Вірусні підсумки 2005 року в цифрах і фактах від «Лабораторії Касперського»

1. загальні підсумки
2. Найбільші вірусні епідемії
3. Інші вірусні епідемії року
4. Вірусний хіт-парад 2005 року
5. тенденції року
6. Прогнози на 2006 рік
7. Спам-підсумки 2005 року
8. Внутрішні загрози в Росії

Якщо в минулого року Євген Касперський, керівник антивірусних досліджень «Лабораторії Касперського» , Відкрив підсумкову конференцію словами «Нічого хорошого я вам сьогодні не скажу», то в цьому - його вступна фраза була ще більш вражаючою: «Коротко кажучи, раніше було погано, зараз стало зовсім погано».

Євген Касперський

Хочете подробиць? Будь ласка! Провідні фахівці «Лабораторії Касперського» представили детальний аналіз ситуації, експертну оцінку тенденцій і, зрозуміло, прогнози. Цією інформацією ми і поспішаємо поділитися з вами.

загальні підсумки

Вірусний аналітик «Лабораторії Касперського» Юрій Машівський повідомив, що в 2005 році було зафіксовано 14 великих вірусних епідемій. Це число втричі (!) Менше показника минулого року (46 епідемій). Дане явище в певній мірі пов'язано як зі збільшенням моторності антивірусних компаній по оновленню антивірусних баз даних на самому початку поширення шкідливих програм, так і з підвищенням пильності і свідомості користувачів.

Але основною причиною зниження кількості глобальних епідемій є перехід вірусів від масштабних дій до набагато менш помітним, так званим локальним атакам. Це пов'язано з тим, що протягом 2005 року на тлі активізації правоохоронних органів у всьому світі змінилася політика авторів шкідливих програм: триваюча криміналізація інтернету зробила невигідною великі епідемії.

Зараз вже з упевненістю можна говорити, що переважна більшість шкідливих програм (більше 75%) розробляється заради наживи. Якщо говорити про крадіжку фінансової інформації (наприклад, даних доступу до персональних банківських рахунків), то для цих цілей глобальні епідемії не потрібні, так як для обробки об'ємного масиву даних, отриманого з великого числа заражених комп'ютерів, потрібно занадто багато людей, що веде до підвищення небезпеки для злочинців. При цьому, здійснюючи цільові атаки на конкретні компанії або групи користувачів, зловмисники намагаються діяти непомітно і протягом не дуже тривалого часу. У зв'язку з цим знижується і прямий збиток ІТ-інфраструктур компаній, який за даними, представленим Computer Economics, оцінювався в 2005 році на рівні 14 млрд. Дол. (У 2004 році на відновлення ІТ-інфраструктур компаній, за даними того ж джерела, було витрачено близько 18 млрд. дол.).

Найбільші вірусні епідемії

У 2005 році були виявлені чотири великі вірусні епідемії. Це модифікації поштового хробака Bagle з індексами Ах і .ау (січень), мережевий вірус-хробак Mytob.c (березень) та дві модифікації поштового хробака Sober - Sober.p (травень) і Sober.y (листопад).

Через рік після виявлення першого примірника Bagle нові варіанти хробака продовжують тероризувати світ. Bagle.ax і Bagle.ay з'явилися практично одночасно. «Лабораторія Касперського» зафіксувала в кінці січня масові спам-розсилки даних шкідливих програм. Юрій Машівський підкреслив, що епідемію не вдалося своєчасно зупинити або сповільнити, так як для розмноження вони використовували процедуру, що має ряд особливостей в порівнянні з іншими поштовими хробаками. Вони сканували файлову систему ураженого комп'ютера і розсилали себе по всіх знайдених адресах електронної пошти, за винятком адрес, що належать великим розробникам антивірусного та інших видів програмного забезпечення. Цим пояснювалося мала кількість зразків черв'яків, отримане антивірусними компаніями. Крім цього, для збільшення інтенсивності поширення Bagle.ay здійснював пошук каталогів, що містять рядок «shar». Якщо такі каталоги були знайдені, то в них черв'як викладав своє тіло в файли з назвами, схожими з найменуваннями популярних додатків і утиліт. Таким чином кількість каналів поширення шкідливого коду було суттєво збільшено.

Юрій Машівський

У березні 2005 року була зафіксована епідемія мережного хробака Mytob.c - найнебезпечнішого з усіх виявлених варіантів даного сімейства. Він поширювався через інтернет у вигляді вкладень в заражені електронні листи, розсилаючи себе по всіх знайдених на зараженому комп'ютері адресами електронної пошти, а також використовував для свого поширення уразливість в сервісі LSASS Microsoft Windows.

Цей черв'як був заснований на вихідних кодах сумнозвісного лідера 2004 року - хробака Mydoom. Протягом трьох тижнів Mytob.c лідирував за показниками активності, займаючи близько 30% всього вірусного трафіку в електронній пошті. Так само як і Bagle.ax і Bagle.ay, він виключав з розсилки своїх копій адреси, що належать великим розробникам антивірусного та інших видів програмного забезпечення. Крім процедур самораспространения, значну небезпеку представляла міститься в цій шкідливій програмі bot-компонента, що дозволяє зловмисникові керувати зараженим комп'ютером через IRC-канали та отримувати повний доступ до що зберігається на ньому.

Варто зауважити, що в цілому сімейство черв'яків Mytob стало наймасовішим і поширеним з усіх з'явилися в 2005 році. Представники Mytob, всього понад 120 варіантів, протягом усього року становили більше половини від загального числа шкідливих програм, виявлених в поштовому трафіку.

Сімейство Sober відомо завдяки своїм складним алгоритмам розмноження і здійснення шкідливих дій. У рейтинг «Лабораторії Касперського» потрапили дві модифікації цього хробака - .р і .у.

Епідемія поштового черви Sober.p була зафіксована в травні 2005 року. Він побив всі можливі рекорди своїх «попередників» - інших поштових черв'яків - за кількістю розсилаються листів і швидкості поширення в західноєвропейському сегменті інтернету (Голландія, Німеччина, Угорщина та інші країни), тоді як від азіатських і російських користувачів надходило мінімум скарг на зараження цією версією хробака Sober. В даному черв'яка був застосований спосіб розсилки листів від імені правоохоронних органів (ФБР). За короткий час цей черв'як став найбільш часто зустрічається шкідливою програмою в поштовому трафіку.

У листопаді було виявлено інший варіант цього поштового хробака - Sober.у. Активно розмножуватися він почав тільки через деякий час після виявлення. Причина криється в черговому складному алгоритмі розмноження, для роботи якого потрібна участь інших шкідливих програм того ж сімейства. Цікавою особливістю епідемії Sober.y можна вважати фактичне її відсутність на території Росії. Подібне вже траплялося раніше, коли більшість повідомлень про заражених представниками даного сімейства поштових черв'яків приходило з території Німеччини.

Інші вірусні епідемії року

Розповівши про вірусні «мастодонти» минулого року, пан Машівський перейшов до опису інших, менш руйнівних і помітних епідемій, які лютували в 2005-му.

Так, він зазначив, що на січень припав пік активності PHP-хробаків Santy, Asan і аналогічних їм. Черви використовували пошукові системи Google і MSN для пошуку вразливих для атаки сайтів і заражали їх через масові уразливості в популярних PHP-двигунах.

У лютому було зафіксовано кілька помітних епідемій IM-хробаків. Це відносно новий клас вірусів, що поширюються через популярні системи миттєвого обміну повідомленнями (AOL, MSN, ICQ) швидко став однією з головних проблем інформаційної безпеки.

Березня ознаменувався тим, що більше 10 варіантів хробака Bagle були випущені в мережу протягом одного дня.

У квітні-травні десятки нових варіантів Mytob панували в поштовому трафіку і представляли собою головну загрозу.

На червень припала епідемія троянської програми Gpcode, яка охопила Росію і країни колишнього СРСР. Троянець шифрував призначені для користувача файли, а його автор вимагав у потерпілих гроші за відновлення даних.

Виявлення уразливості в службі Plug'n'Play призвело до безлічі локальних епідемій в серпні в результаті дії черв'яків, її використовували. У числі постраждалих - телекомпанії ABC, CNN, газета New York Times.

У грудні дала про себе знати чергова критична уразливість в Windows, на цей раз - в обробці файлів формату WMF. Протягом тижня вірусними аналітиками було виявлено більше 1000 різних варіантів експлойта і троянських програм, заснованих на даній уразливості. Компанії Microsoft знадобилося 10 днів для випуску патча.

Вірусний хіт-парад 2005 року

Протягом всього року в поштовому трафіку превалювали виключно черви (як поштові, так і мережеві). В основному це були представники «старих» вірусних сімейств, такі як Bagle, NetSky, Sober, Zafi, Mydoom. Однак безсумнівним лідером були черви Mytob, що з'явилися в 2005 році.

Наступними за поширеністю виявилися різні троянські програми, в основному відносяться до класів Trojan-Downloader, Trojan-Spy, а також численні фішингові атаки, які в 2005 році вийшли на пік своєї активності. Традиційні віруси і макровіруси практично повністю зникли з статистики «Лабораторії Касперського».

У першій половині двадцятки найпоширеніших шкідливих програм в поштовому трафіку в 2005 році виявилося п'ять нових представників, а в другій - вісім.

(перша колонка - позиція в рейтингу в порівнянні з 2004 роком)

тенденції року

«Обстановку в сучасній мережі інтернет інакше як« криміногенної »назвати не можна», - заявляє Євген Касперський. Десятки (а то й сотні) хакерських угруповань і хакерів-одинаків постійно тероризують всіх інтернет-користувачів вірусними і троянськими атаками, переслідуючи корисливий інтерес.

Остаточно сформувалася тенденція до більш витонченим способам заробляння грошей на користувачах. Вірусописьменники активно включилися в створення рекламних програм (Adware), використовуючи для цього весь наявний досвід вірусної індустрії. Відбувся перехід від практики грубих глобальних атак (DoS-атаки, епідемії черв'яків) до точкових ударів, адресованим конкретним організаціям і групам користувачів. На цьому тлі стає все більш популярним і застосування rootkit-технологій для приховування присутності шкідливого ПЗ.

Ще одна сумна тенденція - поява випадків здирництва, коли користувачеві пропонують придбати пароль до його файлів, зашифрованих шкідливою програмою. Шантаж подібного роду мав успіх, а значить можна чекати появи схожих загроз і в майбутньому.

Протягом року з'явилася велика кількість черв'яків для інтернет-пейджерів (MSN Messenger, AOL Messenger, ICQ), зросла кількість мережевих і поштових черв'яків з троянським функціоналом (епоха традиційних поштових черв'яків наближається до заходу), а також шкідливих програм для мобільних пристроїв (Bluetooth, MMS). Використовувані методи соціальної інженерії стали ще більш витонченими, а увага до пошуку і зловмисному використанню вразливостей в програмних продуктах - більш пильним.

Прогнози на 2006 рік

У році, що наступив представлені тенденції збережуться, тільки вірусні загрози, безсумнівно, стануть більш досконалими.

Якщо в минулому році аналітики тільки припускали, що метою авторів вірусів в найближчій перспективі цілком можуть стати мобільні пристрої, в великих кількостях використовуються як корпораціями, так і окремими користувачами, то події 2005 року явно вказують на швидкий розвиток сегмента шкідливих програм для мобільних пристроїв. За півтора року ці програми стали однією з найактуальніших проблем сучасної вірусології. З двох способів їх поширення - Bluetooth і MMS - перший буде і надалі найбільш популярним. MMS, однак, більш небезпечний і здатний викликати гігантську епідемію за короткий час, хоча існує надійний спосіб боротьби з ним - перевірка на сервері мобільного оператора за все MMS-трафіку. У випадку з Bluetooth такої можливості, на жаль, немає.

