MS: большинство заражений ― результат небрежения и безграмотности

По данным Microsoft, 45% зловредов пользователь закачивает сам, 43% используют включенную функцию автозапуска, около 6% проникают в систему посредством эксплуатации непропатченной уязвимости. На долю угроз нулевого дня приходится менее 1% заражений.

Чтобы определить, какими путями вредоносные программы попадают на компьютеры пользователей, эксперты проанализировали информацию о заражениях, собранную с помощью MSRT (Malicious Software Removal Tool – средство удаления вредоносных программ Microsoft) за первую половину текущего года. Выборка была ограничена 27 семействами, наиболее широко (не менее 25 тыс. инцидентов) представленными в показаниях MSRT. На долю этих семейств приходится 83% детектов, зафиксированных в отчетный период по всей пользовательской базе, охват которой составляет свыше 600 млн. индивидуальных ПК. Поскольку многие из зловредов распространяются разными способами, данные по каждому семейству были равномерно распределены по всем активно используемым каналам.

Методики первичного заражения исследователи разделили на 3 основные категории: загрузки с инициативы пользователя (обман, социальная инженерия), эксплойты уязвимостей и абьюзы легального функционала. Последнюю представляли, в основном, AutoRun-черви и троянцы, хотя в Windows 7 функция автозапуска отключена по умолчанию, а соответствующее исправление для XP и Vista было выпущено в 1-м квартале. В классификации Microsoft отсутствуют некоторые общеупотребительные термины, в частности «drive-by загрузки». Эксплойты уязвимостей рассматриваются в зависимости от срока давности соответствующей заплатки: 0-day, брешь закрыта недавно или более года назад.

Как оказалось, больше половины зловредов, проникающих на ПК путем эксплойта уязвимостей, атакуют давно известные лазейки, которые по вине пользователя остались открытыми. Поскольку ни одна из угроз, зафиксированных MSRT в рамках исследования, не использовала уязвимости 0-day, эксперты обратились к результатам, полученным с помощью других защитных решений. Дополнительное исследование показало, что в первом полугодии на долю угроз нулевого дня приходилось лишь 0,12 % случаев успешной эксплуатации уязвимостей. На пике этот показатель составил 0,37%. Большинство угроз 0-day использовали новые бреши в Adobe Flash Player ― CVE-2011-0611 и CVE-2011-2110.