Вирусные итоги 2005 года в цифрах и фактах от «Лаборатории Касперского»


Если в прошлом году Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», открыл итоговую конференцию словами «Ничего хорошего я вам сегодня не скажу», то в этом — его вступительная фраза была еще более обескураживающей: «Коротко говоря, раньше было плохо, сейчас стало совсем плохо».



Евгений Касперский

Хотите подробностей? Пожалуйста! Ведущие специалисты «Лаборатории Касперского» представили детальный анализ ситуации, экспертную оценку тенденций и, разумеется, прогнозы. Этой информацией мы и спешим поделиться с вами.

Общие итоги

Вирусный аналитик «Лаборатории Касперского» Юрий Машевский сообщил, что в 2005 году было зафиксировано 14 крупных вирусных эпидемий. Это число втрое (!) меньше показателя прошлого года (46 эпидемий). Данное явление в определенной мере связано как с увеличением расторопности антивирусных компаний по обновлению антивирусных баз данных в самом начале распространения вредоносных программ, так и с повышением бдительности и сознательности пользователей.

Но основной причиной снижения количества глобальных эпидемий является переход вирусописателей от масштабных действий к гораздо менее заметным, так называемым локальным атакам. Это связано с тем, что в течение 2005 года на фоне активизации правоохранительных органов во всем мире изменилась политика авторов вредоносных программ: продолжающаяся криминализация интернета сделала невыгодной крупные эпидемии.

Сейчас уже с уверенностью можно говорить, что подавляющее большинство вредоносных программ (более 75%) разрабатывается ради наживы. Если говорить о краже финансовой информации (например, данных доступа к персональным банковским счетам), то для этих целей глобальные эпидемии не нужны, так как для обработки объемного массива данных, полученного с большого числа зараженных компьютеров, требуется слишком много людей, что ведет к повышению опасности для преступников. При этом, совершая целевые атаки на конкретные компании или группы пользователей, злоумышленники стараются действовать незаметно и в течение не очень продолжительного времени. В связи с этим снижается и прямой ущерб ИТ-инфраструктурам компаний, который по данным, представленным Computer Economics, оценивался в 2005 году на уровне 14 млрд. долл. (в 2004 году на восстановление ИТ-инфраструктур компаний, по данным того же источника, было затрачено около 18 млрд. долл.).



Крупнейшие вирусные эпидемии

В 2005 году были выявлены четыре крупные вирусные эпидемии. Это модификации почтового червя Bagle с индексами .ах и .ау (январь), сетевой вирус-червь Mytob.c (март) и две модификации почтового червя Sober — Sober.p (май) и Sober.y (ноябрь).

Спустя год после обнаружения первого экземпляра Bagle новые варианты червя продолжают терроризировать мир. Bagle.ax и Bagle.ay появились практически одновременно. «Лаборатория Касперского» зафиксировала в конце января массовые спам-рассылки данных вредоносных программ. Юрий Машевский подчеркнул, что эпидемию не удалось своевременно остановить или замедлить, так как для размножения они использовали процедуру, имеющую ряд особенностей по сравнению с другими почтовыми червями. Они сканировали файловую систему пораженного компьютера и рассылали себя по всем найденным адресам электронной почты, за исключением адресов, принадлежащих крупным разработчикам антивирусного и прочих видов программного обеспечения. Этим объяснялось малое количество образцов червей, полученное антивирусными компаниями. Помимо этого, для увеличения интенсивности распространения Bagle.ay осуществлял поиск каталогов, содержащих строку «shar». Если такие каталоги были найдены, то в них червь выкладывал свое тело в файлы с названиями, схожими с наименованиями популярных приложений и утилит. Таким образом количество каналов распространения вредоносного кода было существенно увеличено.



Юрий Машевский

В марте 2005 года была зафиксирована эпидемия сетевого червя Mytob.c — самого опасного из всех обнаруженных вариантов данного семейства. Он распространялся через интернет в виде вложений в зараженные электронные письма, рассылая себя по всем найденным на зараженном компьютере адресам электронной почты, а также использовал для своего распространения уязвимость в сервисе LSASS Microsoft Windows.

Этот червь был основан на исходных кодах печально известного лидера 2004 года — червя Mydoom. В течение трех недель Mytob.c лидировал по показателям активности, занимая около 30% всего вирусного трафика в электронной почте. Так же как и Bagle.ax и Bagle.ay, он исключал из рассылки своих копий адреса, принадлежащие крупным разработчикам антивирусного и прочих видов программного обеспечения. Помимо процедур самораспространения, значительную опасность представляла содержащаяся в этой вредоносной программе bot-компонента, позволяющая злоумышленнику управлять зараженным компьютером через IRC-каналы и получать полный доступ к хранящейся на нем информации.

Стоит заметить, что в целом семейство червей Mytob стало самым массовым и распространенным из всех появившихся в 2005 году. Представители Mytob, всего более 120 вариантов, в течение всего года составляли более половины от общего числа вредоносных программ, обнаруженных в почтовом трафике.

Семейство Sober известно благодаря своим сложным алгоритмам размножения и совершения вредоносных действий. В рейтинг «Лаборатории Касперского» попали две модификации этого червя — .р и .у.

Эпидемия почтового черви Sober.p была зафиксирована в мае 2005 года. Он побил все возможные рекорды своих «предшественников» — других почтовых червей — по количеству рассылаемых писем и скорости распространения в западноевропейском сегменте интернета (Голландия, Германия, Венгрия и другие страны), тогда как от азиатских и российских пользователей поступало минимум жалоб на заражение данной версией червя Sober. В данном черве был применен способ рассылки писем от лица правоохранительных органов (ФБР). За короткое время этот червь стал наиболее часто встречающейся вредоносной программой в почтовом трафике.

В ноябре был обнаружен другой вариант этого почтового червя — Sober.у. Активно размножаться он начал только через некоторое время после обнаружения. Причина кроется в очередном сложном алгоритме размножения, для работы которого требуется участие других вредоносных программ того же семейства. Интересной особенностью эпидемии Sober.y можно считать фактическое ее отсутствие на территории России. Подобное уже случалось ранее, когда большинство сообщений о заражениях представителями данного семейства почтовых червей приходило с территории Германии.

Другие вирусные эпидемии года

Рассказав о вирусных «мастодонтах» ушедшего года, г-н Машевский перешел к описанию других, менее разрушительных и заметных эпидемий, бушевавших в 2005-м.

Так, он отметил, что на январь пришелся пик активности PHP-червей Santy, Asan и аналогичных им. Черви использовали поисковые системы Google и MSN для поиска уязвимых для атаки сайтов и заражали их через массовые уязвимости в популярных PHP-движках.

В феврале было зафиксировано несколько заметных эпидемий IM-червей. Это относительно новый класс вирусов, распространяющихся через популярные системы мгновенного обмена сообщениями (AOL, MSN, ICQ) быстро стал одной из главных проблем информационной безопасности.

Март ознаменовался тем, что более 10 вариантов червя Bagle были выпущены в сеть в течение одного дня.

В апреле-мае десятки новых вариантов Mytob главенствовали в почтовом трафике и представляли собой главную угрозу.

На июнь пришлась эпидемия троянской программы Gpcode, охватившая Россию и страны бывшего СССР. Троянец шифровал пользовательские файлы, а его автор вымогал у пострадавших деньги за восстановление данных.

Обнаружение уязвимости в службе Plug'n'Play привело к множеству локальных эпидемий в августе в результате действия червей, ее использовавших. В числе пострадавших — телекомпании ABC, CNN, газета New York Times.

В декабре дала о себе знать очередная критическая уязвимость в Windows, на этот раз — в обработке файлов формата WMF. В течение недели вирусными аналитиками было обнаружено более 1000 различных вариантов эксплойта и троянских программ, основанных на данной уязвимости. Компании Microsoft потребовалось 10 дней для выпуска патча.



Вирусный хит-парад 2005 года

В течение всего года в почтовом трафике превалировали исключительно черви (как почтовые, так и сетевые). В основном это были представители «старых» вирусных семейств, такие как Bagle, NetSky, Sober, Zafi, Mydoom. Однако несомненным лидером были черви Mytob, появившиеся в 2005 году.

Следующими по распространенности оказались различные троянские программы, в основном относящиеся к классам Trojan-Downloader, Trojan-Spy, а также многочисленные фишинговые атаки, которые в 2005 году вышли на пик своей активности. Традиционные вирусы и макровирусы практически полностью исчезли из статистики «Лаборатории Касперского».



В первой половине двадцатки самых распространенных вредоносных программ в почтовом трафике в 2005 году оказалось пять новых представителей, а во второй — восемь.