Троянських програм для операційної системи Symbian стане ще більше. Суттєво розшириться і спектр шкідливих програм - найімовірніше, він практично повністю повторить існуючі класи вірусів для персональних комп'ютерів, за рідкісним винятком. Крім того, увагу вірусописьменників в 2006 році повинна залучити зростаюча популярність платформи Windows Mobile і кількості користувачів смартфонів на цій системі.

Учасники прес-конференції

Ризик глобальних епідемій, здатних вивести з ладу на час окремі сегменти Мережі та охопити мільйони користувачів, як і раніше існує. Незважаючи на те, що основна маса шкідливих програм створюється зараз з метою збагатитися, залишається ще великий прошарок тих, хто пише віруси з хуліганських спонукань.

На думку фахівців «Лабораторії Касперського», є як мінімум два сценарії серйозних вірусних епідемій 2006 року. Перший - це поява мережевого черв'яка, що використовує чергову критичну уразливість в Windows, яка дозволяє атакуючому виконати довільний код у вразливою системі (аналогічно уязвимостям RPC DCOM, LSASS, PnP, MSDTC). Другий сценарій - це поява поштового хробака, котрий використовує один з методів соціальної інженерії. Швидше за все, це буде звичайний трюк з текстом листа, який буде складено таким чином, щоб переконати / змусити одержувача добровільно відкрити вкладення. Ризик подібної епідемії зростає при появі будь-якої загальносвітової проблеми, як то: природна катастрофа, терористичний акт в одній з країн Заходу, техногенна катастрофа, військовий конфлікт. Швидше за все, буде експлуатуватися і тема чемпіонату світу з футболу.

Можна очікувати і серйозної епідемії хробака, що поширюється через один з популярних клієнтів Instant Messaging. У 2005 році було виявлено кілька десятків черв'яків для MSN і AOL, однак через примітивності свого коду і способу розповсюдження вони не створили серйозних проблем в другому півріччі. У 2006 році вони безсумнівно повернуться і будуть використовувати набагато більш складні і комплексні методи поширення, включаючи «спілкування» з користувачами в режимі «чат-бота».

Слід також зазначити, що як і в 2005 році, найбільш масовим видом троянських програм залишаться представники класу Trojan-Downloader. Це для вірусів найбільш поширений спосіб доставки на комп'ютери користувачів інших шкідливих програм. Donwloader-и мають маленький розмір і здатні довгий час функціонувати в системі, не проявляючи своєї присутності. Контингент шкідливих програм, які завантажують ці троянці, не зміниться - як і раніше це будуть різні програми-шпигуни, які крадуть інформацію користувача (банківські рахунки, коди доступу до онлайн-ігор і т.п.), а також різні програми класу Adware.

Однією з головних проблем залишатимуться уразливості в популярних браузерах - Internet Explorer, Opera, Firefox. Це буде одним з основних способів впливу шкідливого коду на комп'ютери, якщо не основним.

Спам-підсумки 2005 року

В цьому році вперше на традиційній прес-конференції «Лабораторії Касперського» по вірусним підсумками року окремий доповідь була присвячена такому добре відомому кожному виду комп'ютерних загроз, як спаму.

Керівник групи спам-аналітиків «Лабораторії Касперського» Анна Власова зазначила, що 2005 рік продемонстрував подальший розвиток тенденцій, що намітилися в 2003 і 2004 роках, коли відбувалося становлення спам-індустрії.

Анна Власова

Протягом року спостерігалося невелике, хоча і впевнене зростання частки спаму в електронній пошті. Йдеться саме про співвідношення часток - в абсолютних значеннях до кінця 2005 року кількість спаму зросла в 1,5-2 рази в порівнянні з аналогічним періодом 2004 року. У загальному обсязі поштового трафіку на кожні 2-3 звичайних листи доводиться 7-8 спамерських.

Рідкісні «провали» в кількості спаму добре прогнозовані і пояснюються загальними тенденціями розвитку рекламної індустрії. Мінімальна частка спаму в загальному обсязі поштового трафіку була зафіксована на початку року в період новорічних свят (50% від загального обсягу), а максимальна - в кінці лютого / початку березня і в другій половині жовтня (87-89%).

Тематичні лідери спаму в Рунеті практично не змінилися з минулого року. Єдине нововведення, про яке згадала пані Власова, категорія «Комп'ютерне шахрайство» вийшла на лідируючі позиції:

• Освітні послуги (14% від загального обсягу спаму);
• Спам «для дорослих» (12% від загального обсягу спаму);
• Комп'ютерне шахрайство (11% від загального обсягу спаму);
• Медикаменти, товари / послуги для здоров'я (11% від загального обсягу спаму).

Типове для Рунета явище - 30% від загального обсягу спаму займає категорія «Інші товари і послуги». Це пов'язано з тим, що в Росії до послуг спамерських розсилок часто вдаються представники малого бізнесу, часто не бачачи різниці між спамом і будь-яким іншим видом реклами.

Цікава новинка 2005 року - маскування спаму під ПРИВАТНІ ПОВІДОМЛЕННЯ. Строго кажучи, такий прийом застосовувався і раніше, але тільки в минулому році кількість повідомлень, яким спамери спеціально надали вигляду особистих листів, досягло значення, при якому можна говорити, що це дійсно нова спамерська тенденція.

Ступінь маскування може бути різною - від примітивної підстановки абревіатур Re і Fw в темі листа до достовірної імітації стилістики і оборотів в тексті повідомлення під особисту переписку. Можна прогнозувати, що в кількість таких фальшивок в поштовому трафіку збільшиться, так як поки користувачі не відразу розпізнають в такому повідомленні спам.

Ще одна особливість - збільшення частки криміналізованого спаму; 6-12% від загального обсягу спаму на сьогоднішній день. Поступово зростає кількість атак, метою яких є крадіжка фінансової інформації (фішинг-атаки), поширення компромату і наклепу, а також збільшується частка контрафактних і / або контрабандних товарів в спамерськой рекламі.

Крім того, варто підкреслити, що в 2005 році в Рунеті на якісно новий рівень вийшов «політичний» спам. Епізодичні розсилки, в основному носять огульно-лайливий характер, поступилися місцем справжнім багатоступеневим PR-кампаній. Анна Власова повідомила, що мова йде не тільки про передвиборну агітацію, а про спамерських кампаніях, спрямованих на формування громадської думки з питань внутрішньої політики держави. У порівнянні з попередніми спробами нові спам-атаки відрізняються тривалістю, наполегливістю і хорошим плануванням.

Що стосується технологій розсилки спаму, то в 2005 році не було виявлено жодного принципово нового спамерського прийому або методики. Основним способом розсилки спамерських повідомлень було і залишається використання мереж зомбі-комп'ютерів. В основному спамери йдуть по шляху нарощування потужностей і розвитку зомбі-мереж. Можна припустити, що технології розсилки і в 2006 році якісно змінюватися не будуть: спамери будуть розвивати можливості по модифікації листів в розподіленої мережі зомбі-комп'ютерів при збереженні швидкості розсилки. Проте цілком імовірно, що спамери будуть активніше користуватися новими каналами поширення розсилок, такими як ICQ і мобільний зв'язок.

Внутрішні загрози в Росії

Завершив прес-конференцію доповідь Дениса Зенкина, директора з маркетингу InfoWatch , Дочірньої компанії «Лабораторії Касперського». Як і в минулому році, він представив результати дослідження InfoWatch в області корпоративного захисту від внутрішніх загроз інформаційної безпеки.

Денис Зенкин

У дослідженні, яке проходило в період з вересня по грудень 2005 року, взяли участь представники 315 державних і комерційних російських організацій (переважно представники середнього бізнесу при високому рівні репрезентативності малих і великих підприємств).

Список найбільш небезпечних ІТ-загроз, які викликали стурбованість респондентів в 2005 році, не зазнав значних змін як в кількісному, так і в якісному плані. Сумна група лідерів - крадіжка інформації, шкідливі програми, хакерські атаки, спам і недбалість співробітників.

Однак в цілому індекс стурбованості ІТ-погрозами в 2005 році дещо знизився, а ставлення до внутрішніх загроз не змінилося.

Відповіді за ключовою проблематики дослідження не виявили суттєвих змін ситуації в порівнянні з 2004 роком. Абсолютне лідерство зберіг «Порушення конфіденційності інформації». При цьому великі і частина середніх підприємств розглядають цю проблему з внутрішньокорпоративної точки зору (захист власних активів), а малі підприємства - з точки зору ситуації в країні в цілому. У минулому році тривали скандали з витоком державних баз даних, і тому сьогодні можна скласти цифровий портрет будь-якого громадянина за допомогою відомостей з піратського ринку.

Як показали результати дослідження, найбільшу стурбованість респондентів викликають мобільні накопичувачі інформації. Цей шлях витоку даних випередив лідерів 2004 року - електронну пошту, інтернет-пейджери і інші веб-служби. Пояснення положення можна знайти в російській специфіці цієї галузі кібер-злочинності - розкрадання великих баз даних, обсяги яких обчислюються десятками гігабайт.

Ситуація з реєстрацією витоків конфіденційної інформації, як і в минулому році, продемонструвала, що російські організації все ще насилу можуть оцінити масштаби і наслідки проблеми в рамках власного бізнесу. Практично всі респонденти зізналися, що інциденти проходять непоміченими, тому що в інформаційних системах відсутні комплексні засоби виявлення і запобігання витоків.

Як і в 2004 році, найпопулярнішим засобом ІТ-безпеки виявилися антивіруси. Невелике зростання зареєстрований щодо міжмережевих екранів.

Низький рівень поширеності систем захисту від витоку конфіденційної інформації - 2% - свідчить про збереження суперечливої ​​ситуації. Незважаючи на те, що проблеми внутрішньої ІТ-безпеки викликають найбільшу стурбованість у ІТ та ІБ-фахівців, до сих пір дуже мало компаній впровадили системи спеціалізованої захисту.

Що перешкоджає подоланню бар'єру між бажанням і конкретними кроками по нейтралізації загрози? Відповіді учасників опитування показали, що частка самого популярної причини «Відсутність технологічних рішень» знизилася, але замовники як і раніше не дуже добре обізнані про ринок спеціалізованих продуктів і послуг. Показовими є і інші відповіді:

З високим рівнем «тих, кому важко відповісти» автори дослідження пов'язують великі надії. Справа в тому, що представники цієї групи фахівців найближче підійшли до порогу практичної реалізації захисту, їм залишилося подолати лише психологічний бар'єр. Однак ще досить великий вплив і таких причин як, нестача кваліфікованих фахівців і відсутність федеральних стандартів та законодавчих вимог.

Плани щодо впровадження спеціалізованих ІТ-систем для захисту від витоку конфіденційної інформації в найближчі три роки дозволяють говорити, що ситуація повільно, але впевнено змінюється на краще. Більш ніж на 20% знизилася кількість організацій, які не планують установку таких систем, значно збільшилася кількість прихильників комплексного моніторингу мережевих ресурсів.

В цілому зміни в країні з точки зору захисту конфіденційної інформації можна визнати позитивними, хоча загальної ситуації далеко до ідеалу. Росія, як зазначив Денис Зенкин, успішно подолала перший, але дуже важливий етап усвідомлення актуальності проблеми. Надалі належить подолати шлях вибору рішень і їх впровадження.