Отчеты о вредоносном ПО

Развитие информационных угроз во втором квартале 2010 года

Квартал в цифрах

  • Всего заблокировано более 540 миллионов попыток заражения компьютеров пользователей в различных странах мира.
  • Больше всего атак пришлось на пользователей в Китае (17,09%), России (11,36%), Индии (9,30%), США (5,96%) и Вьетнаме (5,44%).
  • 27% всех детектов в интернете представляли собой вредоносные скрипты, внедренные злоумышленниками на различные сайты.
  • Отражено 157 626 761 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.
  • Обнаружено 8 540 223 эксплойтов. Доля эксплоитов среди всех вредоносных программ выросла на 0,7%.
  • Лидируют по-прежнему эксплойты, использующие уязвимости в Adobe Reader, однако их доля по сравнению с первым кварталом уменьшилась на 17%.
  • На компьютерах пользователей выявлено 33 765 504 незакрытых уязвимостей
  • На компьютерах пользователей заблокировано и обезврежено 203 997 565 вредоносных программ.

Общий обзор ситуации

Ботнеты

Большая часть нашумевших вирусных инцидентов второго квартала 2010 года так или иначе связана с ботнетами. Не прекращалось создание новых ботов и развитие уже существующих, таких как TDSS, о котором можно прочитать в статье наших вирусных аналитиков, и Zbot (ZeuS), о котором речь пойдет ниже.

ZeuS

Интерес представляет эволюция троянца ZeuS (Zbot), на основе которого строятся ботнеты. В конце апреля была обнаружена новая модификация этой вредоносной программы, которая несла в себе функционал файлового вируса и могла заражать исполняемые файлы. Код и способ заражения были выбраны не слишком сложные. В exe-файлы записывался не сам троянец, а небольшой код длиной 512 байт. После этого изменялась точка входа инфицированного файла: сначала выполнялся дописанный код и только после этого — оригинальный.

Внедренный код был предназначен для загрузки на зараженный компьютер новых версий троянца, в случае если основной компонент ZeuS был с него удален. В качестве тестовой площадки для новой заражающей версии троянца вирусописатели использовали компьютеры пользователей США. Напомним, что основной добычей ZeuS являются банковские аккаунты. В США система интернет-банкинга наиболее развита, и компьютеры американских пользователей являются лакомым кусочком для преступников. Версия ZeuS, которую загружал внедренный участок кода, детектировалась «Лабораторией Касперского» как Trojan-Spy.Win32.Zbot.gen и была создана специально для кражи аккаунтов клиентов крупного банка «Bank of America».

Еще одна примечательная новинка — распространение ZeuS с помощью pdf-файлов. Независимый исследователь обнаружил, что «вшитые» в pdf-документы исполняемые файлы можно запускать без использования уязвимостей. Запуск файла производится с помощью описанной в спецификации формата pdf функции «Launch». Соответствующая информация была опубликована 29 марта, и уже через несколько дней после этого в почтовые ящики пользователей стали приходить письма со специально сформированным pdf-документом, который использовал описанный способ запуска файлов для заражения систем троянцем ZeuS. Любопытному пользователю достаточно было открыть вложенный документ, чтобы его компьютер попал в зомби-армию.

TwitterNET Builder

В прошлых квартальных отчетах мы писали о первых попытках злоумышленников управлять ботнетами через социальные сети. Тогда это были только концепты, и мы ждали дальнейшего развития событий. Долго ждать нам не пришлось. В мае на просторах Всемирной паутины появилась утилита для создания бота TwitterNET Builder. Эта программа строит ботсеть, в которой в качестве центра управления используется аккаунт в Twitter.

Для работы с билдером не требуется каких-либо навыков программирования. Это просто идеальная игрушка для скрипткиддис: пара кликов — и бот готов. «Лабораторией Касперского» эта «игрушка» детектируются как Backdoor.Win32.Twitbot. В арсенале получаемого на выходе бота есть следующие функции: загрузка и исполнение файлов, DDoS-атака и открытие веб-сайтов, указанных злоумышленниками. Для получения команд бот ищет в Twitter нужный аккаунт, в котором публикуются в текстовом виде приказы от ботовода.

