Обзор вирусной активности за 2012 год.
Январь.
По итогам первого месяца 2010 года можно сказать, что тенденции в этом году остаются прежними.
Наиболее популярный вид распространения вредоносных программ все тот же - с помощью переносных носителей. Чаще всего зловреды скачиваются с помощью различных скриптовых загрузчиков, в большинстве своем использующих уязвимости в широко используемом ПО.
Вредоносные программы, обнаруженные на персональных компьютерах пользователей
Net-Worm.Win32.Kido.ir
Net-Worm.Win32.Kido.iq
Virus.Win32.Sality.aa
Net-Worm.Win32.Kido.ih
Worm.Win32.FlyStudio.cu
Trojan-Downloader.JS.Zapchast.m
Trojan-Downloader.JS.Small.oj
Trojan-Downloader.WMA.GetCodec.s
Trojan-Downloader.Win32.VB.eql
Virus.Win32.Virut.ce
not-a-virus:AdWare.Win32.Boran.z
Virus.Win32.Induc.a
Trojan.Win32.AutoRun.sj
Packed.Win32.Krap.l
Trojan.Win32.AutoRun.sl
Worm.Win32.Mabezat.b
Worm.Win32.AutoIt.tc
Trojan.Win32.AutoRun.ws
Trojan-Dropper.Win32.Flystud.yo
Packed.Win32.Black.a
В январе в этот рейтинг попали сразу 7 новых участников, что кардинально отличается от предыдущих месяцев. Например, на 6 и 7 месте находятся два скриптовых загрузчика, которые попали в этот рейтинг впервые, но уже появлялись в рейтинге вредоносных программ в интернете.
Среди новичков можно отметить сразу три модификации Trojan.Win32.Autorun - autorun.inf-файлы, с помощью которых в данном случае распространяются по переносным носителям печально известные P2P-Worm.Win32.Palevo и Trojan-GameThief.Win32.Magania (о некоторых представителях этих семейств можно подробнее узнать здесь: Palevo, Magania).
Скриптовый язык AutoIt, о котором мы уже неоднократно говорили, набирает популярность - в двадцатке появилось сразу два новых представителя вредоносных программ, созданных с помощью него, - это Packed.Win32.Krap.l и Worm.Win32.AutoIt.tc.
Вредоносные программы, обнаруженные на сайтах в интернете
Trojan.JS.Redirector.l
Trojan-Clicker.JS.Iframe.db
Trojan-Downloader.JS.Zapchast.m
Trojan.JS.Iframe.hw
Trojan-Downloader.HTML.IFrame.sz
Trojan-Downloader.JS.Agent.ewo
not-a-virus:AdWare.Win32.Boran.z
Trojan-Downloader.JS.Agent.exc
Trojan-Downloader.JS.Small.oj
Exploit.Win32.Pidief.cvl
Trojan.JS.Popupper.t
Trojan-Downloader.JS.Shadraem.a
Trojan-Clicker.JS.Iframe.dh
Packed.JS.Agent.bp
Trojan.JS.Fraud.s
Trojan.JS.Iframe.ez
Trojan-Downloader.JS.Pegel.c
Trojan.JS.Iframe.ef
Trojan-Downloader.JS.Twetti.a
Packed.Win32.Krap.ag
На 4 месте оказался новичок Trojan.JS.Iframe.hw, на 6 - Trojan-Downloader.JS.Agent.ewo и на 17 - Trojan-Downloader.JS.Pegel.c - однотипные скриптовые загрузчики, перенаправляющие пользователей на другие зловредные скрипты, эксплуатирующие уязвимости в распространенных программных продуктах.
Trojan.JS.Fraud.s, занявший 15-е место в рейтинге, - это очередная версия шаблонных страниц, с которых распространяются поддельные антивирусы.
Остальные новички являются различными скриптовыми загрузчиками вредоносных программ, заражающих компьютеры пользователей.
Источник: Лаборатория Касперского.
Июнь.
Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о самых распространенных интернет-угрозах, выявленных специалистами вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в мае 2010 года.
За последний месяц в российском рейтинге вредоносных программ резких изменений не произошло. В России в очередной раз подтверждается тенденция к уменьшению присутствия червя Conficker. При этом все более прочные позиции начинает занимать семейство вредоносных программ Win32/Spy.Ursnif, возглавившее двадцатку самых распространенных угроз в регионе с показателем в 7,05 %, что выше на 0,3% в сравнении с прошлым месяцем. Данное ПО используется для кражи учетных записей и другой персональной информации с зараженного компьютера.
На втором месте локального рейтинга уже не первый месяц прочно обосновалась угроза INF/Autorun, распространяющаяся на сменных носителях, с показателем проникновения в регионе 5,40%. Замыкает тройку лидеров модификация червя Conficker - Win32/Conficker.AA с показателем 5,09%. Общий процент проникновения данного семейства вредоносных программ в России за минувший месяц снизился на 0,81% и составил 11,31%.
«Несмотря на то, что в мае тройка самых распространенных угроз в нашем регионе осталась прежней, их процентное соотношение несколько изменилось, - отмечает Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET. - Не удивительно, что доля семейства Win32/Spy.Ursnif по-прежнему растет, поскольку период весна-лето - наиболее активное время для пользователей различных социальных сетей».
В мировом рейтинге угрозой номер один по-прежнему является Conficker, однако доля его присутствия также постепенно сокращается. В мае распространение червя составило 9,12%, что на 0,35% меньше, чем в прошлом месяце. Наиболее подвержены этому вредоносному ПО Ирландия (доля 15%), Украина (13,85%), Германия (11,81%) и Египет (11,53%).
Второе место мирового рейтинга совпадает с российской двадцаткой - INF/Autorun проник в 8,06% от числа зараженных компьютеров. Третьей по популярности угрозой мирового масштаба в этом месяце стали трояны-кейлоггеры Win32/PSW.OnLineGames, используемые хакерами для кражи учетных данных и доступа к аккаунтам игроков многопользовательских ролевых online-игр, таких как Lineage и World Of Warcraft. Уровень их распространения составил 4,29%.
«Относительно недавно мы наблюдали некоторый спад активности вредоносных программ Win32/PSW.OnLineGames, - добавляет Александр Матросов. – Однако теперь они снова на волне популярности. Что касается разновидностей червя Conficker, то их распространение предсказуемо снижается. И в дальнейшем эта тенденция будет продолжаться как на региональном уровне, так и во всем мире».
Двадцать самых распространенных угроз в России в мае 2010
|
7,05 % |
|
5,40% |
|
5,09% |
|
4,87% |
|
3,34% |
|
1,99% |
|
1,78% |
|
1,74% |
|
1,68% |
|
1,23% |
|
1,06% |
|
1,02% |
|
1,01% |
|
0,93% |
|
0,88% |
|
0,80% |
|
0,79% |
|
0,76% |
|
0,72% |
|
0,71% |
Десять самых распространенных угроз в мире в мае 2010
|
9,12% |
|
8,06% |
|
4,29% |
|
3,25% |
|
1,61% |
|
1,36% |
|
1,05% |
|
0,94% |
|
0,83% |
|
0,80% |
Статистика угроз получена с помощью ThreatSense.Net – глобального сервиса, обеспечивающего автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа и принятия оперативного решения.
II квартал 2010 - более полумиллиарда попыток заражений
Август.
За этот период защитные продукты компании предотвратили более 540 миллионов попыток заражения компьютеров пользователей в различных странах мира. Больше всего атак пришлось на пользователей в Китае (17,09%), России (11,36%), Индии (9,30%), США (5,96%) и Вьетнаме (5,44%).
Использование уязвимостей в популярных программах и сервисах является одним из наиболее распространенных способов заражения. Эксплуатация уязвимостей происходит с помощью специальных кодов, автоматизирующих работу хакера — эксплойтов. Во втором квартале было обнаружено восемь с половиной миллионов этих вредоносных программ. Большая часть из них использовала уязвимости в программе Adobe Reader.
За весь отчетный период аналитики «Лаборатории Касперского» обнаружили на компьютерах пользователей более 33 миллионов уязвимых приложений и файлов. В каждом четвертом случае на компьютере присутствовало более семи незакрытых уязвимостей.
Киберпреступники внимательно следят за появлением информации об уязвимостях и, стараясь опередить разработчиков защитных «заплаток», начинают использовать программные бреши до выпуска патчей. «С одной стороны, раскрытие уязвимости ведет к тому, что производители ПО стараются быстрее закрыть ее. С другой — у злоумышленников в руках оказывается оружие, которое действует практически со стопроцентной эффективностью», — отмечается в отчете.
Так, уже через несколько дней после появления информации о возможности запускать исполняемые файлы, вшитые в PDF-документы, хакеры наводнили почтовые ящики пользователей письмами со специально сформированным PDF-документом. Стоило открыть его, как компьютер без должной антивирусной защиты заражался вредоносным ботом и попадал в зомби-армию.
Популярность социальных сетей также не дает покоя киребпреступникам, мотивируя их на создание все новых методов мошенничества. Например, новый вид атак в Facebook — Likejacking — был отмечен с появлением у пользователей соцсети функции «Like», предназначенной для создания списков понравившихся объектов.
Переходя по привлекательной гиперссылке, пользователь попадал на страницу со сценарием JavaScript, который при любом клике активировал кнопку «Like» и отправлял ссылку на данный ресурс во френдленты его друзей. Таким нехитрым способом посещаемость сайта выросла как снежный ком.
Еще одним нововведением второго квартала стала возможность создания и управления сетью ботов через Twitter-аккаунт. Хакеры публиковали команды ботнету в виде текста на странице учетной записи, однако администраторы Twitter оперативно обнаружили проблему и заблокировали все вредоносные аккаунты.
Источник: Лаборатория Касперского.
Сентябрь.
PandaLabs опубликовала отчет о вирусной активности за третий квартал 2010 года. В центре внимания вновь оказались Трояны.
Если раньше чаще всего инфицирование происходило через электронную почту, то в третьем квартале 2010 этот способ уступил место более современным техникам. Теперь кибер-мошенники похищают персональные данные с помощью социальных сетей и поддельных сайтов (Black Hat SEO-атак), а также преступники используют уязвимости "нулевого" дня.
По результатам исследования выяснилось, что 55% новых угроз, созданных за прошедший квартал, - это Трояны, в основном, банковские Трояны. Это ещё раз подтверждает общую тенденцию роста данного типа угроз, которую мы наблюдаем в течение последних двух лет.
В рейтинге стран и регионов, наиболее подверженных угрозе инфицирования, лидирует Тайвань. За ним следуют Россия, Бразилия, Аргентина, Польша и Испания.
Что касается спама, то в третьем квартале 2010 года нежелательная почта составила 95% всей электронной почты. 50% всего спама было отправлено всего из десяти стран, больше всего из Индии, Бразилии и России. Впервые из десятки лидеров среди стран-спамеров пропало Соединённое Королевство Великобритании и Северной Ирландии.
Также в очередном отчете отмечается активное развитие новых каналов распространения угроз. Наиболее популярные методы:
- "Похищение клика" (clickjacking). Например, хакеры стали использовать кнопку "Like" в Facebook, при нажатии на которую жертвы автоматически перенаправляются на вредоносный сайт.
- Black Hat SEO-атаки. Ссылки на поддельные сайты располагаются на первых строчках результатов поиска. Жертвы переходят по ним, вводят свои логины и пароли, а хакеры похищают эти персональные данные.
- Использование уязвимостей "нулевого" дня.
Наиболее яркие события третьего квартала:
За прошедший квартал произошло множество сбоев в системах безопасности. Можно даже сказать, что ситуация была близка к эпидемии. Вспомним, например, вирус "Здесь у вас…" (Here you Have), который повлек за собой очень неприятные и масштабные последствия.
Также большой резонанс вызвали уязвимости "нулевого" дня, проявившиеся в операционных системах Microsoft. Еще одним ярким событием 3-его квартала стал арест автора набора вредоносных кодов "Бабочка" (Butterfly), с помощью которого были заражены 13 миллионов ПК по всему миру.
И, наконец, появился червь, созданный специально для Twitter, который получил название "Радужный" (Rainbow). Хакеры нашли и использовали уязвимость в Twitter, что привело к нескольким последствиям:
- пользователи автоматически перенаправлялись на другие сайты;
- JavaScript публиковался на странице пользователя без его ведома, благодаря чему продолжал свое распространение.
К счастью, команда Twitter смогла решить данную проблему всего за несколько часов.
Тенденции
Специалисты PandaLabs также сообщают о появлении угроз для смартфонов, для популярной операционной системы Google – Android. Уже было создано два приложения специально для этой платформы:
- FakePlayer (поддельное воспроизведение). Это приложение под видом проигрывания видеофайлов рассылает SMS-сообщения, что приводит к огромным и неожиданным для владельца счетам за телефон.
- TapSnake. Приложение выглядит как игра, а на самом деле автоматически отправляет координаты местонахождения телефона (а также его владельца) шпионским компаниям.
Также появляются легальные приложения для Android с самовоспроизводящимися файлами, которые хакеры используют в качестве приманки для распространения вирусов.
Теги: Panda антивирус, вредоносное ПО, троян