TOP 20 стран, на ресурсах которых были размещены вредоносные программы:
№ | Q2 2010 | № | Q1 2010 |
1 | США | 28,99% | 1 | США | 27,57% |
2 | Россия | 16,06% | 2 | Россия | 22,59% |
3 | Китай | 13,64% | 3 | Китай | 12,84% |
4 | Германия | 5,89% | 4 | Нидерланды | 8,28% |
5 | Нидерланды | 5,49% | 5 | Испания | 6,83% |
6 | Испания | 5,28% | 6 | Германия | 6,78% |
7 | Великобритания | 4,62% | 7 | Великобритания | 3,29% |
8 | Швеция | 4,34% | 8 | Филиппины | 1,60% |
9 | Украина | 2,76% | 9 | Украина | 1,35% |
10 | Латвия | 2,02% | 10 | Канада | 1,29% |
11 | Канада | 1,63% | 11 | Швеция | 0,95% |
12 | Франция | 1,49% | 12 | Франция | 0,80% |
13 | Турция | 0,63% | 13 | Турция | 0,72% |
14 | Молдова | 0,55% | 14 | Австралия | 0,48% |
15 | Чешская Республика | 0,40% | 15 | Молдова | 0,42% |
16 | Гонконг | 0,40% | 16 | Латвия | 0,31% |
17 | Таиланд | 0,38% | 17 | Чешская республика | 0,31% |
18 | Филиппины | 0,37% | 18 | Люксембург | 0,26% |
19 | Малайзия | 0,37% | 19 | Малайзия | 0,26% |
20 | Вьетнам | 0,36% | 20 | Вьетнам | 0,25% |
| Другие | 4,33% | | Другие | 2,80% |
Первые три места в рейтинге, как и в прошлом квартале, занимают США
(28,99%), Россия (16,06%) и Китай (13,64%), которому так и не удалось
отвоевать утерянную в прошлом квартале позицию лидера.
Доля зараженных сайтов на территории РФ уменьшилась на 6,5%. В то же
время увеличилось число атак с веб-ресурсов, расположенных в Голландии и
Швеции, доля которых увеличилась на 2,8% и 3,4% соответственно.
Эксплойты
Большинство атак в интернете начинается с использования эксплойтов,
которые позволяют злоумышленникам незаметно получить доступ к системе и
загрузить на компьютер пользователя нужную им вредоносную программу.
Недаром цены на наборы эксплойтов на черном рынке колеблются в районе
нескольких тысяч долларов.
Во втором квартале было обнаружено 8 540 223 эксплойтов.
Наиболее популярными у злоумышленников были эксплойты следующих семейств:
TOP 10 семейств эксплойтов, обнаруженных в интернете
Лидируют по-прежнему эксплойты, использующие уязвимости в Adobe
Reader. Однако первое, что бросается в глаза, — это значительное
уменьшение доли этих вредоносных программ по сравнению с первым
кварталом 2010 (-17,11%).
Причиной уменьшения доли эксплойтов к Adobe Reader стал рост
популярности семейств Exploit.JS.CVE-2010-0806 и Exploit.JS.Agent.bab,
использующих уязвимость в браузерах MS Internet Explorer версий 6 и 7 в
компоненте «Peer Object» библиотеки iepeers.dll (CVE-2010-0806).
Досадную историю быстрого распространения этих эксплойтов мы описали в
прошлом отчете. После попадания в metasploit framework они практически в
неизменном виде были добавлены во многие продаваемые наборы эксплойтов,
что и привело к их массовому использованию. В среднем в течение
квартала наши продукты ежедневно отражали 31 тысячу атак,
эксплуатирующих уязвимость CVE-2010-0806 с помощью эсплойтов
Exploit.JS.Agent.bab и Exploit.JS.CVE-2010-0806.
Эти эксплойты использовались в различных криминальных схемах, однако
можно с уверенность сказать, что основной целью злоумышленников были
аккаунты к онлайн-играм. Согласно результатам наших исследований,
загрузчики, устанавливаемые после использования эксплойта
Exploit.JS.CVE-2010-0806, чаще всего пытаются загрузить на компьютер
пользователя Trojan-GameThief.Win32.Magania и
Trojan-GameThief.Win32.WOW. Интерес злоумышленников к аккаунтам игроков
подтверждает и географическое распределение атак с использованием этих
эксплойтов: в первую пятерку стран, на которую пришлось 96,5% всех атак,
входят Китай, Тайвань, Корея, США и Вьетнам, где традиционно велико
количество любителей MMORPG.
Еще одним важным изменением стало увеличение доли эксплойтов под
Java, эксплуатирующих уязвимости CVE-2010-0886 и CVE-2009-3867. В
основном благодаря им доля вредоносных программ под Java в этом квартале
увеличилась на 2%. Основной вектор атак этих эксплойтов — европейские
страны: Германия, Англия, Россия, Италия, Украина и Испания, а также
страны Северной Америки — США и Канада. На компьютеры пользователей
загружается Backdoor.Win32.Bredolab,
главной задачей которого является загрузка и установка других
вредоносных программ. Список этих программ очень обширен — от спам-ботов
и программ для кражи паролей к FTP до фальшивых антивирусов.
Эксплойты, используемые в атаке, получившей название Aurora,
стремительно теряют популярность у злоумышленников: их доля уменьшилась
на 7,08%. Волна сообщений об атаке с использованием уязвимости
CVE-2010-0249, прошедшая по всем СМИ, не осталась незамеченной.
