число компьютеров не имеет адекватной защиты от названного типа вредоносных кодов. Учитывая это, «Лаборатория Касперского» считает, что в следующем году могут произойти повторные эпидемии, вызванные новыми версиями «бестелесных» червей.


Windows-черви наступают

В 2001 г. резко изменился состав наиболее распространенных вредоносных программ. В 1999-2000 гг. безусловными лидерами всех вирусных «хит-парадов» были макро- и, позднее, скрипт-вирусы и черви. Однако в начале этого года ситуация начала быстро меняться, и уже осенью около 90% зарегистрированных случаев заражения компьютеров были вызваны Windows-червями.

Причина такой резкой смены обстановки заключается в разработке эффективных средств борьбы с макро- и скрипт-вирусами, способных нейтрализовать как существующие, так и потенциальные угрозы этого типа. Например, первый в мире фоновый перехватчик скрипт-вирусов Script Checker, интегрированный в Антивирус Касперского в мае 2000 г., отразил атаки всех разновидностей вируса LoveLetter (ILOVEYOU) без дополнительных обновлений базы данных программы. Этот
внушительный результат был достигнут исключительно благодаря уникальной эвристической технологии, созданной специально для защиты от неизвестных скрипт-вирусов.

Борьбе с макро-вирусами способствовал разработанный «Лабораторией Касперского» поведенческий блокиратор Office Guard, обеспечивающий 100%-ную гарантию защиты от действия макро-вирусов. В отличие от традиционных антивирусных технологий, Office Guard не ищет в проверяемых объектах уникальной последовательности данных (вирусной сигнатуры), но эмулирует и анализирует поведение макро-программ и блокирует действия, которые могут причинить компьютеру вред.


Государственное регулирование антивирусной индустрии?

В ноябре 2001 г. стало известно о разработке Федеральным бюро расследований (ФБР) США программы для слежения за лицами, подозреваемыми в совершении преступлений. Эта программа, получившая кодовое имя «Волшебный фонарь» (Magic Lantern), является по своей сути классическим «троянцем», который перехватывает все нажатия клавиш на компьютере жертвы и записывает их в секретный файл. Позднее, полученные данные могут использоваться для расшифровки пересылаемых электронных писем и получения доказательств вины подозреваемого.

3 декабря пресс-секретарь ФБР Пол Брессон (Paul Bresson) в интервью американскому журналу Information Security подтвердил факт разработки «Волшебного фонаря». Однако остается неясным главный вопрос: потребует ли правительство США от антивирусных компаний игнорировать эту программу-шпион, оставляя своих пользователей без защиты? Если это действительно произойдет, то в первую очередь под ударом окажутся как раз американские разработчики — McAfee и Symantec, поскольку пользователи начнут активно переходить на использование других продуктов.

Другой тонкий момент заключается в создании прецедента: если это произойдет, правительственные службы любой другой страны смогут потребовать от антивирусных компаний аналогичных шагов в отношении собственных программ-шпионов. В этом случае ситуация с антивирусной безопасностью может полностью выйти из-под контроля. Рано или поздно оригинальные «Волшебные фонари» попадут в руки злоумышленников, которые в личных целях воспользуются неуловимостью этих программ. В результате, мировая экономика, тесным образом связанная с информационными технологиями, может быть парализована глобальной вирусной эпидемией.


Безопасное будущее всемирной сети

Ухудшение вирусной ситуации порождает сугубо пессимистические прогнозы относительно развития интернет. По данным английской компании MessageLabs, при сохранении нынешних тенденций к 2013 г. каждое второе электронное письмо будет содержать вредоносный код.

Существует мнение, что выход из сложившейся ситуации — в создании безопасной сети, параллельной интернет. Такой способ решения проблемы может быть осложнен нежеланием большинства пользователей переходить в новую сеть, а также вероятностью миграции в нее вредоносных кодов из традиционного Интернет. По мнению «Лаборатории Касперского» оптимальным вариантом является постепенное внедрение в существующие Интернет-технологии нового оборудования и программного обеспечения, обрабатывающих только проверенную и сертифицированную информацию. Наряду с этим, исключительную важным является присвоение персональных идентификационных номеров всем пользователям сети. Это будет помогать отслеживать и предотвращать вирусные эпидемии, а также своевременно локализовать создателей вредоносных программ и пресекать их деятельность.


Выводы

Существующие тенденции позволяют сделать прогноз развития вирусной ситуации на 2002 г. К сожалению, у нас нет оснований для абсолютного оптимизма. «Лаборатория Касперского» полагает, что в будущем году увеличится количество и разнообразие вирусных эпидемий. Прежде всего, это обусловлено ростом количества пользователей: некоторые из них становятся вирусописателями, другие — их жертвами. Также в будущем будет расти количество вредоносных программ, разнообразие их типов. Несомненно, будут совершенствоваться и их методы проникновения на компьютеры.

Вместе с тем, «Лаборатория Касперского» будет продолжать разработку новейших технологий защиты, которые надежно защитят компьютеры и сети от растущей волны вирусной угрозы. Более чем 150%-ный рост количества пользователей Антивируса Касперского по всему миру в 2001 г. подтверждает высокое качество продуктов и услуг компании. На 2002 г. «Лабораторией Касперского» запланирован выпуск новых антивирусных технологий, которые сделают защиту наших пользователей еще более надежной.

В заключение, предлагаем вашему вниманию предварительный список 10 самых распространенных вирусов по данным за сентябрь-декабрь 2001

Название % от общего количества инцидентов
1 I-Worm.BadtransII

37,0
2 I-Worm.Sircam 15,4
3 I-Worm.Hybris
6,2
4 I-Worm.Aliz
3,0
5
I-Worm.Nimda
2,5
6 I-Worm.Magistr
2,2
7
Trojan.PSW.Gip
1,8
8
I-Worm.HappyTime
0,5
9 I-Worm.Klez

0,3
10
JS.Trojan.Seeker
0,3

«Лаборатория Касперского» подвела итоги за 2001 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике