Современные антивирусы могут блокировать вирусы и вредоносные программы на различных уровнях. В данной статье представлена статистика, которая была получена по результатам работы система (IDS), веб-антивируса и файлового антивируса (OAS).
Данные получены с помощью антивирусной сети Kaspersky Security Network (KSN).
В 3 квартале 2009 года на первом месте по числу атак – трояны. Выросла доля классических вирусов. Virus.Win32.Induc – нетривиальный файловый вирус. Он заражает программы, написанные на Delphi еще на этапе разработки, проникает в файл базовых констант.
Были несколько случаев заражения вирусом Induc. Этот вирус существует с зимы 2008 года, однако антивирусные программы его не детектировали т.е. в нем нет вредоносной составляющей, возможно, кто-то просто пробовал свои силы, следовательно ни эвристические ни проактивные методы его не обнаруживали.
Распространенными остаются и сетевые черви.
Снова стали активны P2P-черви. После установки червя можно использовать зараженный компьютер для DDoS-атак, и получить полный доступ к системе через VNC.
Вредоносные программы, относящиеся к классу Trojan-Droppers все чаще пишутся на языках Flystudio (он был разработан в Китае) и Autoit. Эти языки позволяют создавать вирусные программы в удобном фреймворке и не требуют при этом высокого уровня знаний.
Вирусные программы − Net-worm.Win32.Kido, Virus.Win32.Sality, Virus.Win32.Virut и др основаны на платформах Win32- и JS были самыми распространенными. Зато уменьшилась, по сравнению с предыдущим кварталом, доля WMA и SWF –зловредов.
А вот доля троянов-загрузчиков Trojan-downloader.JS/HTML.Iframe, Trojan-downloader.JS.Gumblar.a – возросла на 7,73%.
В основном, увеличение доли троянов вызвано активностью Trojan.JS.Redirector.l.
Количество обнаруженных уязвимостей увеличилось. Например: уязвимость в Interet Explorer 6 и 7, уязвимость в MS Office (MS09-043), обе они позволяют выполнять произвольный код на уязвимой машине удаленно.
Однако, хотя эти дыры были закрыты еще летом, на протяжении всего 3 квартала мы продолжали детектировать данные эксплойты, что свидетельствует о беспечности пользователей, которые не ставят патчи на свои машины.
Поскольку ПО от Microsoft очень распространено, больше половины уязвимостей приходится именно на ее продукты. Треть приходится на ПО компании Adobe.
География вредоносных программ.
В третьем квартале, больше всего доменов было куплено и взломано распространителями вредоносных программ в США (21,87%), затем идет Китай (20,97%), Россия на третьем месте − 13,36%
Эксплойты.
Самые распространенные в 3 квартале 2009 года эксплойты – это эксплойты нацеленные на сетевые службы, здесь распространение вредоносного кода происходит без участия пользователя – нужен только работающий компьютер, подключенный к сети.
Все эксплойты входящие в первую десятку по распространенности, атакуют уязвимые браузеры. При этом, в третьем квартале в списке самых распространенных в Интернете эксплойтов нет ни одного из такого же рейтинга за 2 квартал. Что говорит об очень быстром обновлении вредоносного контента в Интернете. Но все они имеют общую черту – используют JavaScript, это еще раз говорит о том, что включать в браузерах JavaScript нужно только при посещении проверенных ресурсов.
Новое в сфере киберпреступлений.
В третьем квартале опасения специалистов о том что спрятать трафик от/к C&C ботнета в общем потоке легитимных соединений очень удобно будет в социальных сетях, оправдались.
Продолжает распространяться Net-worm.Win32.Koobface – сетевой червь, обнаруженный впервые летом 2008 года. С целью загрузки новых версий этого червя созданы поддельные страницы Facebook Video, и выполнены они очень качественно, сами сообщения, рассылаемые червем, престали повторяться, обнаружить их стало сложнее.
Выводы и рекомендации.
Опасных новинок в функционале вредоносных программ в 3 квартале 2009 года не зафиксировано. Киберпреступники пользуются отработанными схемами.
Однако, появился новый способ заражения файлов еще на стадии их создания для программ, написанных на Delphi.
К сожалению, среди самых распространенных уязвимостей присутствуют известные достаточно давно.
Социальные сети продолжают быть небезопасными. Поэтому любителям таких сетей следует задуматься о том, какую информации о себе они хотят сделать доступной.
В общем можно сказать, что предложение на киберкриминальном рынке сейчас превышает спрос. Многие из тех, кто создает вирусы, не обладают глубокими знаниями, и следовательно ничего нового не создают.
Статья подготовлена по данным сайта securelist.com.