Радует тот факт, что широкого распространения этот бот не получил. Причина кроется в том, что за подобными трюками пристально следят многие исследователи. Ботнет с таким примитивным управлением — команды даже не шифровались, а посылались в открытом виде через социальную сеть — достаточно легко обнаружить и отключить от командного центра, закрыв аккаунт злоумышленника. Уже в конце июня подобных командных центров в Twitter не было, что хорошо говорит о скорости реакции службы безопасности сети.

Атаки в социальных сетях

Социальные сети стали для пользователей эффективным средством обмена информацией. Использование злоумышленниками социальных сетей в ходе мошеннических атак, для рассылки спама и распространения вредоносных программ набирает популярность. Мы расскажем о самых заметных инцидентах, которые произошли в социальных сетях во втором квартале.

Распространение вредоносных программ

В последнее время мы наблюдаем, как ссылки на вредоносные программы активно распространяются в спаме в социальных сетях. Со временем социальные сети могут совсем потеснить электронную почту в неблагородном деле распространения зловредов.

Например, в Бразилии до последнего времени банковские троянцы распространялись преимущественно по электронной почте. Вероятно, бразильские злоумышленники поняли, что социальные сети для этих целей намного более эффективны: с начала квартала в социальных сетях начал активно рассылаться спам со ссылками на вредоносные программы, нацеленные на клиентов бразильских банков.

Эффективность рассылок в социальных сетях подтверждают цифры. Только в ходе одной атаки, проведенной в сети Twitter, всего за час по разосланной ссылке прошли более 2000 пользователей.

Интересна история, связанная с iPhone, произошла в социальной сети Twitter. 19 мая администрация Twitter сделала официальное заявление о том, что появилось новое приложение «Twitter для iPhone». На той волне обсуждения, которая поднялась после публикации анонса, решили прокатиться и злоумышленники. Меньше чем через час после публикации новости Twitter пестрил сообщениями, в которых повторялось сочетание «twitter iPhone application», а ссылки вели на вредоносную программу Worm.Win32.VBNA.b.

Этот экземпляр вредоносной программы интересен с нескольких точек зрения. Во-первых, червь имеет неплохую самозащиту: используя антиэмуляционные трюки, он выводит из строя некоторые служебные программы Windows и распространяется через USB-устройства. Во-вторых, его основной функцией является кража информации, необходимой для проведения финансовых операций. Новость для распространения червя была выбрана не случайно. Большинство владельцев смартфонов — люди вполне состоятельные и имеют банковские счета и карты, доступ к которым мечтают получить злоумышленники. Учитывая вышесказанное, неудивительно, что около трети атак VBNA.b (27-33%) пришлась на компьютеры пользователей из США, которые представляют наибольший интерес для киберпреступников.

Будьте бдительны, сегодня любая актуальная новость используется злоумышленниками, и если вам есть что терять, то не стоит бездумно переходить по всем ссылкам, распространяемым в сети.

Likejacking

Накрутка кликов всегда была одной из стабильных статей доходов злоумышленников, и с появлением социальных сетей заниматься таким «бизнесом» стало еще выгоднее, ведь число пользователей крупных социальных сетей может сравниться с количеством граждан самых больших государств мира.

В мае в Facebook появился новый вид атак, связанный с нововведенной функцией «like». Как несложно догадаться, эта функция отвечает за список того, что понравилось владельцу учетной записи сети. Тысячи пользователей стали жертвами атаки, которая получила название «likejacking» — по аналогии с clickjacking.

На Facebook размещалась заманчивая ссылка, например, «чемпионат мира 2010 в высоком разрешении» или «101 самая привлекательная женщина в мире». Ссылка вела на специально созданную страничку, на которой сценарий, написанный на Javascript, помещал невидимую кнопку «like» («мне нравится») прямо под курсором. Кнопка перемещалась вслед за курсором, так что где бы пользователь ни кликнул, он неизбежно нажимал на эту кнопку и, как следствие, автоматически добавлял на свою «стену» копию ссылки. В результате в лентах друзей пользователя появлялась информация, что эта ссылка ему нравится (he or she likes). Далее атака росла по принципу снежного кома: по ссылке проходили друзья, затем по той же ссылке — друзья друзей и т.д.

Зачем же все это делалось? Разумеется, ради денег. После добавления ссылки на «стену» пользователь получал обещанное: он переходил на страницу с имитацией плеера, якобы транслирующего игры чемпионата мира по футболу, или с фотографиями девушек. На той же странице был расположен небольшой сценарий java script одной рекламной компании, который умел обходить блокировщики всплывающих рекламных окон. Благодаря этому сценарию за каждый переход на страницу организаторы мошеннической схемы получали небольшую сумму денег. Если учесть, что жертвами их атаки стали тысячи пользователей, то станет ясно, что сумма, полученная злоумышленниками, была не такой уж и маленькой.

К счастью, пока мы не зарегистрировали случаев, когда таким способом распространялись ссылки на зловреды.

Раскрытие информации об уязвимостях

Во втором квартале произошло два неожиданных события, связанных с уязвимостями и компанией Google. В обоих случаях сотрудником Google была раскрыта полная информация об уязвимости. Как и следовало ожидать, это привело к массовому использованию этих уязвимостей «плохими парнями», так как на момент публикации информации никаких патчей, закрывающих бреши, не существовало.

9 апреля была раскрыта уязвимость нулевого дня в Java Web Start (CVE-2010-0886). Oracle срочно начала делать заплатку, которую выпустила 16 апреля. Однако злоумышленники оказались еще быстрее: через пару дней они уже вовсю использовали эксплойт, который, в частности, был добавлен в наборы эксплойтов (exploitpack). Криминальный бизнес по использованию эксплойтов явно поставлен на конвейер: домен, с которого в дальнейшем проводились атаки, был зарегистрирован злоумышленниками за день до публикации информации о конкретной уязвимости.

Во втором случае этим же сотрудником Google была раскрыта уязвимость в Windows Help and Support Center (CVE-2010-1885). Ситуация повторилась, и очень быстро в Сети появились рабочие эксплойты.

Исследователем, раскрывающим информацию об уязвимостях, скорее всего, движет обостренное чувство справедливости. Он верит, что, выкладывая такую информацию в общий доступ, совершает добрый поступок. Но так ли это на самом деле?

С одной стороны, раскрытие уязвимости ведет к тому, что производители ПО быстрее стараются выпустить заплатку. С другой стороны, у всех киберпреступников в руках оказывается оружие, которое действует практически со 100% эффективностью. Причем исправление ошибки в современных системах из миллионов строчек кода занимает отнюдь не один день, в то время как использовать уязвимость злоумышленники могут практически сразу. Не слишком ли велика цена за быстрое исправление ошибок?

Цифры говорят, что подобный способ сделать этот мир лучше приводит к совершенно противоположному результату. По данным нашей статистики, эксплойты, использующие уязвимость CVE-2010-0886, очень быстро стали массовыми. На пике популярности их доля от всех эксплойтов составляла 17%! Аналогична ситуация и с эксплойтом к уязвимости CVE-2010-1885 в HSC. Он быстро набирает популярность и в квартальном рейтинге эксплойтов уже попал на 13-е место, несмотря на то что появился в последнем месяце квартала. Остается надеяться, что все исследователи извлекут из этого урок.

Альтернативные платформы

В последний день мая в интернете появились сообщения о том, что компания Google отказывается от Windows и переходит на Linux и Mac OS. По словам представителей Google, одной из причин этого решения послужили проблемы с безопасностью. Однако факты говорят о том, что Linux и Mac OS защищены ничуть не лучше, чем Windows.

В этом квартале вредоносные программы для альтернативных платформ захватывали новые позиции. 20 апреля появился новый бэкдор семейства Reshe для Mac OS X — Backdoor.OSX.Reshe.a. Попав в систему, вредоносная программа для своей защиты маскируется под популярное приложение iPhoto и обеспечивает себе автозапуск при старте системы. Этот бэкдор позволяет злоумышленнику получить полный контроль над инфицированной системой: рассылать с зараженного компьютера спам, искать и воровать файлы, загружать и исполнять программы, делать скриншоты и многое-многое другое. Бэкдор написан на языке RealBasic и работает на компьютерах производства Apple с процессором как PowerPC, так и Intel. Пока массового использования этого зловреда не замечено, но не стоит забывать, что такое оружие есть в руках у злоумышленников.

3 июня, через несколько дней после сообщения Google о переходе на альтернативные ОС, нашими специалистами был задетектирован новый троянец-шпион для Mac OS X. Эта вредоносная программа маскировалась под «рекламную систему» и распространялась в комплекте с легальными продуктами. Помимо того, что он ворует информацию с компьютера, зловред обладает также функционалом бэкдора, что дает злоумышленникам возможность посылать на компьютер команды.