(первая колонка — позиция в рейтинге по сравнению с 2004 годом)

Тенденции года

«Обстановку в современной сети интернет иначе как «криминогенной» назвать нельзя», — заявляет Евгений Касперский. Десятки (если не сотни) хакерских группировок и хакеров-одиночек постоянно терроризируют всех интернет-пользователей вирусными и троянскими атаками, преследуя корыстный интерес.

Окончательно сформировалась тенденция к более изощренным способам зарабатывания денег на пользователях. Вирусописатели активно включились в создание рекламных программ (Adware), используя для этого весь имеющийся опыт вирусной индустрии. Произошел переход от практики грубых глобальных атак (DoS-атаки, эпидемии червей) к точечным ударам, адресованным конкретным организациям и группам пользователей. На этом фоне становится все более популярным и применение rootkit-технологий для сокрытия присутствия вредоносного ПО.

Еще одна печальная тенденция — появление случаев вымогательства, когда пользователю предлагают приобрести пароль к его файлам, зашифрованным вредоносной программой. Шантаж подобного рода имел успех, а значит можно ждать появления похожих угроз и в будущем.

В течение года появилось большое количество червей для интернет-пейджеров (MSN Messenger, AOL Messenger, ICQ), возросло количество сетевых и почтовых червей с троянским функционалом (эпоха традиционных почтовых червей близится к закату), а также вредоносных программ для мобильных устройств (Bluetooth, MMS). Используемые методы социальной инженерии стали еще более изощренными, а внимание к поиску и злонамеренному использованию уязвимостей в программных продуктах — более пристальным.

Прогнозы на 2006 год

В наступившем году представленные тенденции сохранятся, только вирусные угрозы, несомненно, станут более совершенными.

Если в прошлом году аналитики только предполагали, что целью вирусописателей в ближайшей перспективе вполне могут стать мобильные устройства, в больших количествах использующиеся как корпорациями, так и отдельными пользователями, то события 2005 года явно указывают на быстрое развитие сегмента вредоносных программ для мобильных устройств. За полтора года эти программы стали одной из самых актуальных проблем современной вирусологии. Из двух способов их распространения — Bluetooth и MMS — первый будет и в дальнейшем наиболее популярным. MMS, однако, более опасен и способен вызвать гигантскую эпидемию за короткое время, хотя существует надежный способ борьбы с ним — проверка на сервере мобильного оператора всего MMS-трафика. В случае с Bluetooth такой возможности, к сожалению, нет.

Троянских программ для операционной системы Symbian станет еще больше. Существенно расширится и спектр вредоносных программ — вероятнее всего, он практически полностью повторит существующие классы вирусов для персональных компьютеров, за редким исключением. Кроме того, внимание вирусописателей в 2006 году должна привлечь растущая популярность платформы Windows Mobile и количества пользователей смартфонов на данной системе.



Участники пресс-конференции

Риск глобальных эпидемий, способных вывести из строя на время отдельные сегменты Сети и охватить миллионы пользователей, по-прежнему существует. Несмотря на то, что основная масса вредоносных программ создается сейчас с целью обогатиться, остается еще большая прослойка тех, кто пишет вирусы из хулиганских побуждений.

По мнению специалистов «Лаборатории Касперского», есть как минимум два сценария серьезных вирусных эпидемий 2006 года. Первый — это появление сетевого червя, использующего очередную критическую уязвимость в Windows, которая позволяет атакующему выполнить произвольный код в уязвимой системе (аналогично уязвимостям RPC DCOM, LSASS, PnP, MSDTC). Второй сценарий — это появление почтового червя, использующего один из методов социальной инженерии. Скорее всего, это будет обычный трюк с текстом письма, которое будет составлено таким образом, чтобы убедить/заставить получателя добровольно открыть вложение. Риск подобной эпидемии возрастает при появлении какой-либо общемировой проблемы, как то: природная катастрофа, террористический акт в одной из стран Запада, техногенная катастрофа, военный конфликт. Скорее всего, будет эксплуатироваться и тема чемпионата мира по футболу.

Можно ожидать и серьезной эпидемии червя, распространяющегося через один из популярных клиентов Instant Messaging. В 2005 году было выявлено несколько десятков червей для MSN и AOL, однако из-за примитивности своего кода и способа распространения они не создали серьезных проблем во втором полугодии. В 2006 году они несомненно вернутся и будут использовать гораздо более сложные и комплексные методы распространения, включая «общение» с пользователями в режиме «чат-бота».

Следует также отметить, что как и в 2005 году, наиболее массовым видом троянских программ останутся представители класса Trojan-Downloader. Это для вирусописателей наиболее распространенный способ доставки на компьютеры пользователей других вредоносных программ. Donwloader-ы имеют маленький размер и способны долгое время функционировать в системе, не проявляя своего присутствия. Контингент вредоносных программ, которые загружают эти троянцы, не изменится — по-прежнему это будут различные программы-шпионы, крадущие информацию пользователя (банковские счета, коды доступа к онлайн-играм и т.п.), а также различные программы класса Adware.

Одной из главных проблем будут оставаться уязвимости в популярных браузерах — Internet Explorer, Opera, Firefox. Это будет одним из основных способов проникновения вредоносного кода на компьютеры, если не основным.

Спам-итоги 2005 года

В этом году впервые на традиционной пресс-конференции «Лаборатории Касперского» по вирусным итогам года отдельный доклад был посвящен такому хорошо известному каждому виду компьютерных угроз, как спаму.

Руководитель группы спам-аналитиков «Лаборатории Касперского» Анна Власова отметила, что 2005 год продемонстрировал дальнейшее развитие тенденций, наметившихся в 2003 и 2004 годах, когда происходило становление спам-индустрии.



Анна Власова

В течение года наблюдался небольшой, хотя и уверенный рост доли спама в электронной почте. Речь идет именно о соотношении долей — в абсолютных значениях к концу 2005 года количество спама возросло в 1,5-2 раза по сравнению с аналогичным периодом 2004 года. В общем объеме почтового трафика на каждые 2-3 обычных письма приходится 7-8 спамерских.

Редкие «провалы» в количестве спама хорошо прогнозируемы и объясняются общими тенденциями развития рекламной индустрии. Минимальная доля спама в общем объеме почтового трафика была зафиксирована в начале года в период новогодних праздников (50% от общего объема), а максимальная — в конце февраля/начале марта и во второй половине октября (87-89%).



Тематические лидеры спама в Рунете практически не изменились с прошлого года. Единственное новшество, о котором упомянула г-жа Власова, категория «Компьютерное мошенничество» вышла на лидирующие позиции:

  • Образовательные услуги (14% от общего объема спама);
  • Спам «для взрослых» (12% от общего объема спама);
  • Компьютерное мошенничество (11% от общего объема спама);
  • Медикаменты, товары/услуги для здоровья (11% от общего объема спама).


Типичное для Рунета явление — 30% от общего объема спама занимает категория «Другие товары и услуги». Это связано с тем, что в России к услугам спамерских рассылок часто прибегают представители малого бизнеса, зачастую не видя разницы между спамом и любым другим видом рекламы.



Интересная новинка 2005 года — маскировка спама под личные сообщения. Строго говоря, такой прием применялся и ранее, но только в прошлом году количество сообщений, которым спамеры специально придали вид личных писем, достигло значения, при котором можно говорить, что это действительно новая спамерская тенденция.

Степень маскировки может быть разной — от примитивной подстановки аббревиатур Re и Fw в теме письма до достоверной имитации стилистики и оборотов в тексте сообщения под личную переписку. Можно прогнозировать, что в количество таких фальшивок в почтовом трафике увеличится, так как пока пользователи не сразу распознают в таком сообщении спам.

Еще одна особенность — увеличение доли криминализированного спама; 6-12% от общего объема спама на сегодняшний день. Постепенно растет количество атак, целью которых является кража финансовой информации (фишинг-атаки), распространение компромата и клеветы, а также увеличивается доля контрафактных и/или контрабандных товаров в спамерской рекламе.

Кроме того, стоит подчеркнуть, что в 2005 году в Рунете на качественно новый уровень вышел «политический» спам. Эпизодические рассылки, в основном носящие огульно-ругательный характер, уступили место настоящим многоступенчатым PR-кампаниям. Анна Власова сообщила, что речь идет не только о предвыборной агитации, а о спамерских кампаниях, направленных на формирование общественного мнения по вопросам внутренней политики государства. По сравнению с предыдущими попытками новые спам-атаки отличаются продолжительностью, настойчивостью и хорошим планированием.

Что касается технологий рассылки спама, то в 2005 году не было выявлено ни одного принципиально нового спамерского приема или методики. Основным способом рассылки спамерских сообщений было и остается использование сетей зомби-компьютеров. В основном спамеры идут по пути наращивания мощностей и развития зомби-сетей. Можно предположить, что технологии рассылки и в 2006 году качественно изменяться не будут: спамеры будут развивать возможности по модификации писем в распределенной сети зомби-компьютеров при сохранении скорости рассылки. Однако вполне вероятно, что спамеры будут активнее пользоваться новыми каналами распространения рассылок, такими как ICQ и мобильная связь.

Внутренние угрозы в России

Завершил пресс-конференцию доклад Дениса Зенкина, директора по маркетингу InfoWatch, дочерней компании «Лаборатории Касперского». Как и в прошлом году, он представил результаты исследования InfoWatch в области корпоративной защиты от внутренних угроз информационной безопасности.



Денис Зенкин

В исследовании, которое проходило в период с сентября по декабрь 2005 года, приняли участие представители 315 государственных и коммерческих российских организаций (преимущественно представители среднего бизнеса при высоком уровне репрезентативности малых и крупных предприятий).

Список наиболее опасных ИТ-угроз, которые вызывали обеспокоенность респондентов в 2005 году, не претерпел значительных изменений как в количественном, так и в качественном плане. Печальная группа лидеров — кража информации, вредоносные программы, хакерские атаки, спам и халатность сотрудников.



Однако в целом индекс обеспокоенности ИТ-угрозами в 2005 году несколько снизился, а отношение к внутренним угрозам не изменилось.

Ответы по ключевой проблематике исследования не выявили существенных изменений ситуации по сравнению с 2004 годом. Абсолютное лидерство сохранило «Нарушение конфиденциальности информации». При этом крупные и часть средних предприятий рассматривают эту проблему с внутрикорпоративной точки зрения (защита собственных активов), а малые предприятия — с точки зрения ситуации в стране в целом. В прошлом году продолжались скандалы с утечкой государственных баз данных, и поэтому сегодня можно составить цифровой портрет любого гражданина при помощи сведений с пиратского рынка.



Как показали результаты исследования, наибольшую обеспокоенность респондентов вызывают мобильные накопители информации. Этот путь утечки данных опередил лидеров 2004 года — электронную почту, интернет-пейджеры и другие веб-службы. Объяснение положения можно найти в российской специфике этой отрасли кибер-преступности — хищение крупных баз данных, объемы которых исчисляются десятками гигабайт.



Ситуация с регистрацией утечек конфиденциальной информации, как и в прошлом году, продемонстрировала, что российские организации всё еще с трудом могут оценить масштабы и последствия проблемы в рамках собственного бизнеса. Практически все респонденты признались, что инциденты проходят незамеченными, потому что в информационных системах отсутствуют комплексные средства обнаружения и предотвращения утечек.

Как и в 2004 году, самым популярным средством ИТ-безопасности оказались антивирусы. Небольшой рост зарегистрирован в отношении межсетевых экранов.



Низкий уровень распространенности систем защиты от утечки конфиденциальной информации — 2% — свидетельствует о сохранении противоречивой ситуации. Несмотря на то, что проблемы внутренней ИТ-безопасности вызывают наибольшую обеспокоенность у ИТ- и ИБ-специалистов, до сих пор слишком мало компаний внедрили системы специализированной защиты.

Что препятствует преодолению барьера между желанием и конкретными шагами по нейтрализации угрозы? Ответы участников опроса показали, что доля самого популярной причины «Отсутствие технологических решений» снизилась, но заказчики по-прежнему не очень хорошо осведомлены о рынке специализированных продуктов и услуг. Показательны и другие ответы:



С высоким уровнем «затруднившихся ответить» авторы исследования связывают большие надежды. Дело в том, что представители этой группы специалистов ближе всего подошли к порогу практической реализации защиты, им осталось преодолеть лишь психологический барьер. Однако еще достаточно велико влияние и таких причин как, нехватка квалифицированных специалистов и отсутствие федеральных стандартов и обязательных требований.

Планы по внедрению специализированных ИТ-систем для защиты от утечки конфиденциальной информации в ближайшие три года позволяют говорить, что ситуация медленно, но верно меняется к лучшему. Более чем на 20% снизилось количество организаций, которые не планируют установку таких систем, значительно увеличилось количество сторонников комплексного мониторинга сетевых ресурсов.



В целом изменения в стране с точки зрения защиты конфиденциальной информации можно признать положительными, хотя общей ситуации далеко до идеала. Россия, как отметил Денис Зенкин, успешно преодолела первый, но очень важный этап осознания актуальности проблемы. В дальнейшем предстоит преодолеть путь выбора решений и их внедрения.






Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.