По сравнению с первым кварталом 2011 года состав группы повышенного
риска изменился — из нее вышел Казахстан (-1%) и вошли Судан (+4,5%) и
Саудовская Аравия (+2,6%).
Особо отметим, что к показателям группы повышенного риска,
приблизились США с 40,2%. Это связано с увеличением количества фальшивых
антивирусов, о которых мы рассказывали в первой части отчета.
Увеличение общего числа детектируемых фальшивых антивирусов обусловлено в
первую очередь ростом количества детектов именно в США.
Киберпреступники в этой стране стараются активно заражать компьютеры с
помощью ботов TDSS и Gbot. Сайты, с которых ведется распространение этих
программ, в этом регионе находятся на втором и шестом местах по частоте
попыток загрузки вредоносных программ.
В группу риска во втором квартале 2011 года вошло на 8 стран больше, чем в первом
В группе самых безопасных при веб-серфинге стран стало на 5 стран
меньше. В частности, Финляндия (22,1%), переместилась оттуда в группу
риска.
Меньше всего процент пользователей, атакованных при просмотре страниц
в интернете, в Японии (13%), на Тайване(13,7%), в Чехии (16,1%), Дании
(16,2%), Люксембурге (16,9%), Словении (17,8%) и Словакии (18,3%).
Локальные угрозы
Все статистические данные в этой главе получены на основе работы on-access-scanner.
Детектируемые объекты, обнаруженные на компьютерах пользователей
Во втором квартале 2011 года наши антивирусные решения успешно заблокировали 413 694 165 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.
Всего в данных инцидентах было зафиксировано 462 754 разных
вредоносных и потенциально нежелательных программ. В их число попадают, в
частности, объекты, которые проникли на компьютеры не через Web, почту или сетевые порты — например, по локальной сети или через съемные накопители.
Как мы видим, уникальных объектов на три порядка меньше, чем попыток
заражения. Это говорит о том, что разработка опасных вредоносных
программ сосредоточена в руках небольшого круга лиц.
TOP 20 детектируемыхе объектов, обнаруженных на компьютерах пользователей
№ | Название* | % уникальных пользователей** |
1 | DangerousObject.Multi.Generic | 35,93% |
2 | Trojan.Win32.Generic | 23,02% |
3 | Net-Worm.Win32.Kido.ir | 13,48% |
4 | Virus.Win32.Sality.aa | 5,92% |
5 | AdWare.Win32.FunWeb.kd | 4,99% |
6 | Net-Worm.Win32.Kido.ih | 4,57% |
7 | Virus.Win32.Sality.bh | 4,44% |
8 | Trojan.Win32.Starter.yy | 4,43% |
9 | Hoax.Win32.ArchSMS.heur | 3,91% |
10 | Worm.Win32.Generic | 3,65% |
11 | Trojan-Downloader.Win32.Geral.cnh | 2,62% |
12 | Virus.Win32.Sality.ag | 2,45% |
13 | HackTool.Win32.Kiser.zv | 2,29% |
14 | Hoax.Win32.ArchSMS.pxm | 2,22% |
15 | HackTool.Win32.Kiser.il | 2,19% |
16 | Worm.Win32.FlyStudio.cu | 2,09% |
17 | Trojan.JS.Agent.bhr | 2,03% |
18 | Virus.Win32.Nimnul.a | 2,02% |
19 | Hoax.Win32.Screensaver.b | 1,95% |
20 | Trojan-Downloader.Win32.VB.eql | 1,81% |
* Детектирующие вердикты модуля антивируса. Информация
предоставлена пользователями продуктов ЛК, подтвердившими свое согласие
на передачу статистических данных.
** Процент уникальных пользователей, на компьютерах которых антивирус
детектировал данный объект, от числа всех уникальных пользователей
продуктов ЛК, у которых происходило срабатывание антивируса.
Первое место в рейтинге занимают различные вредоносные программы,
обнаруженные с помощью «облачных» технологий. Эти технологии работают,
когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для
детектирования вредоносной программы, зато у антивирусной компании «в
облаке» уже есть информация об объекте. В этом случае детектируемому
объекту присваивается имя DangerousObject.Multi.Generic.
10 программ из TOP 20 либо имеют механизм самораспространения, либо
используются как одна из составляющих в схеме распространения червей.
В этом квартале мы увидели резкое увеличение заражений новым
зловредом — Virus.Win32.Nimnul.a. Эта вредоносная программа
распространяется двумя путями: с помощью заражения исполняемых файлов и
через сменные носители информации с использованием функции автозапуска.
Основной регион распространения — азиатские страны, такие как Индонезия
(20,7%), Индия (20%), Вьетнам (16,6%), где операционные системы
обновляются редко, и защитное ПО установлено далеко не на каждом
компьютере. Основной нагрузкой зловреда является доставка на компьютер
бэкдора Backdoor.Win32.IRCNite.yb, который подключается к удаленному
серверу и включает компьютер-жертву в зомби-сеть.
В двадцатке присутствуют лишь два семейства инфицирующих зловредов:
Sality и Nimnul. Разработка данного вида вредоносных программ требует
серьезных временных затрат и отличных знаний работы ОС, формата файлов и
т.д. При этом их распространение в большинстве случаев очень быстро
привлекает к себе внимание антивирусных компаний. Использование
инфекторов стало прерогативой лишь некоторых вирусописателей или
преступных групп, и в ближайшем будущем количество инфицирующих
зловредов может еще сократиться. Вероятнее всего, использование сложных
инфекторов мы увидим в целевых атаках, где важно 100% поражение цели, а
заказчики атак готовы потратиться на технологически сложные вредоносные
программы.
Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения
Мы посчитали процент пользователей KSN, на компьютерах которых были
заблокированы попытки локального заражения, для каждой страны с числом
пользователей больше 10 000. Полученные цифры отражают, насколько в
среднем заражены компьютеры в той или иной стране мира.
TOP 10 стран по уровню зараженности компьютеров
Место | Страна* | % уникальных пользователей** |
1 | Бангладеш | 63,60% |
2 | Судан | 61,00% |
3 | Ирак | 55,50% |
4 | Непал | 55,00% |
5 | Ангола | 54,40% |
6 | Танзания | 52,60% |
7 | Афганистан | 52,10% |
8 | Индия | 51,70% |
9 | Руанда | 51,60% |
10 | Монголия | 51,10% |
* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были
заблокированы локальные угрозы, от числа всех уникальных пользователей
продуктов ЛК в стране.
По сравнению с первым кварталом 2011 года в десятке стран, где
пользовательские компьютеры подвергались наибольшему риску локального
заражения, произошло одно интересное изменение: туда вошла Индия, где за
прошедшие три месяца компьютер каждого второго пользователя хотя бы раз
подвергался риску локального заражения. Привлекательность Индии для
киберпреступников растет уже не первый год вместе с ростом числа
компьютеров в этой стране. Этому способствует и общая невысокая
компьютерная грамотность населения страны, и большое количество
используемого пиратского ПО, которое не получает обновлений. Если
говорить о характере зловредов, пытающихся проникнуть на компьютеры
индийских пользователей, то большая их часть направлена на
строительство ботнетов. Здесь мы видим множество самораспространяющихся
зловредов, таких как Virus.Win32.Sality, Virus.Win32.Nimnul,
IM-Worm.Win32.Sohanad. Также стоит отметить различные модификации
autorun-червей и троянцев. Как известно, в первом квартале Microsoft
выпустила патч, блокирующий автозапуск на сменных носителях. Но патч
автоматически устанавливается только на обновляющихся системах, которых в
Индии не так много. Очевидно, что для бот-мастеров Индия — это плацдарм
из миллионов незащищенных необновляющихся машин, которые долгое время
могут быть активны в зомби-сети.
В случае с локальными заражениями мы можем сгруппировать все страны по уровню зараженности:
- Максимальный уровень заражения. В эту группу с показателем более 60% вошли Бангладеш (63,6%) и Судан (61%).
- Высокий уровень заражения. В эту группу с результатом
41-60% вошли 36 стран, в том числе Индия (51,7%), Индонезия (48,4%),
Казахстан (43,8%), Россия (42,2%).
- Средний уровень заражения. С показателем 21-40% в эту
группу попали 58 стран, в том числе Украина (38,4%), Филиппины (37,1%),
Таиланд (35,7%), Китай (35,3%), Турция (32,9%), Эквадор (31,1%),
Бразилия (30%) и Аргентина (27,3%),
- Наименьший уровень заражения: 34 страны мира.
![](http://www.securelist.com/ru/images/vlill/enlarge.gif) Риск локального заражения компьютеров в разных странах
В целом за квартал количество стран с высоким уровнем заражения
уменьшилось на 12; стран со средним уровнем стало на 2 больше, а число
стран с наименьшим уровнем заражения увеличилось на 10.
В группу наименьшего уровня заражения перешли несколько европейских
стран: Греция (19,9%), Испания (19,4%), Италия (19,3%), Португалия
(18,6%), Словакия (18,2%), Польша (18,1%), Словения (17,2%) и Франция
(14,7%). Количество попыток заражения в этих странах снижается. В первую
очередь это связано с серьезным уменьшением числа инцидентов с
autorun-червями вследствие обновления ОС Windows, которая распространена
более всего. Заметим, что Словакия и Словения также попали в группу
наиболее безопасных стран при серфинге в интернете.
В пятерку стран, самых безопасных по уровню локального заражения, вошли:
Место | Страна | % уникальных пользователей |
1 | Япония | 8,20% |
2 | Германия | 9,40% |
3 | Дания | 9,70% |
4 | Люксембург | 10% |
5 | Швейцария | 10,30% |
Уязвимости
Во втором квартале 2011 года на компьютерах пользователей было обнаружено 27 289 171 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали порядка 12 различных уязвимостей.
TOP 10 уязвимостей, обнаруженных на компьютерах пользователей, представлена в таблице ниже.
№ | Secunia ID уникальный идентификатор уязвимости | Название и ссылка на описание уязвимости | Возможности, которые дает использование уязвимости злоумышленникам | Процент пользо- вателей, у которых была обнаружена уязвимость | Дата публи- кации | Уро- вень опас- ности уязви- мости |
1 | SA 41340 | Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability | Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 40,78% | 08.09.2010 | Extremely Critical |
2 | SA 43262 | Sun Java JDK / JRE / SDK Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Раскрытие конфиденциальных данных
Манипуляции с данными
DoS (Denial of Service)
" | 31,32% | 09.02.2011 | Highly Critical |
3 | SA 44119 | Adobe Flash Player SharedObject Type Confusion Vulnerability | Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 24,23% | 12.04.2011 | Extremely Critical |
4 | SA 44590 | Adobe Flash Player Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Раскрытие конфиденциальных данных
" | 23,71% | 13.05.2011 | Highly Critical |
5 | SA 41917 | Adobe Flash Player Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Раскрытие конфиденциальных данных обход системы безопасности
" | 21,62% | 28.10.2010 | Extremely Critical |
6 | SA 44784 | Sun Java JDK / JRE / SDK Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Раскрытие конфиденциальных данных Манипулирование даннымиDoS (Denial of Service)
" | 12,16% | 08.06.2011 | Highly Critical |
7 | SA 43751 | Adobe Flash Player / AIR AVM2 Instruction Sequence Handling Vulnerability | Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 9,40% | 08.06.2011 | Extremely Critical |
8 | SA 44964 | Adobe Flash Player Unspecified Memory Corruption Vulnerability | Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 9,05% | 15.06.2011 | Extremely Critical |
9 | SA 42112 | Adobe Shockwave Player Multiple Vulnerabilities | Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 8,78% | 03.11.2010 | Highly critical |
10 | SA 44846 | Adobe Flash Player Unspecified Cross-Site Scripting Vulnerability | Cross-Site Scripting | 8,18% | 06.06.2011 | Less Critical |
Первый раз за всю историю этого рейтинга в него вошли продукты только
двух компаний — Adobe и Oracle (Java). Из рейтинга исчезли продукты
компании Microsoft — в прошлых отчетах
мы говорили о том, что вскоре это должно произойти. Это связано прежде
всего с улучшением работы механизма автоматических обновлений и ростом
доли Windows 7.