У многих пользователей Mac OS есть ложное чувство защищенности. Они уверены, что компьютерных угроз, которые работают под их операционной системой, просто не существует. При этом сама компания Apple признает существование вредоносного кода под Mac. В последнем обновлении OS X 10.6.4 Apple, не афишируя этого, добавила в свой антивирусный сканер новую сигнатуру для защиты от описанной выше вредоносной программы Backdoor.OSX.Reshe.a. Однако такие неафишируемые обновления от производителя только поддерживают у пользователей чувство ложной защищенности, вместо того, чтобы его развеять.

Хочется отметить, что абсолютно безопасных операционных систем не существует. Mac OS X сегодня не является более безопасной операционной системой, чем та же Windows 7. С технической же точки зрения для безопасной работы Mac OS X также требуется защита от вредоносного ПО. Если принять во внимание описанные выше инциденты, то вполне возможно, что не за горами целевые атаки на пользователей яблочных компьютеров.

Страны, в которых пользователи чаще всего подвергались атакам

Всего в течение последних трех месяцев было заблокировано более 540 миллионов атак в 228 странах мира. В этом квартале на нашем антивирусном радаре появился даже остров Норфолк, который населяет 2141 житель. Каждый месяц количество попыток заражения по всему миру увеличивалось в среднем на 4,5%.

Вероятность заражения компьютера зависит от его местопребывания. Этот факт иллюстрирует следующая таблица, показывающая, в каких странах компьютеры пользователей чаще всего подвергались атакам.

Распределение атак по странам в Q2 2010 и в Q1 2010

Q2 2010 Q1 2010
1 Китай 17,09% 1 Китай 18,05%
2 Россия 11,36% 2 Россия 13,18%
3 Индия 9,30% 3 Индия 8,52%
4 США 5,96% 4 США 5,25%
5 Вьетнам 5,44% 5 Вьетнам 3,73%
6 Германия 2,65% 6 Германия 3,01%
7 Малайзия 2,37% 7 Малайзия 2,69%
8 Саудовская Аравия 2,19% 8 Франция 2,38%
9 Франция 2,14% 9 Украина 2,34%
10 Украина 2,11% 10 Испания 2,30%
11 Италия 2,06% 11 Италия 2,24%
12 Испания 2,00% 12 Мехико 2,09%
13 Мехико 1,96% 13 Саудовская Аравия 1,99%
14 Турция 1,96% 14 Турция 1,92%
15 Бразилия 1,77% 15 Великобритания 1,60%
16 Великобритания 1,51% 16 Бразилия 1,57%
17 Тайланд 1,37% 17 Египет 1,48%
18 Египет 1,36% 18 Тайланд 1,30%
19 Бангладеш 1,25% 19 Филиппины 1,11%
20 Индонезия 1,17% 20 Индонезия 1,08%
Другие 22,59% Другие 22,16%

В TOP 20 практически все страны остались прежними, кроме Бангладеша, который сместил с 19-го места Филиппины. В пятерку лидеров по-прежнему входят Китай (17,09% всех атак), Россия (11,36%), Индия (9,30%), США (5,96%) и Вьетнам (5,44%).

В долевом распределении самые заметные изменения произошли в России (-1,82%), и во Вьетнаме (+1,71%).

В TOP 20 уже давно не попадает Австралия (31-е место, 0,5%), где активно принимаются меры по борьбе с киберпреступлениями. Так, последний доклад комитета по коммуникациям Палаты представителей Австралии рекомендует провайдерам (ISP) не предоставлять доступ в интернет для компьютеров без антивирусной защиты и брандмауэра, причем эта рекомендация может стать обязательной для всех австралийских пользователей.

Такая мера может показаться достаточно жесткой, однако давайте посмотрим на наш рейтинг. Первую строчку в нем занимает Китай, где по данным опроса, проведенного CNNIC, порядка 4,4% пользователей (~17 миллионов!) выходят в интернет без какой-либо защиты. Это все равно, что выходить из дома и оставлять все окна и двери открытыми. Причем сами пользователи не очень охотно учатся даже на своих ошибках, ведь по данным все того же опроса 1/6 часть респондентов призналась, что они стали жертвами киберпреступников и потеряли виртуальную собственность, которую сегодня очень легко конвертировать в настоящие деньги…

Вредоносные программы в интернете

Во втором квартале 2010 года нами было заблокировано 157 626 761 попыток заражения компьютеров пользователей через интернет. Посмотрим, какие категории вредоносных программ доминировали в интернете.

Развитие информационных угроз во втором квартале 2010 года

TOP 5 категорий вредоносных программ в интернете

В TOP 5 вошли различные троянцы, эксплойты и рекламное ПО, причем практически половина (48%) всех детектов в интернете пришлась на программы категории Trojan. 57% от их числа представляли собой вредоносные скрипты, внедренные злоумышленниками на различные сайты. В число таких сайтов попали и легитимные, с многотысячной, а в некоторых случаях и многомиллионной аудиторией. Эти скрипты детектируются как Trojan.Script.Iframer и Trojan.Script.Generic и заставляют пользователя по невидимой в окне браузера ссылке перейти на страницу злоумышленников. Обычно ссылки ведут на страницы с эксплойтами (в более профессиональных схемах с наборами эксплойтов), которые позволяют злоумышленникам сделать первый шаг в обход обороны компьютера и, в конечном счете, загрузить и запустить любой файл. Более подробно об эксплойтах мы поговорим далее.

На долю рекламного ПО (AdWare) пришлось 7,15% всех детектов. В прошлом квартале 70% задетектированных рекламных программ составили программы семейств Zwangi и Boran. В этом квартале пальму первенства у них отобрали семейства Shopper (26,06%) и FunWeb (22,81%), на которые в сумме пришлось 49% детектов AdWare.

Больше трети детектов Shopper, FunWeb и Zwangi пришлось на компьютеры пользователей из CША и Англии. В то же время 93% детектов Boran, доля которого в целом уменьшилась на 8%, были зафиксированы на компьютерах пользователей из Китая.

Увеличение доли Shopper, который представляет собой надстройку с советами по лучшим ценам на товары в интернете, связано с новой схемой его распространения — в установочных пакетах вместе с бесплатными программами, распространяемыми по лицензии GPL. При установке такой программы, полученной из неофициального источника, «в нагрузку» на компьютер пользователя попадала программа Adware.Win32.Shopper.

География угроз

Во втором квартале 2010 года нами было зафиксировано 157 626 761 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Более 95% всех зафиксированных нами атак было осуществлено из двадцати стран.

TOP 20 стран, на ресурсах которых были размещены вредоносные программы:

Q2 2010 Q1 2010
1 США 28,99% 1 США 27,57%
2 Россия 16,06% 2 Россия 22,59%
3 Китай 13,64% 3 Китай 12,84%
4 Германия 5,89% 4 Нидерланды 8,28%
5 Нидерланды 5,49% 5 Испания 6,83%
6 Испания 5,28% 6 Германия 6,78%
7 Великобритания 4,62% 7 Великобритания 3,29%
8 Швеция 4,34% 8 Филиппины 1,60%
9 Украина 2,76% 9 Украина 1,35%
10 Латвия 2,02% 10 Канада 1,29%
11 Канада 1,63% 11 Швеция 0,95%
12 Франция 1,49% 12 Франция 0,80%
13 Турция 0,63% 13 Турция 0,72%
14 Молдова 0,55% 14 Австралия 0,48%
15 Чешская Республика 0,40% 15 Молдова 0,42%
16 Гонконг 0,40% 16 Латвия 0,31%
17 Таиланд 0,38% 17 Чешская республика 0,31%
18 Филиппины 0,37% 18 Люксембург 0,26%
19 Малайзия 0,37% 19 Малайзия 0,26%
20 Вьетнам 0,36% 20 Вьетнам 0,25%
Другие 4,33% Другие 2,80%

Первые три места в рейтинге, как и в прошлом квартале, занимают США (28,99%), Россия (16,06%) и Китай (13,64%), которому так и не удалось отвоевать утерянную в прошлом квартале позицию лидера.

Доля зараженных сайтов на территории РФ уменьшилась на 6,5%. В то же время увеличилось число атак с веб-ресурсов, расположенных в Голландии и Швеции, доля которых увеличилась на 2,8% и 3,4% соответственно.

