Компания Доктор Веб опубликовала доклад о вирусной и хакерской активности за 2008 год.
Эксперты компании сделали следующие выводы:
1. Количество вредоносных программ на компьютерах выросло в 2 раза
2. Объем спам-писем к концу года значительно снизился. Во многом это связано с эффективным противодействием спам-хостерам
3. В 2008 году самым популярным инструментом для распространения вирусов были почтовые сообщения, съемные диски и веб-сайты
4. В 2008 году вырос объем SMS-мошенничества и фишинга
Статистика передачи вредоносных программам.
Начиная с января 2008 года процент вирусных программ постоянно возрастал в такой прогрессии, что к апрелю он был уже в 4 раза больше, чем в начале года. Эта ситуация оставалась стабильной до июля, зато к августу объем вредоносных программ уменьшился вдвое и больше не возрастал. Данную ситуацию хорошо иллюстрирует приведенный график, который отображает процентное соотношение зараженных файлов в общем числе просканированных объектов.
Следующий график показывает вирусную активность в трафике электронной почты.
В течении всего 2008 года количество вирусов среди всех проверенных писем составляло 0,2-0,25%. Зато к концу года были приняты жестки меры по борьбе со спам-хостерами и, благодаря этому, процент вирусов в почтовых отправлениях снизился до уровня 0,02%
Самые известные вирусы.
В 2008 году чаще всего упоминали такие вредоносные программы какWin32.Ntldrbot (Rustock.C), BackDoor.MaosBoot и разные модификации Trojan.Encoder.
BackDoor.MaosBoot прописывал себя в загрузочном сегменте жесткого диска и с помощью руткит-технологии скрывался в инфицированной системе. В период январь-март 2008 года экспертами было найдено свыше 3-х модификаций этого вируса.
Win32.Ntldrbot запомнился тем, что применял сразу несколько методов сокрытия своего присутствия в системе. Это позволяло ему несколько месяц оставаться совершенно незамеченным. Часть разработчиков антивирусов даже решила, что этой вредоносной программы не существует вовсе. Этот вирус фильтровал запросы к зараженному файлу и внедрялся в системные процессы. Целью всего этого была последующая рассылка спама с зараженного компьютера.
Специалисты Доктор Веб оперативно среагировали на появление этих вирусов и доработали необходимые детали, после чего сумели первыми предоставить пользователям действующую защиту для борьбы с данными вредоносными программами посредством антивируса Dr.Web.
Известность в 2008 году приобрел и вирус Trojan.Encoder. При попадании на компьютер, эта вредоносная программа зашифровывала все документы пользователя, после чего любезно предлагала ему заплатить некоторую сумму за утилиту дешифровки. Существовало сразу несколько модификаций этого трояна. Разница между ними была лишь в сумме, которую требовали с пользователя (от $10 до $89) и длинной ключа шифрования файлов. Эксперты из компании Доктор Веб успешно создали защиту от этого трояна, а также бесплатно распространяли расшифровывающую утилиту.
Почтовые рассылки.
Большой резонанс в 2008 году получили почтовые вирусные рассылки с начинкой из различных версий Trojan.PWS.GoldSpy и Trojan.DownLoad.4419.
Для того, чтобы заманить пользователей на сайты, где им «вручался» Trojan.DownLoad.4419 авторы использовали лже-рекламу занимательных видеороликов. При открытии ссылки, пользователю предлагалось скачать кодек, для просмотра видео. В каждом таком кодеке и содержался Trojan.DownLoad.4419. Авторы вредоносного кода не ленились, и при каждой новой рассылке модифицировали вирус. Также менялся упаковщик, что весьма затрудняло антивирусным программам поиск данного трояна.
Программа Trojan.PWS.GoldSpy распространялась более разнообразными методами — в виде электронных открыток и в виде писем, направленных на устрашение адресата, к примеру, уведомление о блокировки аккаунта пользователя на каком-либо ресурсе из-за недопустимых действий пользователя в сети. Из-за успеха Trojan.PWS.GoldSpy, в последние месяцы 2008 года резко возросло число троянов в почтовом трафике, функция которых направлена на воровство личных данных пользователей. Эту динамику отображает график:
Социальные сети
Российские социальные сети стали самыми популярными веб-ресурсами рунете в 2008 году. Это не могло не привлечь внимание вирусописателей. Чаще всего злоумышленники регистрировали аккаунт, в профиле которого размещали ссылку на подставные сайты с вредоносными кодами.
Также были отмечены массовые рассылки, якобы, от администрации этих сайтов. Ссылки, как и стоило ожидать, вели на сайты с вредоносными вирусами. Владельцы социальных сетей, чтобы обезопасить своих пользователей от подобных действий, применяли разные методы борьбы. Например, ряд социальных сетей упростили функцию отображения ссылок в личных сообщениях — теперь ссылки отображаются в виде простого текста, и попасть на сайт, на который они ведут, можно лишь путем копирования адреса в строку браузера. Еще один метод — при щелчке на ссылку, пользователь переходил не на другой сайт, а попадал на страницу, которая предупреждала его об опасности подобного перехода по неизвестной ссылке.
Впрочем, эти меры хоть и сократили процент заражения компьютера пользователя через социальные сети, но не снизили его до нуля. Возможно, решением всех проблем может стать утилита, проверяющая содержимое ссылки еще до ее открытия.
Вредоносные рассылки через ICQ
На протяжении всего 2008 года число вредоносных отправлений через ICQ только возрастало. Для распространения сообщений со спамом и ссылками на подставные сайты использовались как вновь зарегистрированные аккаунты, так и аккаунты, которым пользователь доверяет. Второй вариант мог быть реализован в том случае, если компьютер ICQ-пользователя был заражен вирусом, которые начинал распространять себя через контакты в ICQ. В этом случае пользователь совершенно ничего не подозревал о том, что происходит от его имени.
Съемные диски
Съемные диски в 2008 году были одним из самых популярных способов распространения вредоносных программ, наряду с электронными почтовыми рассылками. Как правило, в базу данных антивирусов они вносятся как Win32.HLLW.Autoruner, потому что для старта этих вредоносных программ используется метод автозапуска файлов со съемного диска, встроенный в ОС Windows.
В уходящем году эта угроза от использования съемных дисков в ряде госструктур США вызвала даже всеобщий запрет пользования на рабочем месте подобными устройствами. Менее радикальные руководители просто установили специализированное программное обеспечение, которое разграничивало доступ к съемным дискам разных групп сотрудников.
На графике
отображенна динамика распространения модификаций Win32.HLLW.Autoruner на протяжении всего 2008 года. Очевидно, что из графика следует, что вирусописатели все чаще используют жесткие диски как канал распространения троянов и прочих вредоносных программ. С каждым разом они изобретают новые способы препятствия анализу и обнаружению этих угроз, а также устанавливают способы защиты от удаления своего «детища» с флешек.
Win32.Sector
Win32.Sector — это вирус, который причинил наибольший вред пользователям интернета в 2008 году. Этот файловый вирус заражает практически все исполняемые файлы, загружает другие вредоносные программы и внедряется в системные процессы. Также, у пользователей Windows Vista он отключал компонент UAC. В 2008 году этот вирус показывал неизменный рост темпов своего распространения, что видно из графика.
SMS-мошенничество
Кроме стандартных методов распространения вредоносных программ через интернет , мошенники научились использовать и более простые способы получения прибыли. В частности, они рассылают сообщения с предложением отослать платное SMS. Чтобы пользователь не сомневался в необходимости отправки этого SMS, мошенники применяют разные уловки — от сообщения, якобы, от друзей до заманчивых предложений выгодных услуг.
Подобные рассылки происходят посредством социальных сетей, ICQ, электронной почты или через плагин в браузере (пользователю предлагается отослать SMS, чтобы избавится от этого плагина).
Стоимость такого SMS может равняться нескольким сотням рублей, хотя в сообщении, которое рекомендует его отправить, речь может идти о сумме в разы меньше.
Фишинг
Фишеры особенного активизировались в последние месяцы 2008 года. В связи с кризисом, они рассылают письма от имени финансовых структур и просят перейти по указанной ссылке. В свою очередь эта ссылка ведет на веб-сайт, который очень похож на официальный ресурс финансовой компании.
На этом лже-сайте пользователей просят ввести свои личные данные, например, регистрационные данные аккаунта платного интернет-ресурса или банковские реквизиты. За последние месяцы фишинг-атаки были зафиксированы на таких ресурсов как RBC Royal Bank, JPMorgan Chase Bank, Google AdWords, eBay, PayPal и др.
Прогнозы на 2009 г.
Как пишет сайт Astera.ru, в будущем году стоит ожидать увеличение темпов роста распространения вирусных программ через каналы, схожие с почтовыми рассылками — социальные сети, системы обмена мгновенными сообщениями, а также через жесткие диски.
Развитие вредоносных программ, по-видимому, пойдет путем усложнения полиморфных упаковщиков или других методов противодействия анализу файлов. Также очевидно, что злоумышленники не перестанут выискивать и использовать уязвимости ОС и другого ПО.