Пользователи стали обновлять версию Internet Explorer 6.0, через
уязвимость в которой и осуществлялся взлом системы. По данным «net
applications», доля пользователей MS Internet Explorer 6.0 с января
уменьшилась на 3%.
Уменьшением числа пользователей MS Internet Explorer 6.0 объясняется и
уменьшение доли эксплойтов семейства Exploit.JS.Adodb, использующих
старую уязвимость в этой версии браузера.
Эксплойты, использующие уязвимость CVE-2010-1885 в Windows Help and
Support Center, о публикации которой мы рассказывали выше, очень быстро
завоевывают позиции. По итогам второго квартала они заняли 13-е место,
хотя уязвимость была опубликована только 9 июня. Что важно, Microsoft
выпустила патч месяц спустя — 13-го июля, что, увы, позволило
злоумышленникам эффективно использовать эту уязвимость в течении
длительного времени. Атакам с помощью этих эксплойтов подвергаются
прежде всего российские, немецкие, испанские и американские
пользователи. Эти эксплойты используются в основном в схемах типа
pay-per-install (все те же «партнерки»), когда одни злоумышленники
платят другим за распространение вредоносной программы, при этом оплата
зависит от числа и местоположения зараженных компьютеров.
Уязвимости
Во втором квартале 2010 года мы обнаружили на компьютерах
пользователей 33 765 504 уязвимых приложений и файлов. Отметим, что в
каждом четвертом случае мы обнаруживали на компьютере не одну незакрытую
уязвимость, а более семи.
10 самых распространенных уязвимостей приведены в таблице ниже:
№ | Secunia ID уника- льный иденти- фикатор уязви- мости | Изме- нение в рей тинге | Название и ссылка на описание уязвимости | Возмож- ности, которые дает использо- вание уязвимости злоумы- шленникам | Процент пользо- вателей, у которых была обнаружена уязвимость | Дата публи- кации | Уро- вень опас- ности уязви- мости |
1 | SA 38805 | +7 | Microsoft Office Excel Multiple Vulnerabilities | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 39,45% | 09.06. 2009 | "Highly Critical" |
2 | SA 37255 | new | Sun Java JDK / JRE Multiple Vulnerabilities | обход системы безопасности | 38,32% | 12.02. 2010 | "Highly Critical" |
3 | SA 35377 | -2 | Microsoft Office Word Two Vulnerabilities | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 35,91% | 09.03. 2010 | "Highly Critical" |
4 | SA 38547 | -1 | Adobe Flash Player Domain Sandbox Bypass Vulnerability | обход системы безопасности | 30,46% | 03.04. 2009 | Modera- tely Critical |
5 | SA 31744 | +1 | Microsoft Office OneNote URI Handling Vulnerability | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 27,22% | 09.01. 2007 | "Highly Critical" |
6 | SA 34572 | -2 | Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 21,14% | 09.09. 2008 | Extre- mely Critical |
7 | SA 39272 | new | Adobe Reader / Acrobat Multiple Vulnerabilities | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Cross-site scripting | 21,12% | 14.04. 2010 | "Highly Critical" |
8 | SA 29320 | +2 | Microsoft Outlook "mailto:" URI Handling Vulnerability | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 19,54% | | "Highly Critical" |
9 | SA 39375 | new | Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability | получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя | 16,08% | 14.01. 2010 | "Highly Critical" |
10 | SA 37690 | -1 | Adobe Reader/Acrobat Multiple Vulnerabilities |
получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя
Cross-site scripting
| 15,57% | | Extre- mely Critical |
6 уязвимостей из TOP 10 были найдены в продуктах Microsoft, 3 — в
продуктах Adobe и 1 — в продукте Sun. Нет, это не означает, что
программы производства этих компаний содержат больше всего ошибок. Это
говорит в первую очередь о популярности данных продуктов у
пользователей.
В TOP 10 отметилось сразу два новичка — это уязвимости в MS Office
Publisher (SA 39375) и в Adobe Reader (SA 39272). Обе уязвимости имеют
высокий уровень опасности, так как позволяют злоумышленникам получить
полный доступ к системе и исполнить произвольную программу. Обе
уязвимости были обнаружены в середине апреля — с разницей в один день.
Система автоматических обновлений Microsoft на сегодняшний день
включена по умолчанию на большинстве компьютеров, в то время как новая
система обновлений для Adobe Reader/Acrobat Reader была представлена
миру только 13 апреля 2010 года вместе с очередным ежеквартальным
обновлением. Автоматическое обновление популярных программ сегодня
является важным фактором, влияющим на безопасность операционной системы в
целом. Вендоры, добавляющие этот функционал в свои продукты, делают
правильный ход — это позволяет и добавлять новые функции, и, что самое
главное, более эффективно закрывать возможные бреши в обороне
компьютера. Чем быстрее производители выпускают и автоматически
устанавливают на машинах пользователей патчи для продуктов, тем меньше
риск того, что пользовательские компьютеры будут заражены с
использованием уязвимостей.
Угрозы на компьютерах пользователей
Интересной и важной является статистика по вредоносным программам, обнаруженным и обезвреженным на компьютерах пользователей.
Во втором квартале нашим антивирусом было заблокировано 203 997 565
попыток заражения пользовательских компьютеров, входящих в глобальную
сеть безопасности Kapersky Security Network. Продолжение (Часть 3)
|