Эксплойты

Большинство атак в интернете начинается с использования эксплойтов, которые позволяют злоумышленникам незаметно получить доступ к системе и загрузить на компьютер пользователя нужную им вредоносную программу. Недаром цены на наборы эксплойтов на черном рынке колеблются в районе нескольких тысяч долларов.

Во втором квартале было обнаружено 8 540 223 эксплойтов.

Наиболее популярными у злоумышленников были эксплойты следующих семейств:

Развитие информационных угроз во втором квартале 2010 года

TOP 10 семейств эксплойтов, обнаруженных в интернете

Лидируют по-прежнему эксплойты, использующие уязвимости в Adobe Reader. Однако первое, что бросается в глаза, — это значительное уменьшение доли этих вредоносных программ по сравнению с первым кварталом 2010 (-17,11%).

Причиной уменьшения доли эксплойтов к Adobe Reader стал рост популярности семейств Exploit.JS.CVE-2010-0806 и Exploit.JS.Agent.bab, использующих уязвимость в браузерах MS Internet Explorer версий 6 и 7 в компоненте «Peer Object» библиотеки iepeers.dll (CVE-2010-0806). Досадную историю быстрого распространения этих эксплойтов мы описали в прошлом отчете. После попадания в metasploit framework они практически в неизменном виде были добавлены во многие продаваемые наборы эксплойтов, что и привело к их массовому использованию. В среднем в течение квартала наши продукты ежедневно отражали 31 тысячу атак, эксплуатирующих уязвимость CVE-2010-0806 с помощью эсплойтов Exploit.JS.Agent.bab и Exploit.JS.CVE-2010-0806.

Эти эксплойты использовались в различных криминальных схемах, однако можно с уверенность сказать, что основной целью злоумышленников были аккаунты к онлайн-играм. Согласно результатам наших исследований, загрузчики, устанавливаемые после использования эксплойта Exploit.JS.CVE-2010-0806, чаще всего пытаются загрузить на компьютер пользователя Trojan-GameThief.Win32.Magania и Trojan-GameThief.Win32.WOW. Интерес злоумышленников к аккаунтам игроков подтверждает и географическое распределение атак с использованием этих эксплойтов: в первую пятерку стран, на которую пришлось 96,5% всех атак, входят Китай, Тайвань, Корея, США и Вьетнам, где традиционно велико количество любителей MMORPG.

Еще одним важным изменением стало увеличение доли эксплойтов под Java, эксплуатирующих уязвимости CVE-2010-0886 и CVE-2009-3867. В основном благодаря им доля вредоносных программ под Java в этом квартале увеличилась на 2%. Основной вектор атак этих эксплойтов — европейские страны: Германия, Англия, Россия, Италия, Украина и Испания, а также страны Северной Америки — США и Канада. На компьютеры пользователей загружается Backdoor.Win32.Bredolab, главной задачей которого является загрузка и установка других вредоносных программ. Список этих программ очень обширен — от спам-ботов и программ для кражи паролей к FTP до фальшивых антивирусов.

Эксплойты, используемые в атаке, получившей название Aurora, стремительно теряют популярность у злоумышленников: их доля уменьшилась на 7,08%. Волна сообщений об атаке с использованием уязвимости CVE-2010-0249, прошедшая по всем СМИ, не осталась незамеченной. Пользователи стали обновлять версию Internet Explorer 6.0, через уязвимость в которой и осуществлялся взлом системы. По данным «net applications», доля пользователей MS Internet Explorer 6.0 с января уменьшилась на 3%.

Уменьшением числа пользователей MS Internet Explorer 6.0 объясняется и уменьшение доли эксплойтов семейства Exploit.JS.Adodb, использующих старую уязвимость в этой версии браузера.

Эксплойты, использующие уязвимость CVE-2010-1885 в Windows Help and Support Center, о публикации которой мы рассказывали выше, очень быстро завоевывают позиции. По итогам второго квартала они заняли 13-е место, хотя уязвимость была опубликована только 9 июня. Что важно, Microsoft выпустила патч месяц спустя — 13-го июля, что, увы, позволило злоумышленникам эффективно использовать эту уязвимость в течении длительного времени. Атакам с помощью этих эксплойтов подвергаются прежде всего российские, немецкие, испанские и американские пользователи. Эти эксплойты используются в основном в схемах типа pay-per-install (все те же «партнерки»), когда одни злоумышленники платят другим за распространение вредоносной программы, при этом оплата зависит от числа и местоположения зараженных компьютеров.

