Архив

Обзор вирусной активности за 2002 г.

Обзор вирусной активности за 2002 г.


«Лаборатория Касперского» представила ежегодный обзор событий в области компьютерных вирусов. Данный материал содержит сведения о крупнейших вирусных инцидентах, произошедших в 2002 г., экспертную оценку тенденций в сфере создания и распространения вредоносных программ и прогнозы «Лаборатории Касперского» относительно дальнейшего развития ситуации.


Содержание:





















Общие
Самые распространенные вредоносные программы
Типы вредоносных программ в 2002 г.
Сетевые черви
Вирусы
Троянские программы
Источники вирусной угрозы
Компьютерные мистификации
Полезные ссылки

Общие


В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов («Sircam», «Hybris», «Magistr», «CIH», «BadtransII», «Thus» и др.).


В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус «LFM» и вирус «Donut», который впервые использовал для своего распространения технологию .NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви «Spida», (заражающий SQL-серверы) и «Benjamin». Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь «Slapper», который всегоза несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь «Scalper» также получил довольно широкое распространение.


Нельзя не отметить стремительный рост т.н. коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели — похищение конфиденциальных данных, финансовых средств, паролей доступа в Интернет или другие действия, наносящие какой-либо материальный ущерб пользователям.


Самые распространенные вредоносные программы


Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь «Klez«. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и с тех пор не выходила из списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях «десятки». Однако в течение года свирепствовали лишь две из десяти существующих разновидностей этого червя — «Klez.H» (обнаружен 17.04.2002) и «Klez.E» (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны «Klez».


Десятка самых распространенных вирусов в 2002 г.




























































No.


Название


 %*


Индекс распространенности

1 I-Worm.Klez

61,22%


10,0

2 I-Worm.Lentin

20,52%


3,4

3  I-Worm.Tanatos

2,09%


0,3

4 I-Worm.BadtransII

1,31%


0,2

5 Macro.Word97.Thus

1,19%


0,2

6  I-Worm.Hybris

 0,60%


0,1

7  I-Worm.Bridex

0,32%


0,1

8 I-Worm.Magistr

0,30%


 0,1

9 Win95.CIH

0,27%


 0,1

10  I-Worm.Sircam

0,24%


0,1


 * доля от общего количества зарегистрированных инцидентов


По масштабам и продолжительности эпидемия «Klez» не имела себе равных. Ближайшим конкурентом «Klez» оказался интернет-червь «Lentin«. Несмотря на трехкратное отставание он имеет все шансы в следующем году завоевать высшую ступень пьедестала. Данные последних трех месяцев свидетельствуют, что «Lentin» уже превосходит «Klez» по количеству вызванных инцидентов.


Показатели остальных конкурентов этого дуэта выглядят скромно. Недавний возмутитель спокойствия червь «Tanatos» (также известен как Bugbear) проявил свои вирулентные свойства только в октябре. После этого он благополучно слился с остальными лидерами вирусных «хит-парадов» практически у оси абсциссы.


Интересно отметить, что 4 верхних позиции в рейтинге заняли вредоносные программы, использующие для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них приходится более 85% всех инцидентов. Это обстоятельство доказывает важность своевременной установки «заплаток». Однажды установив «заплатку» пользователь не только автоматически защищает свой компьютер от большинства действующих вирусных угроз, но и гарантирует защиту от всех подобных угроз в будущем.


Динамика распространенности вредоносных программ в 2002 г.



В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября ситуация коренным образом изменилась. С этого момента наблюдается т.н. диверсификация — все больше заражений приходится на вирусы, не вошедшие в «хит-парады»: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, «Klez», «Lentin» и «Tanatos». Однако снижения общего количества заражений не отмечено. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля каждой из них невелика, но в совокупности они составляют достаточно внушительный объем и представляют реальную угрозу для пользователей.


Типы вредоносных программ в 2002 г.


Не менее интересно выглядит картина распространенности различных типов вредоносных программ. Вплоть до сентября продолжалось традиционное доминирование сетевых червей. Однако события 4 квартала наглядно свидетельствуют о тенденции снижения доли сетевых червей и росте доли компьютерных вирусов и «троянцев». Уже в декабре вирусы прочно удерживали 2 позицию с 31,3%, за которыми следовали «троянцы» (16,6%). В целом за 2002 г. доля червей составила 89,1%, вирусов — 7,0%, «троянцев» — 3,9%.


С одной стороны это показывает, что пользователи стали обращать больше внимания защите электронной почты, как главного источника сетевых червей. С другой — абсолютный и относительный рост доли других типов вредоносных программ дает основание утверждать, что пользователи все меньше считают их источниками реальной угрозы и поэтому уделяют меньше внимания адекватной защите. В действительности деструктивные действия вирусов и «троянцев» могут иметь никак не меньшие негативные последствия для безопасности данных как на домашних компьютерах, так и в корпоративных сетях. Это обстоятельство делает необходимым дальнейшее укрепление систем защиты от вирусов (прежде всего макро-вирусов) и «троянцев». Для успешного решения этой задачи мы также рекомендуем пользоваться дополнительными технологиями ИТ-безопасности: поведенческими блокираторами, ревизорами изменений и межсетевыми экранами. В сочетании с традиционными антивирусными сканерами они позволят минимизировать риск заражения вредоносными программами. Кроме того, такой подход создаст достаточно стойкий иммунитет против заражения неизвестными вирусами и «троянцами».