Производители уязвимых продуктов из TOP 10 уязвимостей
7 уязвимостей, вошедших в рейтинг, связаны с одним продутом — Adobe Flash Player.
Заметим, что из TOP 10 практически исчезли уязвимости, датируемые
2007-2008 годами. 7 из 10 уязвимостей были обнаружены в 2011 году, 3 — в
2010. Это связано с постепенным вытеснением Windows XP и Vista системой
Windows 7, в которой дела с автоматическим обновлением идут намного
лучше.
Распределение уязвимостей из TOP 10 по типу воздействия на систему
9 уязвимостей из TOP 10 предоставляют злоумышленнику полный доступ к
системе, 4 уязвимости также дают возможность получить доступ к важной
информации на компьютере пользователя.
Заключение
Во втором квартале 2011 года произошел новый виток развития
лжеантивирусов. Причем изменения касаются не только количества
распространяемых программ, но и их качества. Количество предотвращенных
попыток установки FakeAV на компьютеры, входящие в KSN, выросло на
300(!)%. Что касается качественных изменений, то появились подделки под
новую платформу — Mac OS X. К сожалению, пользователи этой системы
уделяют не слишком много внимания ее безопасности, поэтому сегмент
яблочных компьютеров стал лакомым куском для вирусописателей.
Лжеантивирусы под Mac OS распространяются с помощью партнерок. Это
означает, что этой платформой заинтересовались профессиональные
вирусописатели, и в ближайшем будущем стоит ожидать выхода более сложных
и опасных вредоносных программ под Mac OS.
Был отмечен бурный рост количества вредоносных программ под мобильные
платформы. Сегодня злоумышленников больше всего интересуют две
платформы: J2ME и Android. По сравнению с первым кварталом количество
добавленных записей, детектирующих зловреды под J2ME, увеличилось в два
раза, а под Android — в три. Основная схема получения выгоды отличается
от той, что используется в зловредах для PC. Злоумышленники активно
пользуются премиум-номерами и подписками на платные сервисы, с помощью
которых они опустошают баланс мобильного счета владельца телефона. В
ближайшем будущем вирусописатели станут искать новые схемы нелегального
обогащения, так что новостей с мобильного фронта будет больше, а
следовательно, возрастет и потребность в соответствующей защите.
Волна «хактивизма» продолжает нарастать, захватывая новые страны по
всему миру. Сила «хактивистов» заключается не столько в их
«профессионализме», сколько в количестве участвующих хакеров — под
натиском множества взломщиков может устоять далеко не каждый сайт.
Количество «хактивистов» растет за счет того, что в интернете человек
действует, хорошо осознавая свою анонимность и безнаказанность. Поэтому,
только найдя и наказав участников атак, правоохранительные органы могут
заставить ряды анонимусов поредеть. Правительства разных стран
заинтересованы не только в поимке хакеров, но и в остановке самого
движения хактивистов, следствием чего может стать ужесточение наказаний
за компьютерные преступления, в том числе и DDoS-атаки, а также
заключение договоров о сотрудничестве и передаче информации при ведении
расследований по делам хактивистов между различными странами.
Поисковый гигант Google в третий раз пытается выйти на рынок
социальных сетей. В этот раз — учтя свои предыдущие промахи. Проект
Google+, который уже сейчас вызвал огромное количество публикаций в СМИ,
очевидно, привлечет внимание и киберпреступников, и киберхулиганов,
которые захотят воспользоваться новым сервисом, преследуя свои интересы.
К тому же при появлении нового продукта от большой компании обычно
возникает эффект мух и варенья: в качестве мух выступают любители поиска
уязвимостей, которым интересно опробовать систему безопасности.
Facebook и Twitter уже стали для компьютерных мошенников излюбленными
площадками для распространения различных зловредов. Google+, судя по
всему, не станет исключением.
|