Уязвимости

Во втором квартале 2010 года мы обнаружили на компьютерах пользователей 33 765 504 уязвимых приложений и файлов. Отметим, что в каждом четвертом случае мы обнаруживали на компьютере не одну незакрытую уязвимость, а более семи.

10 самых распространенных уязвимостей приведены в таблице ниже:

Secunia
ID
уника-
льный
иденти-
фикатор
уязви-
мости
Изме-
нение
в
рей
тинге
Название
и ссылка
на описание
уязвимости
Возмож-
ности,
которые
дает
использо-
вание
уязвимости
злоумы-
шленникам
Процент
пользо-
вателей,
у которых
была
обнаружена
уязвимость
Дата
публи-
кации
Уро-
вень
опас-
ности
уязви-
мости
1 SA 38805 +7 Microsoft Office Excel Multiple Vulnerabilities получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 39,45% 09.06.
2009
«Highly Critical»
2 SA 37255 new Sun Java JDK /
JRE Multiple Vulnerabilities
обход системы безопасности 38,32% 12.02.
2010
«Highly Critical»
3 SA 35377 -2 Microsoft Office Word Two Vulnerabilities получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 35,91% 09.03.
2010
«Highly Critical»
4 SA 38547 -1 Adobe Flash Player Domain Sandbox Bypass Vulnerability обход системы безопасности 30,46% 03.04.
2009
Modera-
tely Critical
5 SA 31744 +1 Microsoft Office OneNote URI Handling Vulnerability получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 27,22% 09.01.
2007
«Highly Critical»
6 SA 34572 -2 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 21,14% 09.09.
2008
Extre-
mely Critical
7 SA 39272 new Adobe Reader / Acrobat Multiple Vulnerabilities получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Cross-site scripting
21,12% 14.04.
2010
«Highly Critical»
8 SA 29320 +2 Microsoft Outlook «mailto:» URI Handling Vulnerability получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 19,54% «Highly Critical»
9 SA 39375 new Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 16,08% 14.01.
2010
«Highly Critical»
10 SA 37690 -1 Adobe Reader/Acrobat Multiple Vulnerabilities получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Cross-site scripting
15,57% Extre-
mely Critical

6 уязвимостей из TOP 10 были найдены в продуктах Microsoft, 3 — в продуктах Adobe и 1 — в продукте Sun. Нет, это не означает, что программы производства этих компаний содержат больше всего ошибок. Это говорит в первую очередь о популярности данных продуктов у пользователей.

В TOP 10 отметилось сразу два новичка — это уязвимости в MS Office Publisher (SA 39375) и в Adobe Reader (SA 39272). Обе уязвимости имеют высокий уровень опасности, так как позволяют злоумышленникам получить полный доступ к системе и исполнить произвольную программу. Обе уязвимости были обнаружены в середине апреля — с разницей в один день.

Система автоматических обновлений Microsoft на сегодняшний день включена по умолчанию на большинстве компьютеров, в то время как новая система обновлений для Adobe Reader/Acrobat Reader была представлена миру только 13 апреля 2010 года вместе с очередным ежеквартальным обновлением. Автоматическое обновление популярных программ сегодня является важным фактором, влияющим на безопасность операционной системы в целом. Вендоры, добавляющие этот функционал в свои продукты, делают правильный ход — это позволяет и добавлять новые функции, и, что самое главное, более эффективно закрывать возможные бреши в обороне компьютера. Чем быстрее производители выпускают и автоматически устанавливают на машинах пользователей патчи для продуктов, тем меньше риск того, что пользовательские компьютеры будут заражены с использованием уязвимостей.

Угрозы на компьютерах пользователей

Интересной и важной является статистика по вредоносным программам, обнаруженным и обезвреженным на компьютерах пользователей.

Во втором квартале нашим антивирусом было заблокировано 203 997 565 попыток заражения пользовательских компьютеров, входящих в глобальную сеть безопасности Kapersky Security Network.

TOP 20 детектируемых объектов, обнаруженных на компьютерах пользователей в Q2 2010.

