Участие в ежегодной пресс-конференции с говорящим названием «Вирусные итоги» вошло в традицию. Вот уже третий год подряд мы посещаем ее с целью узнать от аналитиков «Лаборатории Касперского» о крупнейших вирусных инцидентах, имевших место в прошедшем году, познакомиться с их экспертной оценкой тенденций в сфере создания и распространения вирусов и, разумеется, услышать прогнозы относительно дальнейшего развития ситуации.
Круг вопросов очень широкий, поэтому обойдемся без долгих вступлений и сразу приступим к сути, к ежегодному обзору событий в области вредоносных программ. Тем более что формат мероприятия, знакомый нашим читателям по предыдущим публикациям, не изменился и в представлении, следовательно, не нуждается.
Общие итоги
Открывший пресс-конференцию ведущий вирусный аналитик «Лаборатории Касперского» Александр Гостев отметил, что 2006 год оказался достаточно интересным с технологической точки зрения и, к счастью, достаточно спокойным, несмотря на то, что общая криминальная составляющая современного вирусописательства еще более усилилась. Вирусных эпидемий было значительно меньше, чем в предыдущие годы, а число глобальных угроз не превысило и десятка (для сравнения — в 2004 году компания насчитывала 46 крупных эпидемий, а в 2005-м — 14). Причем не было ни одной глобальной эпидемии, сравнимой по уровню хотя бы с некоторыми эпидемиями 2005 года. Причина данного явления проста — на смену глобальным эпидемиям окончательно пришли локальные, организованные по географическому признаку (т.е. охватывающие отдельные регионы, например, Китай, Россию и т.д.) или имеющие крайне малый период активности.
2006 год продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы — преобладание троянских программ над червями и увеличение в новых образцах вредоносного кода доли программ, ориентированных на нанесение финансового ущерба пользователям.
Наиболее интересными событиями 2006 года были стремительный рост числа троянских программ-шпионов, ориентированных на кражу данных пользователей онлайн-игр, и дальнейшее развитие троянцев-шифровальщиков, в которых начали применяться серьезные криптографические алгоритмы для шифрования данных. Также было отмечено повышенное внимание вирусописателей к Microsoft Office, выражавшееся в обнаружении большого числа новых уязвимостей и последующем появлении вредоносных программ, использующих данные уязвимости.
Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS, троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета.
Кроме того, авторы вредоносных программ всё активней использовали нестандартные пути для проникновения в компьютеры своих жертв, например, системы мгновенного обмена сообщениями (ICQ, AOL, MSN). Этот путь напрямую был связан и с большим количеством уязвимостей в популярных браузерах, в первую очередь в Internet Explorer. Ранее относительно безопасные социальные сети (блоги, форумы) также оказались под пристальным вниманием авторов вирусов. 
Крупнейшие вирусные эпидемии года
В 2006 году было зафиксировано 7 крупных вирусных эпидемий, вдвое меньше чем в прошлом году. Их можно разделить на четыре группы: это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика GpCode.
В конце января 2006 года была отмечена массовая рассылка нового варианта почтового червя Nyxem. Особый интерес вызывало то, что червь имел в себе функцию обращения с зараженных машин на определенный сайт, где был установлен счетчик посещений. Антивирусные компании за считанные дни зафиксировали сотни тысяч обращений к данному сайту, что свидетельствовало о действительно крупной эпидемии. Дополнительный анализ показал, что большинство зараженных компьютеров находятся в Индии и в странах Южной Америки (в первую очередь в Перу).
Червь обладал вредоносной функцией — удаление всех пользовательских файлов, документов и архивов при наступлении 3-го числа каждого месяца. Учитывая то, что Nyxem.e к моменту наступления 3 февраля 2006 года мог поразить более миллиона компьютеров, средства массовой информации выступили с множественными публикациями по данному поводу с целью информирования пользователей. Александр Гостев не исключает возможности, что именно благодаря этому удалось избежать глобального удаления пользовательских данных — 3 февраля не было отмечено значительного числа обращений от пользователей по данному поводу.
Однако, сам Nyxem.e никуда не исчез и продолжал на протяжении всего 2006 года присутствовать в почтовом трафике, причем с весьма высокими показателями. Второй пик его активности был отмечен в августе-сентябре. Все это позволило ему занять итоговое пятое место среди самых распространенных вредоносных программ в почтовом трафике в 2006 году.
Январь 2006 года, кроме Nyxem.e, вошел в историю еще и появлением первой троянской программы, которая использовала «серьезный» криптографический алгоритм для шифрования пользовательских данных. Gpcode.ac использовал алгоритм RSA, правда с длиной ключа всего лишь в 56 бит. Поэтому широко распространенная с помощью спам-рассылки по Рунету вредоносная программа была достаточно легко остановлена антивирусными компаниями путем оперативного выпуска процедур расшифровки пользовательских файлов.
Еще три варианта Gpcode — Gpcode.ae, Gpcode.af и Gpcode.ag — были последовательно распространены в начале июня, причем каждый раз для шифрования использовался гораздо более длинный ключ (260, 330 и 660 бит), что значительно осложняло процесс его подбора экспертами антивирусных компаний. Но после расшифровки новых вариантов троянца Gpcode не появлялось. Автор взял очередную паузу?
Еще один возмутитель спокойствия — опасное семейство червей Bagle, дебютировавшее в 2004 году и прошедшее путь от простого почтового червя до многокомпонентной вредоносной программы, обладающей функциями прокси-сервера, загрузчика, шпиона и разнообразными способами своего распространения. Пик активности семейства Bagle пришелся на 2005 год; в 2006 году авторы червя снизили продуктивность своей деятельность, что, однако, не помешало им дважды в течение года устроить довольно серьезные вирусные эпидемии — в феврале и июне. После каждой такой эпидемии отмечалось значительное увеличение спама в почтовом трафике — зараженные Bagle компьютеры использовались как троянские прокси-серверы, как мы уже отметили чуть выше.
Очень похожую тактику распространения (массированные кратковременные локальные рассылки) затем использовали неизвестные авторы червя Warezov. По своему функционалу он очень похож на Bagle и также ориентирован на последующее использование зараженных систем для рассылки спама. Начиная с сентября и до конца года было зафиксировано более 300 вариантов данного червя, причем в отдельные дни аналитики «Лаборатории Касперского» сталкивались более чем с 20 новыми модификациями, каждая из которых стремительно распространялась в электронной почте. «Несмотря на то, что из-за своего многообразия ни одному из вариантов Warezov не удалось попасть в итоговую десятку самых распространенных вирусов в электронной почте, — отметил Александр Гостев, — в действительности они продолжают оставаться одной из самых быстро развивающихся и опасных вредоносных программ в сети Интернет».
Вирусный хит-парад
Анализ почтового трафика 2006 года показал, что семейство червей Mytob не собирается сдавать свои позиции. Лидер вирусного хит-парада здесь остался прежним — Mytob.c не уступил место ни известным уже несколько лет вариантам NetSky, ни новичку Scano. 
Данные онлайн-сканера «Лаборатории Касперского», фиксирующего заражение вредоносными программами не через электронную почту, были вынесены в отдельный итоговый список. В этом топ-листе можно увидеть, например, LdPinch распространяющийся через ICQ-рассылку, троянца-звонилку Dialer.cj и шпиона Banker.anv, который может воровать данные более 50 (!) платежных систем. 
В целом рост числа всех новых вредоносных программ (около 60 тыс.) составил 41% по сравнению с 2005 годом; в этом году, по словам Александра Гостева, можно ожидать, что эти темпы не снизятся. Подавляющее большинство среди новинок относится к классу троянцев. Это в корне отличается от ситуации 2001-2003 гг., когда более половины всего списка новых вредоносных программ занимали черви (сейчас лишь 5%).
Классификация вредоносных программ «Лаборатории Касперского»:
- TrojWare: различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
- VirWare: саморазмножающиеся вредоносные программы (вирусы и черви);
- Other MalWare: программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.
Основные причины удержания в течение последних нескольких лет пальмы первенства троянцами (TrojWare) — относительная простота создания вредоносных программ данного класса (по сравнению с червями и вирусами) и возможность с их помощью красть данные, создавать ботнеты и производить спам-рассылки.
Число червей и вирусов (VirWare), скорее всего, сейчас достигнуло определенной «точки равновесия» и в ближайшем будущем вряд ли продолжит сокращаться. Что же касается вредоносных программ, которые относящихся к Other MalWare, то этот самый малочисленный класс вредоносных программ представлен множеством различных поведений, наибольший интерес из которых представляют exploits (использование уязвимостей в ПО). Самым значимым событием 2006 года в данном классе является появление большого числа эксплойтов для MS Office.
Мобильные вирусы
Вирусы для мобильных телефонов — это новая область, которой нет еще и трех лет. В 2006 году появилось более десятка новых семейств мобильных вирусов, практически все из которых также относятся к классу троянских программ. 
Значительный всплеск на графике появления новых мобильных вредоносных программ был отмечен в начале года — сотрудники «Лаборатории Касперского» фиксировали до двух десятков вариантов в месяц. Казалось, что взятый темп будет поддерживаться продолжительное время, но уже во втором квартале 2006 года рост числа новых вариантов практически прекратился — как для известных семейств, так и для новых, а тенденция снижения активности продолжилась до конца 2006 года, выйдя на показатель 2-7 новых вариантов старых семейств в месяц.
Всего за год было выявлено 186 вариантов мобильных вирусов, 6 из которых «Лаборатория Касперского» относит к «распространяющимся в дикой природе», их можно встретить не только в трафике мобильных операторов, но и в метро или магазине, например, если включен Bluetooth. 
Неприятным сюрпризом стало появление троянца RedBrower в феврале 2006 года: впервые под угрозой заражения оказались обычные мобильные телефоны (т.е. не смартфоны), использующие платформу J2ME для выполнения некоторых приложений. До 2006 года из всех мобильных платформ подвергались нападению вирусов две основные смартфон-платформы — Symbian и WinCE.
Появление троянских программ для J2ME — это не менее серьезное событие, чем появление первого червя для смартфонов в июне 2004 года. Все потенциальные угрозы пока оценить трудно, но троянцев, отправляющих SMS-сообщения на платные номера, можно считать пока только своеобразной «пробой пера», а современное положение дел в области мобильной вирусологии расценивать как затишье перед бурей.
«С точки зрения технологий, возможностей мобильных вирусов и сред их обитания — практически все уже реализовано вирусописателями, в той или иной мере. Все популярные мобильные платформы уязвимы для вирусной атаки. Спектр поведений и функционал известных червей, троянцев и вирусов в полной мере повторяет то, что существует в мире компьютерных вирусов», — пояснил Александр Гостев. Однако определяющим фактором развития мобильных вирусов на ближайшее время останется исключительно доля смартфонов на рынке и возможности по нелегальному зарабатыванию денег при помощи зараженных телефонов. Поэтому в 2007 году вряд ли опасность для мобильных пользователей увеличится значительно — на стадию «промышленного» использования мобильные вирусы еще не вышли и вряд ли выйдут в течение ближайших пары лет.
Прогнозы на 2007 год
В 2007 году, как ожидается, основное внимание вирусописателей будет по-прежнему приковано к различным троянским программам, специализирующимся на краже пользовательской информации. Основными объектами атак будут оставаться пользователи различных банковских и платежных систем, а также поклонники онлайн-игр. Разумеется, будет продолжена и тенденция сплочения авторов вирусов и спамеров, когда за счет их «симбиоза» зараженные компьютеры используются не только для организации новых эпидемий или атак, но и для рассылки спама.
Что касается путей проникновения вредоносных программ на компьютеры, то основными, по прогнозам «Лаборатории Касперского», по-прежнему будут оставаться электронная почта и уязвимости в браузерах. способы распространения вредоносных программ, как P2P-сети или IRC-каналы, не будут массовыми, однако, несомненно, будут использоваться — преимущественно локально (например, P2P-клиент Winny, очень популярный в Японии, может в 2007 году стать очень серьезной проблемой для азиатских пользователей). Системы мгновенного обмена сообщениями останутся в тройке наиболее активно используемых средств для атаки, однако заметного усиления этого способа распространения вирусов аналитики не ожидают.
В целом, эпидемии и вирусные атаки станут еще более географически выражены. Например, для Азиатского региона будет характерно преобладание игровых троянцев и червей с вирусным функционалом, а для Европы и США — троянцев-шпионов и бэкдоров. Южная и Латинская Америка будут по-прежнему страдать от всевозможных «банковских» троянских программ.
Главной темой 2007 года, без сомнений, станет новая операционная система Microsoft — Vista — и связанные с ней уязвимости.
Значительный рост вредоносных программ можно прогнозировать и для других операционных систем: в первую очередь для MacOS, а затем для *nix-систем. Не останутся без внимания и игровые приставки, такие как PlayStation и Nintendo. Все увеличивающееся число таких устройств и их возможности по коммуникации друг с другом и интернетом могут привлечь внимание авторов вирусов, пока, правда, исключительно из «исследовательско-хулиганских» побуждений. Может случиться, что вирусы для «некомпьютеров» в 2007 году преодолеют определенный рубеж и перейдут к стадии бурного роста, однако вероятность этого невысока.
Вредоносные программы будут продвигаться дальше по дороге повышения своей технологичности и методов сокрытия своего присутствия в системе. Разработки в области полиморфизма, замусоривания кода и руткит-технологии станут еще более массовыми и практически будут являться стандартом для большинства новых вредоносных программ.
В антивирусной компании прогнозируют также увеличение числа точечных атак на компании среднего и крупного бизнеса. Помимо традиционной кражи информации, эти атаки будут нацелены и на вымогательство денег у пострадавших организаций, в том числе и за расшифровку данных. При этом одним из основных способов проникновения в системы будут файлы MS Office и уязвимости в этом программном продукте.
Будьте бдительны!
