Развитие вредоносных программ в 2005 году

В данном отчете отражены самые значительные события прошедшего года, рассмотрены тенденции развития криминального рынка программного обеспечения, выполнен анализ сложившейся ситуации. Отчет содержит большое количество статистической информации и фактов.

В первую очередь он предназначен для профессионалов в области компьютерной безопасности, интересующихся вредоносными программами, но также может быть полезен всем пользователям, которые интересуются проблемами вирусологии.

• TrojWare — троянские программы
• VirWare — черви и вирусы
• MalWare — другие вредоносные программы
• Сопутствующие тенденции
  • Интернет-банкинг
  • Освоение новых платформ и создание мультиплатформенного вредоносного ПО
  • AdWare
• Заключение

Прошедший 2005 год принес с собой ощутимые изменения в мире вредоносного программного обеспечения (ПО). Количество детектируемых нами вредоносных программ выросло на конец года в среднем до 6368 экземпляров в месяц. Рост по итогам года составил 117%, что превышает прошлогодние показатели на 24% и отчетливо свидетельствует об увеличивающихся темпах роста рынка вредоносного ПО.

Согласно классификации «Лаборатории Касперского» существует три типа классов вредоносных программ:

• TrojWare: различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
• VirWare: саморазмножающиеся вредоносные программы (вирусы и черви);
• MalWare: программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.

Популярность вредоносных программ, обнаруженных нашими аналитиками, распределена следующим образом (рис. 1):

Рис. 1. Распределение вредоносных программ по классам на конец 2005 года.

Популярность классов изменилась по сравнению с 2004 годом следующим образом (таб. 1):

Из приведенных в таблице данных отчетливо прослеживается увеличивающийся интерес к TrojWare, что является продолжением тенденции предыдущего, 2004, года. Рост интереса к TrojWare происходит на фоне потери интереса к представителям двух других вредоносных классов: VirWare и MalWare, которые также продолжают тенденцию 2004 года.

Сложившаяся ситуация легко объясняется экономической целесообразностью: разработка троянских программ дешевле и быстрее разработки саморазмножающихся аналогов. Более того, спам-рассылка гораздо быстрее охватывает новых пользователей, чем самостоятельно распространяющийся почтовый червь.

Рассмотрим подробнее изменения, произошедшие в каждом из классов.

TrojWare — троянские программы

Если количество ежемесячно обнаруживаемых аналитиками KL троянских программ представить в виде графика, то он примет следующий вид (рис. 2):

Рис. 2. Развитие TrojWare.

Из графика видно, что интенсивный рост числа ежемесячно перехватываемых троянских программ, начавшийся в начале 2004 года, продолжился в течение всего 2005 года. Более того, темпы роста постоянно увеличиваются, и на конец года он составил 124% по отношению к 2004 году. То есть за 2005 год количество TrojWare-программ более чем удвоилось.

Распределение троянцев по популярности можно представить в виде круговой диаграммы, приведенной на рисунке 3:

Рис. 3. Распределение вредоносных программ класса TrojWare на конец 2005 года.

Чтобы понять, как развивается каждое из TrojWare-поведений, обратимся к данным из таблицы 2. Приведенные цифры отражают то, как за прошедший 2005 год изменилось по отношению к 2004 году количество обнаруженных троянских программ. Символом «-» отмечены поведения, появление представителей которых носит единичный характер и произошедшие изменения не выходят за границы статистической погрешности.

Рассмотрим подробнее приведенные данные. Большинство троянских поведений уже не первый год показывает устойчивый рост.

Как было отмечено выше, представители Trojan-AOL, Trojan-ArcBomb, Trojan-DDoS, Trojan-IM и Trojan-Notifier появляются довольно редко, их количество так и осталось на уровне нескольких образцов в месяц на всем протяжении 2005 года.

Не теряют популярности представители поведений Backdoor, Trojan-Downloader, Trojan-Dropper и Trojan-Proxy, которые используются злоумышленниками при построении бот-сетей зараженных компьютеров. Про бот-сети стоит сказать отдельно: это большое количество зараженных компьютеров, объединенных в единую сеть с единым центром управления. Поведение всей бот-сети определяется злоумышленником — владельцем этой сети. Чаще всего подобные сети зомби-машин используются для рассылки спама и DDoS-атак на компьютеры, указанные злоумышленником. В последнее время подобные бот-сети стали очень популярны в киберкриминальном мире, что объясняет и рост популярности указанных четырех поведений: они чаще других участвуют в построении и поддержании в актуальном состоянии сетей зараженных машин. Для распространения рассматриваемых троянских программ все чаще используются спам-рассылки.

Наблюдается рост интереса к Trojan-PSW и Trojan-Spy, что также отражает тенденции развития рынка криминального ПО: действия киберхулиганов имеют очевидную финансовую мотивацию. Чаще всего с зараженного компьютера воруют информацию финансового характера. Злоумышленники не брезгуют и любой другой виртуальной собственностью пользователя с целью дальнейшей перепродажи как самой жертве, так и на черном рынке виртуальной собственности. Нашими аналитиками отмечено появление Trojan-Spy, который собирал информацию сразу о нескольких сотнях (!) банковских и платежных систем, что лишний раз свидетельствует о растущих аппетитах криминала.

Trojan-Clicker в большинстве своем используются для накручивания счетчиков посещений определенных злоумышленником сайтов. Темпы роста их числа ниже темпов роста по классу в целом, что говорит о постепенном смещении внимания от них к более «прибыльным» вредоносным программам.

Trojan являются, несомненно, одними из старейших представителей TrojWare и включают все троянские программы, которые по тем или иным причинам не попали ни в одно из рассмотренных выше поведений. Рост числа представителей данного поведения также ниже роста по классу в целом, но все еще остается на высоком уровне.

Rootkit, пожалуй, — самые молодые в данном классе (интерес к этому поведению стал проявляться 2-3 года назад), но уже успели привлечь к себе пристальное внимание. В последнее время «Лаборатория Касперского» отмечает увеличивающийся рост интереса к этому поведению — 413% по итогам 2005 года. Но справедливости ради стоит отметить, что цифра 413% имеет такой внушительный вид лишь по той причине, что в прошлом году появление rootkit носило единичный характер — в среднем 6 штук в месяц. В этом году их число составило в среднем уже 32 новых rootkit в месяц, что отчетливо свидетельствует об установившемся устойчивом интересе криминального сообщества к этому поведению. Отметим, что rootkit в чистом виде не выполняет никаких вредоносных действий, но эти программы интенсивно применяются злоумышленниками для сокрытия присутствия в системе других вредоносных программ.

Особо стоит отметить тот факт, что у большинства поведений рассматриваемого класса темпы роста увеличиваются по отношению к 2004 году. Это единственный класс, внимание к которому растет такими высокими темпами.

VirWare — черви и вирусы

Представим в виде графика количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых VirWare-программ. В этом случае график примет вид, представленный на рисунке 4.

Рис. 4. Развитие VirWare.

Популярность VirWare-поведений можно представить в виде круговой диаграммы, приведенной на рисунке 5:

Рис. 5. Распределение вредоносных программ класса VirWare на конец 2005 года.

Из приведенного на рисунке 4 графика видно, что стагнация по данному классу в целом, наметившаяся в прошлом году, в 2005 году лишь стала более очевидной. На фоне роста общего числа вредоносных программ по данному классу наблюдается падение на 2%. Более того, сравнительная стагнация по классу в целом сохраняется лишь благодаря росту по отдельным поведениям червей, по остальным же наблюдается явный спад. Подробнее это отражено в таблице 3. (Заметим, что потеря интереса ко многим представителям VirWare произошла в пользу TrojWare.)

Почтовые черви показывают незначительный рост лишь за счет активности авторов червя Bagle, вредоносные программы от которых детектируются в основном «по привычке» как Email-Worm, хотя чаще всего они являются троянскими программами, направленными на поддержание бот-сети в актуальном состоянии. Если бы не активность одной-двух преступных групп, то это поведение однозначно показало бы спад по результатам 2005 года. Более того, даже если рассматривать существующую цифру в +2%, то она значительно меньше темпов роста всех вредоносных программ в целом, что подтверждает наметившуюся ранее тенденцию потери интереса к почтовым червям в пользу троянских программ, стоимость разработки которых гораздо ниже, при этом спам-рассылка позволяет оперативно доставлять их пользователям.

IM-червям достаточно внимания стали уделять только начиная с середины прошлого года, хотя появились они в 2001 году. На конец 2005 года количество новых экземпляров IM-Worm отмечалось уже на уровне 32 шт. в месяц, что однозначно свидетельствует о возрастающем интересе к ним, хотя пока и не столь значительном.

IRC-Worm в течение 2005 года продолжили уход с арены вредоносного ПО и практически выродились в Backdoor. Появление новых представителей данного поведения носит единичный характер.

Net-Worm за прошедший год вдвое увеличили темпы роста: 43% в 2005 году против 21% в 2004 году. Это происходит как благодаря появлению новых эксплойтов (например, MS05-39, на базе которого был написан червь, вызвавший глобальную эпидемию), так и благодаря особенности этого поведения, которая исключает человека как звено в распространении вредоносной программы (нет необходимости ждать, пока пользователь двойным щелчком запустит червя), что значительно увеличивает скорость самораспространения сетевых червей.

P2P-Worm продолжают тенденцию 2004 года, утрачивая свои позиции, что легко объясняется кампаниями, развернутыми против файлообменных сетей.

Worm также продолжают тенденцию, начатую еще в прошлом году. И это единственное поведение среди всего многообразия VirWare, которое никак не изменило темпов роста (они остались на уровне -2%, что не выходит за рамки статистической погрешности и говорит об определенно установившейся стагнации).

Теперь обратим внимание на самых старых представителей компьютерного андерграунда — классические вирусы. В течение прошедшего года их количество в месяц стало сокращаться менее интенсивно: -45% в 2005 году против -54% в 2004 году. Это вполне объяснимо, так как вирусы с точки зрения разработки без сомнения можно назвать самыми трудоемкими вредоносными программами. Более того, скорость распространения классических вирусов несоизмерима со скоростью заражения компьютеров пользователей посредством спам-рассылки.

Итак, спад по одним поведениям в пределах данного класса компенсировался ростом по другим поведениям, что привело к незначительному спаду в -2% по классу в целом.

MalWare — другие вредоносные программы

Данный класс является самым малораспространенным по количеству обнаруживаемых вредоносных программ, но самым многочисленным по количеству поведений. По результатам года он показывает незначительный рост, но темпы роста в целом по классу меньше темпов роста всех обнаруживаемых «Лабораторией Касперского» вредоносных программ, что отражает график, приведенный на рисунке 6.

Рис. 6. Развитие MalWare.

Популярность представителей MalWare можно представить в виде круговой диаграммы, приведенной на рисунке 7:

Рис. 7. Распределение вредоносных программ класса MalWare на конец 2005 года.

Из всего многообразия поведений, входящих в состав данного класса, внимания заслуживают лишь пять представителей. Вредоносные программы, которые относятся к другим поведениям, появляются довольно редко, и по этой причине нельзя говорить об каком-либо серьезном их развитии. Рассмотрим данные, приведенные в таблице 4.

Exploit, конечно же, показывают самые высокие темпы роста среди MalWare. Постоянно обнаруживаемые новые уязвимости закрепили за эксплоитами безусловное лидерство в рассматриваемом классе. И нет никаких оснований полагать, что в ближайшее время ситуация изменится: это поведение без труда удержит пальму первенства по количеству новых представителей.

HackTool используются при проведении всевозможных атак. Рост в +33% хотя и меньше роста по классу в целом, но все же ясно говорит о возрастающем интересе к HackTool со стороны злоумышленников.

Constructor применяются для создания новых модификаций какой-либо вредоносной программы и отмечены весьма незначительным ростом.

Flooders (IM-Flooders, Email-Flooder, SMS-Flooder и т.д.) применяются злоумышленником для массовой рассылки произвольной информации. Количество представителей этого поведения отмечено ростом в +20%.

Представители SpamTool предназначены для сбора адресов электронной почты на зараженных компьютерах и передачи их злоумышленнику с целью дальнейшего использования в спам-рассылках. Аналитиками «Лаборатории Касперского» отмечается хотя и минимальный, но уже стабильный интерес к этому поведению.

В целом 2005 год для MalWare нельзя назвать удачным, так как рост количества его представителей в месяц заметно ниже роста по всему вредоносному ПО в целом. В течение всего года представители MalWare плавно теряли популярность на фоне столь же плавного роста популярности TrojWare.

Сопутствующие тенденции

Интернет-банкинг

Нельзя не упомянуть об увеличении темпов роста троянских программ для кражи банковской информации. Эта информация нужна для последующего доступа к службам интернет-банкинга с целью снятия денежных средств со счетов пользователей.

Темпы роста данной категории вредоносных программ самые высокие среди всего вредоносного ПО и на конец 2005 года составляют 402% (!). Более того, отмечены пробные попытки создания своеобразных аналогов бот-сетей: сначала распространяется программа для установки всевозможных Trojan-Spy.Win32.Banker, а далее злоумышленник может конфигурировать свою бот-сеть для кражи информации любой банковской системы.

Освоение новых платформ и создание мультиплатформенного вредоносного ПО

Интересным фактом является и растущий интерес киберхулиганов к другим платформам, а также продолжающиеся попытки создать мультиплатформенные вредоносные программы. В прошедшем 2005 году нашими аналитиками отмечено появление вредоносных программ для нескольких новых платформ, среди которых можно выделить платформы PSP (Trojan.PSP.Brick.a) и Nintendo (Trojan.NDS.Taihen.a). Сам факт написания концептов для подобных платформ лишний раз подтверждает то, что криминальное киберсообщество находится в постоянном поиске новых платформ, которые откроют новые пути к незаконному обогащению.

Нельзя не отметить ряд интересных вредоносных программ. Worm.SymbOS.Comwar.a — первый червь для мобильных устройств на базе операционной системы Symbian, который освоил новую среду распространения, а именно MMS, выйдя из ограничений, налагаемых протоколом Bluetooth (этот протокол позволял распространяться программе только в пределах 10 метров)

Еще одним интересным фактом в 2005 году стало появление троянской программы Trojan.SymbOS.Cardtrap.a, представляющей собой обычный SIS-файл, который при запуске сохраняет из своего тела на флеш-носитель вредоносные программы для Win32-платформы. И хотя сохраненные из тела Trojan.SymbOS.Cardtrap.a Win32-программы не могут автоматически запуститься на персональных компьютерах из-за некоторых особенностей ОС, предпринимаемые попытки создания мультиплатформенных вирусов не могут не вызывать опасений.

Стоит сказать несколько слов о UNIX, так как рост популярности этой ОС сопровождается ростом количества вредоносных программ для нее. Если в 2004 году в среднем мы отмечали появление новых вредоносных программ для этой платформы на уровне 22 шт./мес., то в 2005 году эта величина составила 31 шт./мес. На конец 2005 года рост относительно 2004 года составил 45%.

AdWare

Перенесем свое внимание на представителей AdWare, рост которых по итогам 2005 года составил 63% относительно 2004 года. Это значительно меньше того рывка, который совершили AdWare в 2004 году, что заставляет нас говорить о приближающейся стагнации в этой категории. Как мы писали ранее, представители этого класса все чаще переходят ту нечеткую границу, которая отделяет вредоносные программы от невредоносных. Это подтверждается также тем фактом, что все чаще встречаются AdWare, которые используют откровенно вирусные технологии в своей работе.

Все чаще представителей этого класса антивирусные компании детектируют как программное обеспечение криминального характера. Более того, все чаще отмечаются судебные процессы с участием компаний — разработчиков AdWare-программ.

Заключение

2005 год принес заметные перемены в мир компьютерной вирусологии. Приведенные нами данные наглядно демонстрируют изменения в составе вредоносных программ.

Стоит еще раз отметить, что за прошлый год существенно выросло число троянских программ всех типов. Мы неоднократно писали ранее, что компьютерный андеграунд все более криминализуется, его внимание все чаще фокусируется на получении доступа и последующем использовании конфиденциальной информации с целью собственной выгоды. Выгода может заключаться не только в финансовой прибыли, но и в использовании системных ресурсов других компьютеров, воровстве секретной информации или эккаунтов онлайновых игр. Троянские программы являются инструментом, который злоумышленники используют для достижения этих целей.

Рост числа троянских программ на фоне стагнации числа сетевых червей также подчеркивает тот факт, что вирусописатели все чаще отказываются от трудоемкой разработки новых червей в пользу однократных массированных спам-рассылок троянских программ.

Кроме того, в 2005 году продолжилось освоение вредоносными программами новых платформ (троянцы для игровых консолей) и дальнейшее развитие их функционала на некоторых старых (более сложные черви и троянцы для Symbian OS).

Отмеченные нами в 2005 году тенденции неизбежно скажутся на событиях наступившего года. В свою очередь, влияние на развитие вредоносных программ в 2006 году окажут также новые технологии и платформы.