Название % Изменение в рейтинге Способ распространения
1 Trojan.Win32.Generic 12,02% +1 n/a
2 DangerousObject.Multi.Generic 10,46% -1 n/a
3 Net-Worm.Win32.Kido.ir 7,40% 0 Сеть, съемные диски
4 Virus.Win32.Sality.aa 4,62% 0 Заражение файлов
5 Net-Worm.Win32.Kido.ih 3,82% 0 Сеть, съемные диски
6 Net-Worm.Win32.Kido.iq 3,51% 0 Сеть, съемные диски
7 Worm.Win32.FlyStudio.cu 2,78% 0 Локальные и съемные диски
8 Trojan.JS.Agent.bhr 2,76% new
9 HackTool.Win32.Kiser.il 2,14% new n/a
10 Exploit.Script.Generic 2,07% new уязвимости в программах
11 Virus.Win32.Virut.ce 1,69% -3 Заражение файлов
12 Trojan-Downloader.Win32.VB.eql 1,53% new n/a
13 Exploit.JS.Agent.bab 1,53% new уязвимости в программах
14 Worm.Win32.Generic 1,19% -4 Сеть, съемные диски
15 Worm.Win32.Mabezat.b 1,16% -4 Сеть, съемные диски, почта, заражение файлов
16 Trojan-Dropper.Win32.Flystud.yo 1,11% +1 Съемные диски, сетевые диски
17 Worm.Win32.Autoit.tc 1,02% -4 Съемные диски, сетевые диски
18 Trojan.Win32.Pakes.Krap.l 0,95% new n/a
19 Trojan.Script.Generic 0,84% 0 n/a
20 Trojan.Script.Iframer 0,82% new n/a

В этом рейтинге 5 позиций заняли эвристические детекты (Generic). Это объясняется тем, что эвристические методы являются одними из самых эффективных для детектирования сложных угроз.

На первом месте расположились различные троянские программы, детектируемые как Trojan.Win32.Generic (12%). Эти программы не имеют встроенной системы самораспространения, но зато в них реализованы разнообразные деструктивные функции: от кражи паролей до предоставления злоумышленнику полного доступа к компьютеру.

Вторую строчку рейтинга заняли вредоносные программы, задетектированные с помощью технологии мгновенного обнаружения угроз UDS как DangerousObject.Multi.Generic (10%). Технология UDS в режиме реального времени обеспечивает защиту компьютеров пользователей, входящих в KSN.

В TOP 10 оказались 3 различные модификации Kido (3-е, 5-е, 6-е места), которые с прошлого квартала не сдают своих позиций. Увы, система распространения Kido оказалась очень эффективной и, несмотря на отсутствие новых версий Kido и каких-либо действий со стороны вирусописателей по дальнейшему его распространению, червь остается в топе и пока не собирается его покидать. Также не сдает свои позиции заражающий исполняемые файлы вирус Sality.aa (4-е место). В отличие от Kido, новые версии Sality периодически появляются, хотя именно модификация aa, обнаруженная в конце 2008 года, является самой распространенной.

В TOP 20 представлено сразу две программы, написанные на достаточно редком языке программирования «E». Это зловреды Worm.Win32.FlyStudio.cu (7-е место) и Trojan-Dropper.Win32.Flystud.yo (16-е место, распространенные в основном на территории всего лишь одной страны, правда с самым большим населением в мире. На компьютеры китайских пользователей приходится более половины случаев детектирования этих вредоносных программ. Еще один новичок рейтинга также относится к программам, написанным на скриптовых языках. Trojan.Win32.Pakes.Krap.l (18-е место) представляет собой детектирование обфусцированных зловредов, написанных на скриптовом языке AutoIT.

В отличие от прошлого квартала, когда в TOP 20 не оказалось ни одного представителя эксплойтов, в этом рейтинге их сразу два. Во-первых, Exploit.Script.Generic (10-е место), представляющий собой детектирование эксплойтов, написанных на различных скриптовых языках. Во-вторых, в рейтинг попал Exploit.JS.Agent.bab (13-е место), который эксплуатирует уязвимость в MS Internet Explorer и позволяет злоумышленнику загружать и запускать программы на компьютере пользователя. Наша статистика подтверждает, что сегодня эксплойты являются одним из самых эффективных инструментов злоумышленников для заражения компьютеров пользователей.

Развитие информационных угроз во втором квартале 2010 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике