Развитие угроз в первом квартале 2009 года

В отчете «Лаборатории Касперского» рассмотрены наиболее значимые события первого квартала 2009 года, приведены статистические данные, характеризующие развитие вредоносных программ, распространяемых в интернете. Отчет ориентирован в первую очередь на ИТ-специалистов, но будет также полезен всем, кто интересуется проблемами компьютерной безопасности.

Все представленные в отчете данные получены с помощью Kaspersky Security Network (KSN). KSN – это очередная ступень развития современных антивирусных онлайн-сервисов. Впервые KSN появилась в продуктах KAV/KIS2009. Это всемирная распределенная антивирусная сеть, в работе которой принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран мира, согласившиеся стать участниками глобального обмена информацией о вредоносной активности.

KSN позволяет решать две важные задачи:

1. отслеживать существующие и оперативно выявлять новые, еще не детектируемые угрозы;
2. в автоматическом режиме оперативно обеспечивать всех участников KSN защитой от только что появившихся, ранее недетектируемых угроз. Скорость реакции KSN значительно превышает скорость реакции обычных антивирусных обновлений: если при использовании антивирусных обновлений счет идет на часы, то при использовании KSN время доставки защиты пользователю исчисляется уже секундами.

Обе эти задачи решаются в едином аналитическом центре благодаря сбору и обработке в реальном времени данных о фактах заражения и подозрительной активности. Информация о выявленных угрозах сразу становится доступной всем участникам KSN.

«Лаборатория Касперского» подчеркивает, что никакие личные данные с компьютеров пользователей не собираются. Участники KSN обмениваются только информацией о заражениях и подозрительной активности.

Наиболее значимые события I квартала

Первый квартал 2009 года выдался весьма щедрым на различные события в киберкриминальном мире. Мы хотим рассказать о наиболее интересных и значимых вредоносных программах.

Kido

Безусловно, первое, о чем следует упомянуть, это продолжающаяся с января эпидемия сетевого червя Net-Worm.Win32.Kido. Червь, использующий несколько способов проникновения на компьютер жертвы (подбор паролей к сетевым ресурсам, распространение через флеш-накопителии, использование уязвимости Windows MS08-067), по оценкам наших экспертов, смог заразить до пяти миллионов компьютеров по всему миру. Причем каждый зараженный компьютер становится послушным слугой-зомби, готовым выполнять любые команды создателей червя. Борьба с созданным ботнетом осложняется тем, что в Kido реализованы самые современные и эффективные технологии вирусописателей. В частности, одна из модификаций червя получала обновления с пятисот доменов, адреса которых случайно выбирались из ежедневно создаваемого списка в 50 000 адресов, а в качестве дополнительного канала обновлений использовались соединения типа P2P. Kido противодействует обновлению программ защиты и отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний и т.д.

Создатели Kido не проявляли большой активности до марта 2009. Все это время Kido не содержал функционала по рассылке спама или организации DDoS-атак. Исследователи ожидали появления такого функционала с 1 апреля, так как именно в этот день распространенная в марте версия Kido должна была начать попытки загрузки дополнительных модулей. Однако создатели предпочли выждать несколько дней, и в ночь с 8 на 9 апреля зараженным компьютерам была отдана команда на обновление с использованием соединения P2P.

Помимо обновления самого Kido, на зараженные компьютеры происходит загрузка двух других программ. Первая из них – почтовый червь семейства Email-Worm.Win32.Iksmas, о котором пойдет речь ниже. Вторая программа – лжеантивирус семейства FraudTool.Win32.SpywareProtect2009, требующий деньги за удаление якобы найденных программ.

Лжеантивирусы

Конечно же, другие киберпреступники не могли упустить свой шанс нажиться на ажиотаже вокруг этого червя. В марте стали появляться различные лжеантивирусы (FraudTool) для «избавления» от Kido. Естественно, червь они не находят и не лечат, но за «работу» авторы требуют немалую сумму (например, один из подобных FraudTool’ов предлагает вылечить компьютер за $39,95). Настоятельно рекомендуем пользователям быть осторожными и не попадаться на эту удочку. И если у вас есть подозрения в том, что ваш компьютер заражен червем Kido, предлагаем воспользоваться бесплатными утилитами, выпущенными специалистами «Лаборатории Касперского».

Создатели FraudTool’ов с каждым месяцем становятся все изобретательнее. Например, авторы «System Security 2009» предлагают просканировать компьютер на наличие вредоносных программ прямо в окне браузера. А чтобы ввести в заблуждение неискушенного в вопросах безопасности пользователя, они воссоздают интерфейс Windows Explorer.

Iksmas

Другой интересный представитель киберфауны – червь Email-worm.Win32.Iksmas с функционалом кражи данных и рассылки спама, также проявлявший свою активность в течение всего квартала. Создатели червя активно используют методы социальной инженерии. В рассылаемых червем письмах, чтобы спровоцировать жертву перейти по ссылке в письме и в конечном итоге запустить вредоносный файл, каждый месяц эксплуатировалась какая-нибудь горячая тема. В январе темой таких сообщений была инаугурация 44-го президента США Барака Обамы; в феврале пользователи получали письма, приуроченные ко дню всех влюбленных, а затем «антикризисный спам». А в марте вирусописатели стали использовать данные о местоположении компьютеров получателей: в письмах, рассылаемых червем, задавался какой-либо интригующий вопрос, связанный с событиями, произошедшими в городе адресата, например «Не было ли Вас там в это время?» (Haven’t you been there at that time???) или «Это действительно произошло в Вашем городе?» (Did it really happen in your city???). Любопытным пользователям предлагалось пройти по ссылке и узнать подробности происшествия (рис. 1).

Рис. 1. Пример письма от почтового червя Email-worm.Win32.Iksmas

Ссылка в письме вела на поддельный сайт новостного агентства Reuters. В «новости» сообщалось, что в результате теракта в городе (вставлялось название города, в котором живет пользователь) погибло, по меньшей мере, 12 человек и ранено более 40 (рис. 2). Тут же предлагалось загрузить flash-плеер и просмотреть видео с места происшествия. Однако по ссылке скачивался не плеер, а червь Iksmas.

Рис. 2. Поддельные новости от червя

Virut

Нельзя обойти вниманием новую версию вируса Virut. Интересной особенностью Virus.Win32.Virut.ce является ее мишень — веб-серверы. Заслуживает упоминания и используемый механизм заражения: вирус не только инфицирует исполняемые файлы с расширениями .EXE и .SCR, но и дописывает специализированный код в конце файлов веб-документов заражаемого сервера с расширениями HTM, PHP, ASP в виде ссылки, например:

В результате при посещении зараженного легального ресурса на компьютеры ничего не подозревающих пользователей по добавленной вирусом ссылке загружается любой вредоносный контент, который подготовил злоумышленник. Помимо этого вирус распространяется в пиринговых сетях вместе с зараженными генераторами серийных ключей и дистрибутивами популярных программ. Целью заражения является объединение инфицированных компьютеров в IRC-ботнет, используемый для рассылки спама.

Psyb0t

Еще одним интересным ботнетостроителем, появившимся в первом квартале 2009 года, является Net-Worm.Linux.Psyb0t.a. Эта вредоносная программа примечательна тем, что атакует сетевое оборудование под управлением ОС Linux. Для захвата уязвимого домашнего маршрутизатора или DSL-модема, работающих на процессорах архитектуры MIPS, червь использует две технологии: организацию bruteforce-атаки, основанной на переборе по словарю популярных связок «логин–пароль», и эксплуатацию уязвимостей в ПО. С помощью небольшого словаря популярных логинов и паролей злоумышленники получили доступ к десяткам тысяч маршрутизаторов. Это говорит о том, что большинство пользователей либо никогда не меняли пароль по умолчанию, либо вводили очень простые пароли.

Червь может присоединяться к IRC-ботнету и получать команды от C&C. Основным функционалом бота является поиск и заражение уязвимых маршрутизаторов сети, проведение DDoS-атак, сбор логинов и паролей пользователей, выявление SQL-серверов со «слабыми» паролями. Под управлением автора зловреда оказалась зомби-сеть численностью порядка 80 тысяч машин.

Заражение именно сетевого оборудования в отличие от домашних компьютеров дает злоумышленникам некоторые преимущества. Во-первых, такие зомби доступны практически 24 часа в сутки, так как большая часть маршрутизаторов не выключается в течение весьма длительного времени. Во-вторых, риск обнаружения червя минимален, так как далеко не каждый пользователь сможет обнаружить присутствие червя у себя на маршрутизаторе. Рецепт защиты от подобных угроз – изменение логина и пароля по умолчанию, использование криптостойких паролей и обновление ПО.

Skimer

Еще одним троянцем не для персонального компьютера стал обнаруженный в марте Backdoor.Win32.Skimer.a. Это первая вредоносная программа, нацеленная на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может совершить ряд противоправных действий: снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат. Троянец, очевидно, написан человеком, хорошо знакомым с программным и аппаратным обеспечением банкоматов. Анализ кода троянца дает возможность предположить, что он ориентирован на банкоматы, установленные в России и на Украине, ведь он отслеживает транзакции в долларах США, российских рублях и украинских гривнах.

Возможны два пути попадания этого кода в банкоматы: прямой физический доступ к системе банкомата или доступ через внутреннюю сеть банка, к которой подключены банкоматы. Обычный антивирус вполне способен справиться с этим бэкдором, поэтому эксперты «Лаборатории Касперского» настоятельно рекомендовали всем банкам провести антивирусную проверку эксплуатируемых сетей банкоматов.

Детектируемые объекты в интернете (атаки через Web)

На протяжении длительного времени для киберкриминала Web продолжает оставаться самой популярной средой для распространения вредоносных программ. Большинство атак через Web осуществляется при помощи технологии drive-by-download.

При помощи Kaspersky Security Network мы можем осуществлять учет и анализ попыток заражения наших пользователей при работе в интернете.

Страны, на ресурсах которых размещены вредоносные программы

Интернет-ресуры, которые являются источниками вредоносных программ, есть практически в любой стране мира. Для размещения вредоносных объектов злоумышленники используют «серые» хостинги или взломанные легальные веб-ресурсы.

Более половины всех хостов, с которых распространялся вредоносный контент, находятся в пяти странах мира:

Таблица 1. Список стран, в которых зафиксировано наибольшее число вредоносных хостов

Китай в этом непочетном рейтинге по-прежнему занимает первое место, что не удивительно, учитывая, что китайские веб-ресурсы используются киберпреступниками из многих стран мира. По нашим оценкам, из этой страны по всем миру распространяется почти 40% всех вредоносных программ.

В первом квартале 2009 года в списке стран, в которых находится больше всего вредоносных веб-ресурсов, Россия оказалась на втором месте. Этот факт не вселяет оптимизма, поскольку в большинстве случаев риску заражения при посещении легальных взломанных веб-ресурсов в зоне .ru подвергаются прежде всего пользователи Рунета.

На третьем месте – США, где находятся 14,5% всех обнаруженных зараженных веб-ресурсов.

Таблица 2. Список стран, в которых зафиксировано наиболее число хостов, с которых ведется распространение PUPs-программ

Напомним, что потенциально нежелательные программы (Potentially Unwanted Programs, PUPs) — это программы, которые разрабатываются и распространяются легальными компаниями, однако имеют набор функций, которые позволяют злоумышленникам использовать их во вред пользователям. К PUPs «Лаборатория Касперского» относит программы классов AdWare, RiskWare и PornWare.

Любопытно, что TOP5 стран, из которых распространяются около 60% всех потенциально нежелательных программ, с одним исключением (Румыния вместо Италии) совпадает с TOP5 стран, из которых распространяются вредоносные программы.

Страны, в которых пользователи подверглись наибольшему риску заражения

Казалось бы, отсутствие в интернете границ должно размывать географию «зловредства» – ведь в Сети доступны веб-ресурсы, находящиеся в любой стране мира. Однако факты свидетельствуют о том, что риск угрозы заражения для пользователей разных регионов отличается.

Мы оценили среднее число уникальных вредоносных программ, которые при веб-серфинге пытались проникнуть на компьютеры пользователей разных стран, но были заблокированы антивирусным ПО. Если в течение квартала на один и тот же компьютер одна и та же вредоносная программа пыталась проникнуть несколько раз, то мы рассматривали это как один инцидент. Полученный таким образом результат приведен в таблице 3.

Таблица 3. Список стран, где пользователи подверглись максимальному риску заражения при веб-серфинге

Аналогичные данные для PUPs приведены ниже.

Таблица 4. Список стран, в которых максимален риск загрузки PUPs при веб-серфинге

Отметим, что в тройку лидеров неожиданно попали страны, ранее входившие в состав СССР. Именно для пользователей Украины, России и Казахстана максимальна вероятность загрузки на компьютеры PUPs (чаще всего Adware) в ходе веб-серфинга.

Наиболее популярные поведения вредоносных программ, распространяемых в Web

Наиболее популярны у злоумышленников вредоносные программы следующих поведений:

Таблица 5. TOP5 наиболее популярных вредоносных поведений

Чаще всего на компьютеры пользователей пытаются загрузиться вредоносные программы, относящиеся к поведению Trojan-Downloader. Использование даунлоадеров популярно у злоумышленников, поскольку позволяет им сначала устанавливать на компьютер жертвы небольшую программу, а затем с ее помощью загружать на зараженный компьютер из Сети любой необходимый им контент.

Популярным остается поведение Trojan – согласно классификации «Лаборатории Каспреского», к нему относятся в том числе вредоносные программы, которые обладают сразу несколькими функциями троянских программ — например, они способны загружать вредоносные файлы и собирать конфиденциальную информацию пользователя. Доля представителей данного поведения превышает 20%.

Еще одним популярным поведением является Exploit (12,15%). Именно эксплойты широко используются киберкриминалом для незаметного проникновения вредоносных программ на компьютеры пользователей.

Поведение Trojan-Clicker оказалось на четвертом месте в рейтинге благодаря активному использованию злоумышленниками IFrame’ов, которые детектируются в подавляющем большинстве как представители семейства Trojan-Clicker.HTML.IFrame.

Представители поведения Backdoor, которое заняло пятое место в рейтинге наиболее популярных поведений вредоносных программ в интернете, широко используются при построении зомби-сетей.

Такой же рейтинг, но для PUPs, приведен в таблице 6.

Таблица 6. TOP5 наиболее популярных PUPs-поведений

73,23% всех потенциально нежелательных программ приходятся на долю рекламного ПО (Adware).

Большой интерес представляет поведение FraudTool, которое заняло второе место в рейтинге. В число программ данного поведения входят быстро набирающие популярность лже-антивирусы. Такие фальшивые программы, как правило, имитируют активность антивирусного ПО, сообщают, что компьютер заражен множеством вредоносных программ и предлагают пользователю купить коммерческую версию «антивируса». Столь заметная доля фальшивок (15%) среди потенциально нежелательных программ не может не вызывать опасений. Обращаем особое внимание на то, что необходимо использовать только проверенное антивирусное ПО, благо сейчас есть из чего выбирать.

Фактически на первые два поведения приходится львиная доля всех потенциально нежелательных программ — почти 90%. Программы остальных поведений, попавших в TOP5, — WebToolbar, PSWTool и Monitor — составляют менее 7%.

Платформы

В первом квартале 2009 года «Лабораторией Касперского» на Web были зафиксированы вредоносные программы для 44 различных платформ. Наиболее популярные из них приведены в таблице 7.

Таблица 7.TOP5 наиболее популярных для вредоносных платформ

Среди обнаруживаемого KSN вредоносного контента, распространяющегося через интернет, по результатам первого квартала 2009 года популярность платформы JS превысила популярность Win32 и вышла на первое место. Лидирующую позицию платформе JS позволило занять активное использование злоумышленниками данной платформы для внедрения вредоносных программ поведения Trojan-Downloader прямо в HTML-страницы. Активация подобного вредоносного кода происходит в момент просмотра пользователем зараженной подобным образом веб-страницы на вредоносном ресурсе. Отметим, что пользователи, осуществляющие веб-серфинг с постоянно включенной поддержкой JavaScript, оказывают неоценимую помощь авторам вредоносных программ, значительно облегчая им поиск потенциальных жертв заражения. В настоящее время целесообразно включать поддержку JavaScript лишь для доверенных сайтов.

Еще одним популярным скриптовым языком для вредоносных программ остается VBS (VisualBasicScript), который, однако, смог занять лишь пятую строчку рейтинга. При путешествиях в Сети также целесообразно использовать поддержку VisualBasicScript только при посещении доверенных сайтов.

Популярность платформы HTML обусловлена в первую очередь популярностью семейства Trojan-Clicker.HTML.IFrame. Именно представители данного семейства вносят максимальную лепту для вхождения HTML-платформы в этот рейтинг.

Традиционно в рейтинг наиболее популярных платформ, попала SWF — благодаря частому использованию SWF-эксплойтов на веб-ресурсах.

Вредоносные программы в электронной почте

По числу распространяемых вредоносных программ электронная почта значительно уступает Web. Связано это, во-первых, с достаточным уровнем защищенности трафика на большинстве почтовых серверов, и, во-вторых, с отсутствием у киберкриминала желания сразу «засвечивать» свои творения в спам-рассылках, что позволяет антивирусной индустрии быстро реагировать на новую угрозу и приводит к снижению «выхлопа», говоря языком злоумышленников, от вредоносной программы. В наши дни гораздо эффективнее заражать пользователя в момент посещения им зараженных веб-ресурсов, что практически гарантированно приводит к загрузке вредоносной программы на машину жертвы без какого-либо участия со стороны последней. Более того, использование зараженных сайтов дает возможность внедрить на компьютер посетителя сразу несколько вредоносных программ.

Тем не менее, распространение вредоносных программ в электронной почте по-прежнему актуально.

Рассмотрим ситуацию с вредоносными программами в почтовом трафике. Наличие слова «вредоносной» здесь не случайно. Действительно, PUPs в почте практически не распространяются — их доля относительно общего числа детектируемых в E-mail объектов составляет незначительные доли процента.

Страны, в почтовом трафике которых больше всего вредоносных программ

В таблице 8 приведен TOP5 стран, в которых в первом квартале 2009 года отмечено максимальный уровень заражения электронных писем.

Таблица 8. Список стран, в почтовом трафике которых зафиксировано больше всего вредоносного контента

Согласно приведенным в таблице данным, уровень заражения почты довольно низок, что вполне ожидаемо, учитывая отсутствие в первом квартале 2009 года эпидемий почтовых червей и «громких» спам-рассылок.

В среднем процент зараженных писем в почтовом трафике в первом квартале 2009 года составил 0,42%, что говорит о падении интереса к этой среде со стороны киберкриминала.

Наиболее популярные поведения вредоносных объектов, распространяемых в почте

Популярность поведений вредоносных программ, распространяемых в электронной почте, в течение длительного времени практически не меняется (таблица 9).

Таблица 9. TOP5 популярных поведений вредоносных программ, распространяемых в почте

Абсолютно логично, что на первом месте по популярности находятся почтовые черви. Детализацию представителей этого поведения мы представим немного ниже (табл. 10).

По долевым показателям с почтовым червями сравнимы вредоносные программы поведения Trojan-Downloader. Их популярность в электронной почте обусловлена теми же причинами, что и популярность в Web, а именно эффективностью тактики, взятой киберкриминалом на вооружение, когда на первом этапе компьютер заражается даунлоадером, а затем на зараженную машину посредством даунлоадера загружается весь необходимый злоумышленнику контент.

Представители поведения Trojan-Dropper также «откусывают» значительную долю вредоносной составляющей почтового трафика. По выполняемым задачам они напоминают программы поведения Trojan-Downloader – доставляют на зараженные компьютеры другие вредоносные программы, набор которых определяется автором. Но в отличие от даунлоадеров дропперы не скачивают скрытно устанавливаемые вредоносные программы из Сети, а несут их «в себе». Такой подход в значительной мере увеличивает размер дроппера, что снижает популярность этого поведения.

Поведение Trojan-Clicker обязано своей популярностью в первую очередь представителям семейства Trojan-Clicker.HTML.IFrame, которые активно используются злоумышленниками в письмах в HTML-формате, рассылаемых пользователям.

Уязвимости также продолжают использоваться злоумышленниками для получения возможности выполнить вредоносный код на компьютере-жертве – на пятом месте в рейтинге популярных поведений вредоносных программ в почте оказались эксплойты.

Самые популярные вредоносные объекты, распространяемые в почте

Рассмотрим подробнее TOP 10 популярных в первом квартале 2009 года вредоносных объектов, распространяемых в электронной почте.

Таблица 10. TOP10 распространенных вредоносных программ

Выше мы говорили про популярность почтовых червей. Теперь можно видеть какие именно программы обеспечили первую строчку рейтинга для поведения Email-Worm. На первом месте ожидаемо находится программа NetSky.q, на долю которой на протяжении весьма длительного времени приходится немалая часть всех вредоносных программ, распространяемых в электронной почте. Помимо NetSky.q, в первую десятку попали еще четыре почтовых червя: два представителя семейства Mydoom (.l и .m) и два NetSky (.ghc и .аа). В этом списке нет новых червей – в нем оказались только старые и хорошо известные программы. К сожалению, у пользователей по-прежнему остается достаточно много зараженных почтовыми червями компьютеров, которые постоянно в автоматическом режиме рассылают по всему миру эти вредоносные программы.

Еще одним поведением, требующим объяснения, является Password-protected-EXE. Этот вердикт получают закрытые паролем самораспаковывающиеся архивы, которые содержат исполняемые файлы. Таким образом злоумышленники очень часто распространяют вредоносные программы, пытаясь с помощью запароленного архива скрыть их от антивируса. Пароль для таких архивов, как правило, указывается в теле письма.

Платформы

В первом квартале 2009 года «Лабораторией Касперского» в электронной почте были зафиксированы вредоносные программы для 18 различных платформ. Наиболее популярные из них приведены в таблице 11.

Таблица 11. TOP5 наиболее популярных платформ,
на которые ориентированы вредоносные объекты,
распространяемые в почте

Большинство вредоносных программ ориентированы на функционирование в среде Win32 – на их долю пришлось 81,61%. Это обусловлено распространенностью ОС Windows, именно она в первую очередь является мишенью криминала. HTML, на долю которой пришлось 11,71% вредоносных программ, распространяемых в почте, оказалась на втором месте во многом благодаря IFrame, которые широко используются для скрытой активации всевозможных вредоносных ссылок при просмотре писем. На Win32 и HTML ориентировано более 90% вредоносного контента.

Популярность скриптовых платформ JS и VBS среди программ, распространяемых в электронной почте, не так велика, как в Web, поскольку многие популярные почтовые клиенты не дают возможности исполняться скриптам в письмах.

Заключение

Наш прогноз относительно возвращений глобальных эпидемий в 2009 году, к сожалению, оказался верным. Kido и поставляемым с ним Iksmas были заражены миллионы компьютеров по всему миру. Очевидно, что киберпреступников становится все больше, а конкуренция между ними обостряется. При этом растет и количество жертв киберпреступлений.

Однако в целом злоумышленники не изобретают ничего принципиально нового и продолжают использовать для заражения компьютеров своих жертв известные тактики. Наблюдается тенденция роста популярности drive-by загрузок, об этом свидетельствует огромное количество детектируемых при серфинге по Сети Trojan-downloader’ов для платформ HTML и JS.

Важно отметить, что заражение MacOS и Linux, как мы и предполагали, остается лишь вопросом времени. Рост популярности этих платформ ведет к появлению вредоносных программ для них. Обнаруженный ботнет из маршрутизаторов, работающих под управлением Linux, тому пример.

Вообще в настоящее время практически все значимые зловреды ориентированы на создание ботнетов. Это неудивительно, поскольку большая часть киберкриминального бизнеса сейчас строится вокруг ботнетов — это и спам, и DDoS-атаки, и воровство информации, и FastFlux. Для борьбы с такой глобальной угрозой требуется объединение усилий всех борцов с киберпреступностью.

Рост числа новых вредоносных программ остается лавинообразным – за первый квартал 2009 года он составил 27,71%. Если линейный характер роста сохранится, за год число новых вреодносных программ вырастет более чем на 200%.

---

Вы также можете скачать текст отчета в формате .PDF [570 КБ]

— Развитие угроз в первом квартале 2009 года