Динамика распространенности типов вредоносных программ в 2002 г.



Типы вредоносных программ в 2002 г.



Сетевые черви


В структуре распространенности сетевых червей традиционно преобладают почтовые черви (прежде всего «Klez» и «Lentin»), использующие e-mail в качестве основного транспорта для доставки на целевые компьютеры. Появляется все больше почтовых червей, которые применяют метод прямого соединения с SMTP-сервером. Эта тенденция объясняется тем, что традиционный способ рассылки червей (например, через Outlook или другие почтовые клиенты) уже не имеет достаточных шансов на успех. Производители почтового ПО интегрировали в свои программы антивирусные модули или специальные функции для предотвращения несанкционированной рассылки каких-либо данных. Учитывая это, вирусописатели все чаще используют новые технологии распространения червей, которые обходят такой тип защиты.


Другие типы червей присутствуют на графике эпизодически. Среди них выделяются:



  • LAN-черви (2,5%), распространяющиеся по ресурсам локальных сетей;

  • P2P-черви (1,7%), распространяющиеся по Peer-to-Peer сетям (например KaZaA); 

  • IRC-черви (0.2%), распространяющиеся по каналам IRC (Internet Relay Chat).

Самые распространенные типы сетевых червей



Вирусы


Среди замеченных в 2002 г. компьютерных вирусов, как ни странно, больше всего себя проявили макро-вирусы (56,1%). Прежде всего здесь стоит отметить «Thus», «TheSecond», «Marker» и «Flop». Эти макро-вирусы для текстового редактора Microsoft Word существуют не один год. Эпидемии с их участием были зафиксированы много лет назад, но сегодня они переживают второе рождение: пользователи, уверенные в том, что макро-вирусы полностью сошли со сцены реальных угроз, ослабили бдительность и соответствующие системы защиты. Немного отстают от лидеров Windows-вирусы (40,9%). Больше всего заражений вызвали «Elkern», «CIH», «FunLove» и «Spaces». Практически незаметными в течение 2002 г. оказались скрипт-вирусы (2,7%) и другие типы этого класса компьютерной фауны (0,3%).


Самые распространенные типы компьютерных вирусов



Троянские программы


На протяжении всего года присутствие «троянцев» в списке самых распространенных типов вредоносных программ было скорее номинальным. Однако в последнем квартале они попытались наверстать упущенное и в декабре вышли на уровень 16,6%. В категории «троянские программы» единолично лидируют утилиты несанкционированного администрирования (backdoor, 54%). которые позволяют злоумышленникам незаметно управлять зараженным компьютером на расстоянии. Более чем в 2 раза отстают PSW-троянцы (17,9%) — вредоносные программы, похищающие с зараженных компьютеров системную информацию и пароли доступа (например, в Интернет) для их последующего нелегального использования. Остальные 28,1% приходятся на другие типы «троянцев», которые засылаются на компьютеры-жертвы для выполнения специфических задач.


Самые распространенные типы троянских программ



Источники вирусной угрозы


Несмотря на произошедшие изменения в структуре наиболее распространенных типов вредоносных программ, абсолютное лидерство среди главных источников вирусной угрозы остается электронная почта (96,4% от всех зарегистрированных инцидентов). Следом за ней находятся Интернет (web-сайты, FTP-сайты, P2P-сети, IRC-каналы и пр.) — 2,3%, и мобильные накопители информации (дискеты, CD-ROM, магнитооптические диски и пр.) с 1,3%. Подобное распределение доказывает факт, что электронную почту в качестве основного канала распространения используют не только сетевые черви, но также вирусы и «троянцы». Отличие состоит лишь в том, что первые действуют активно (имеют функции самораспространения), а вторые и третьи — пассивно (рассылаются непосредственно вирусописателями или зараженными пользователями).


Основные источники вирусной угрозы в 2002 г.



Компьютерные мистификации


Как известно, любая угроза вызывает умышленные и неумышленные спекуляции. Пословица «у страха глаза велики» а как нельзя лучше подходит и к компьютерным вирусам, которые породили весьма интересный феномен — компьютерные мистификации. Он основан на распространении ложных слухов о появлении новых чрезвычайно опасных компьютерных вирусов. По сути дела эти слухи и были своего рода вирусами: напуганные пользователи распространяли такие сообщения по всем своим знакомым с необычайной скоростью. Вряд ли стоит останавливаться на том, что мистификации не наносят компьютерам никакого ущерба. Однако, вместе с тем, они загружают каналы передачи данных, нервируют других пользователей и дискредитируют людей, поверивших в эти слухи.


2002 г. не стал исключением, пользователи регулярно засыпали друг друга как старыми, так и новыми мистификациями. Наибольший резонанс имели слухи о вирусах «JDBGMGR» и «Ace-?», а также «SULFNBK», «Virtual Card for You», «California IBM» и «Girl Thing».


С руководством по выявлению вирусных мистификаций Вы можете ознакомиться здесь. Более подробная информация о вирусных мистификациях — в Вирусной Энциклопедии Касперского по адресу.

Полезные ссылки


Обзор вирусной активности за 2001 г.

Обзор вирусной активности за 2000 г.

Обзор вирусной активности за 2002 г.

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике