Вирусные итоги 2004:

неутешительные цифры и факты
от «Лаборатории Касперского»

«Ничего хорошего я вам сегодня не скажу», — такими словами небезызвестный Евгений Касперский открыл пресс-конференцию, посвященную подведению вирусных итогов 2004 года. «Что же, мы и не ждем услышать ничего хорошего», — ответим мы руководителю антивирусных исследований компании «Лаборатория Касперского».

Вирусные эпидемии становятся более масштабными, их последствия — все более разрушительными, и каждый из нас свидетель этому. Ладно еще когда свидетель, а когда пострадавший?! :) Если раньше вирусописательством, по большей части, занимались энтузиасты, не нашедшие другого способа выразить свой талант, то сегодня создание вредоносного кода поставлено на бизнес-рельсы и приносит огромный нелегальный доход. Этот доход довольно легко подсчитать, достаточно лишь сложить прибыли злодеев ;). Но вот только кто же из них будет рассказывать о своих победах? :) Определить размер убытков, как вы понимаете, еще сложнее: дело не в том, что пострадавшие не хотят обнародовать свой ущерб, просто не все потери можно оценить в денежном эквиваленте. Аналитики могут дать лишь очень приблизительные цифры, зачастую беря за основу лишь прямой ущерб (потеря информации, время на восстановление работы сетей, время простоя и т.п.). Так, например, Computer Economics оценивает общий финансовый ущерб от вирусов за 2004 год почти в 18 млрд. долл. Причем, по мнению Евгения Касперского, эта сумма значительно занижена и не включает данные по кражам со счетов, финансовый ущерб от спама и др.



Наибольшие финансовые потери вызвали MyDoom, Sasser, NetSky и Bagle, речь о них пойдет ниже.



Вирусные эпидемии и тенденции 2004 года

В 2004 году было зафиксировано 46 крупных вирусных эпидемий. Это число превосходит результаты прошлого года (35 эпидемий), причем многие из них были вызваны одновременным (в течение одних суток) появлением нескольких вариантов одного и того же вируса.

Доминирующей разновидностью вредоносных программ в течение всего года оставались почтовые черви. На втором месте рейтинга оказались различные троянские программы, в том числе бэкдоры (backdoors, программы скрытого удаленного администрирования). Традиционные вирусы и макровирусы составили незначительную долю от общего числа. В итоговой статистике можно увидеть эксплойт. По мнению аналитиков «Лаборатории Касперского», это в полной мере отражает неприятный факт, что все растущее число обнаруживаемых уязвимостей в браузере Internet Explorer не остается незамеченным вирусописателями, и за каждой найденной уязвимостью обязательно следует создание вредоносной программы, ее использующей.



Тенденции, появившиеся в 2003 году, — использование брешей в операционных системах для заражения уязвимых машин через интернет, наличие возможностей проведения DDoS-атак, спамерские технологии, социальная инженерия (способ описать «не-технические» дыры в системе безопасности: в случае с вирусами и червями этот термин означает обман ничего не подозревающих пользователей с целью запуска ими зараженного вложения) — продолжали развиваться — и примером тому служат угрозы, с которыми мы столкнулись в 2004 году.

Эпидемия червя MyDoom.a, начавшаяся в последних числах января прошлого года, стала самой крупной в истории Сети, а созданная им сеть зомби-машин была впоследствии использована злоумышленниками в собственных целях, в том числе и для организации новых вирусных эпидемий. Кроме того, в интернете были распространены исходные коды данного червя, что привело к появлению различных вариантов MyDoom, некоторым из которых также удалось вызвать крупные эпидемии 2004 года.

Достойным продолжателем дела сетевых червей, использующих уязвимости в системных службах ОС Windows и проникающих на компьютеры непосредственно через сетевые порты, стал Sasser. Второй по масштабности за всю историю Сети червь 1 мая начал заражать компьютеры, не имеющие установленного патча для очередной обнаруженной уязвимости в службе LSASS Microsoft Windows. По оценкам различных экспертов общее число зараженных машин по всему миру составило несколько миллионов, вирус привел к кратковременным сбоям отдельных сегментов глобальной сети. К чести правоохранительных органов, им удалось в кратчайшие сроки установить, найти и арестовать автора данного червя, Свена Яшана, оказавшегося также автором семейства почтовых червей NetSky.

В последнее время успешным, с точки зрения автора вредоносного кода, является использование связки различных видов атак. Все большее количество таких «связок» содержит в себе троянскую компоненту того или иного типа. Троянцы появляются в системе с помощью вируса или червя и, так как в троянские программы обычно не встроена система размножения и заражения других компьютеров, часто воспринимаются как угроза менее опасная, чем вирусы или черви. Однако эффект появления троянца в системе может быть опасен и непредсказуем, как заявляет Евгений Касперский. Троянские программы не просто становятся сложнее, они все чаще используются в откровенно преступных целях.

В начале года дал о себе знать троянский прокси-сервер Mitglieder. Тысячи пользователей ICQ получили сообщение со ссылкой, ведущей на сайт, на котором находилась эта троянская программа. Mitglieder использовал уязвимость в веб-браузере Microsoft Internet Explorer, позволявшую установить и запустить прокси-сервер на машине без ведома пользователя. Затем он открывал на компьютере один из портов, чтобы получать и принимать почту. В результате сеть зараженных машин стала армией «зомби», рассылающих спам по всей Сети. Mitglieder сделал троянcкие прокси-серверы отдельной категорией вредоносных программ. Из-за этого троянца серьезно усилилось использование таких методов распространения подобных программ, как массовая рассылка сообщений и писем со ссылками на зараженные сайты.

Многие вредоносные программы, последовавшие за Mitglieder, использовали троянскую технологию. Bagle, появившийся в январе 2004 года, судя по всему, того же авторства, что и Mitglieder, либо устанавливал троянский прокси-сервер, либо скачивал его через интернет. В любом случае, червь был просто новой версией Mitglieder, включавшей в себя функцию распространения по электронной почте. Bagle распространялся с машин, ранее зараженных Mitglieder. Это указывает на важную характеристику угроз 2004 года: троянские компоненты использовались с целью создания платформ для дальнейшей эпидемии. Эта техника привела к широкому распространению множества версий не только Bagle, но и Netsky, MyDoom, а также других подобных червей.

Очень любопытным фактом 2004 года стала развернувшаяся в феврале-марте кибербитва между соперничающими вирусописателями. Вирус Netsky не просто заражал компьютеры — он также удалял с машин любые экземпляры вирусов Mydoom, Bagle и Mimail. В довершение ко всему, авторы вируса Netsky объявили войну авторам Bagle. На пике такой «войны» каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов.

Практика, также ставшая известной в 2004 году, — распространение ссылок, ведущих на сайт, где находится вредоносный код. Троянская программа Mitglieder, о которой шла речь ранее, не единственная распространялась таким образом. NetSky, например, распространял себя, рассылая письма, содержащие ссылки на ранее зараженные машины. Похожим образом вел себя Bizex, первый ICQ-червь, начавший распространяться в феврале. Bizex проникал на компьютеры с помощью ICQ, рассылая по всему контактному листу пользователя ссылки на сайт, где содержалось тело червя. Когда пользователи переходили по ссылке, червь загружался на компьютер пользователя, и цикл повторялся. Данный метод распространения использовался множеством червей.

Почтовые адреса со ссылками, как и следовало ожидать, не воспринимаются некоторыми пользователями как угроза безопасности компьютера. Многие с большей вероятностью перейдут по ссылке в письме, чем откроют вложение. Также этот метод позволяет эффективно обойти периметр защиты, выстроенный провайдерами: их файрволлы могут блокировать вложения с подозрительными расширениями (.EXE, .SCR и так далее), но письма со ссылками беспрепятственно минуют эту защиту. Несомненно, отметил Евгений Касперский, этот метод будет использоваться и далее — до тех пор, пока пользователи не перестанут относиться «спустя рукава» к ссылкам, приходящим по электронной почте.

В ходе пресс-конференции был представлен вирусный хит-парад 2004 года, составленный специалистами «Лаборатории Касперского» на основе данных из ежемесячных отчетов о вирусной активности. Любопытно, что в десятку самых распространенных вирусов 2004 года не попали самые масштабные MyDoom и Sasser. Это можно объяснить тем, что их активное воздействие пришлось на первую половину года, а затем наблюдался спад.

Вирусный хит-парад 2004
Место Вредоносная программа Рейтинг на основе ежемесячных данных
1 NetSky.b 196
2 NetSky.q 181
3 NetSky.aa 163
4 NetSky.d 126
5 Zafi.b 124
6 Bagle.z 116
7 NetSky.t 108
8 LovGate.w 108
9 NetSky.y 106
10 Swen 88

В 2004 году также растет число программ, которые сами по себе не являются вредоносными, но оставляют в системе троянскую программу (TrojanDropper) или загружают ее из интернета (TrojanDownloader). И те, и другие преследуют цель: установить на зараженной машине вредоносное программное обеспечение, будь то вирус, червь или другая троянская программа. Однако эти программы используются не только для установки другого вредоносного кода, их частое применение — в установке без ведома пользователя так называемых adware и pornware, программ, которые, не являясь вирусами, собирают информацию о пользователе. Adware — это программы, которые отображают рекламу, без ведома и согласия пользователя. Pornware — это программы, которые соединяются с платными порнографическими сайтами также без ведома и согласия пользователя.

Итак, использование программ для кражи паролей, доступа к конфиденциальной информации, осуществления DDoS-атак, несанкционированного показа рекламы, распространения спама и т.п., демонстрирует важное изменение в природе угроз безопасности — их коммерциализацию. На сегодняшний день уже распространена практика арендования сетей зараженных машин для распространения спама или для проведения DDoS-атак, а также случаи вымогательства, когда производится показательная DDoS-атака на сайт жертвы. Здесь следует упомянуть и о так называемом фишинге, который пока не нашел широкого распространения в России, — афере, позволяющей обмануть пользователей так, чтобы они отправили злоумышленникам информацию о своих банковских счетах.

Стоит отметить, что в 2004 году впервые появились угрозы безопасности мобильных устройств, использующих новые технологии, в частности оснащенных средствами беспроводной связи (802.11b, Bluetooth и т.п.). Первым вирусом для мобильных телефонов стал Cabir, замеченный и в России. Безопасность мобильных новинок, содержащих конфиденциальную информацию, пока оставляет желать лучшего, что делает устройства притягательной мишенью для атак злоумышленников. Очевидно, что число «мобильных» вирусов будет расти и скорость этого роста будет определяться появлением и распространением новых возможностей, интересных для злоумышленников (управление с телефона банковским счетом, например).

Ознаменовался 2004 год и громкими арестами авторов вредоносного кода: в мире было арестовано более 100 хакеров. Закон не стоит на месте, и постепенно объединение властей разных стран для поимки преступников становится глобальным явлением.

Прогнозы на 2005 год

Представленные тенденции будут иметь место и в наступившем году, и «Лаборатория Касперского» прогнозирует их дальнейшее усиление. До тех пор, пока техники, описанные выше, эффективны в атаках на пользователей компьютеров, авторы вредоносного кода будут продолжать их использование. Ключевой фактор — в том, что эти методы хорошо зарекомендовали себя как среди авторов вредоносного кода, так и среди тех, кто платит им за создание программ для нелегального заработка. Творения рук злоумышленников, разумеется, будут совершенствоваться, авторы программ будут добавлять в них новые возможности, чтобы сделать их еще более эффективными, и алгоритмы «самозащиты» для того, чтобы сделать их обнаружение и удаление более сложным. Как и в прошлом, авторы вредоносных программ скажут новое слово в их написании. В частности, их целью вполне могут стать мобильные устройства, и начало этому уже положено.

Внутренние ИТ-угрозы в России

За выступлением Евгения Касперского последовал доклад директора по маркетингу компании InfoWatch, дочерней структуры «Лаборатории Касперского», Дениса Зенкина, который представил результаты первого в России исследования проблем внутрикорпоративных информационных угроз. Решение данной проблемы — основное направление деятельности компании InfoWatch.

«Вирусные внешние угрозы — только вершина айсберга», — подчеркнул Денис Зенкин. Внутренние ИТ-угрозы являются одной из наиболее актуальных областей информационной безопасности. Об этом свидетельствуют и результаты исследования компании InfoWatch, проводившегося с сентября по декабрь 2004 года.

В процессе исследования было опрошено около 400 высококвалифицированных специалистов — руководителей и ведущих сотрудников ИТ-отделов и ИБ-отделов — государственных и коммерческих организаций России. Среди организаций-участников опроса преобладали предприятия среднего и крупного масштабов.

Исследование «Внутренние ИТ-угрозы в России 2004» выявило целый ряд любопытных фактов, которые могут представлять профессиональный интерес для специалистов в области информационной безопасности (ИБ), маркетинга и продаж.

  • В России только начинает формироваться культура профессионального отношения к ИБ: лишь 16% респондентов имеет выделенные отделы ИБ. В 94% случаев эти отделы были сформированы в течение последних 2 лет.
  • 62% респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций.
  • 98% считает, что нарушение конфиденциальности информации — самая большая внутренняя ИТ-угроза.
  • 89% считают электронную почту самым распространенным путем утечки конфиденциальной информации.
  • 67% не осведомлены о наличии инцидентов в сети организации, связанных с утечкой данных.
  • 99,4% допускают возможность наличия незарегистрированных инцидентов внутренней ИБ.
  • 87% считают технические средства эффективным способом защиты. Однако всего 1% респондентов используют их, в то время как 68% вообще не предпринимают никаких действий.
  • Российские организации осознают опасность внутренних ИТ-угроз, но не знают как с ней бороться: 58% не осведомлены о существующих технологических решениях.
  • 76% планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года.
  • Чем больше организация, тем выше озабоченность угрозой утечки конфиденциальной информации.
  • Рынок систем защиты от утечки данных (Anti-Leakage Software) только начинает формироваться и имеет большой потенциал.
  • Наиболее активные игроки на отечественном рынке Anti-Leakage Software имеют возможность многократно увеличить доходы и принять участие в формировании международного рынка специализированных решений.

Представители InfoWatch рассчитывают, что данное исследование, полный текст которого можно скачать по этому адресу, поможет привлечь внимание специалистов к более чем актуальной проблеме внутренних угроз и сделать соответствующие выводы для совершенствования защиты информационных систем.




24 января 2005 Г.

2004: « »

2004:


« »

« », — -, 2004 . « , », — « ».

, , . , ?! :) , , , , - . , ;). ? :) , , : , , . , ( , , ..). , , Computer Economics 2004 18 . . , , , .





MyDoom, Sasser, NetSky Bagle, .





2004

2004 46 . (35 ), ( ) .

. , (backdoors, ). . . « », , Internet Explorer , , .





, 2003 , — , DDoS-, , ( «-» : ) — — , 2004 .

MyDoom.a, , , - , . , , MyDoom, 2004 .

, Windows , Sasser. 1 , LSASS Microsoft Windows. , . , , , , NetSky.

, , . «» . , , , . , . , .

- Mitglieder. ICQ , , . Mitglieder - Microsoft Internet Explorer, - . , . «», . Mitglieder c - . - , .

, Mitglieder, . Bagle, 2004 , , , Mitglieder, -, . , Mitglieder, . Bagle , Mitglieder. 2004 : . Bagle, Netsky, MyDoom, .

2004 - . Netsky — Mydoom, Bagle Mimail. , Netsky Bagle. «» , .

, 2004 , — , , . Mitglieder, , . NetSky, , , , . Bizex, ICQ-, . Bizex ICQ, , . , , . .

, , . , . , : (.EXE, .SCR ), . , , — , « » , .

- - 2004 , « » . , 2004 MyDoom Sasser. , , .

- 2004
1 NetSky.b 196
2 NetSky.q 181
3 NetSky.aa 163
4 NetSky.d 126
5 Zafi.b 124
6 Bagle.z 116
7 NetSky.t 108
8 LovGate.w 108
9 NetSky.y 106
10 Swen 88

2004 , , (TrojanDropper) (TrojanDownloader). , : , , . , — adware pornware, , , , . Adware — , , . Pornware — , .

, , , DDoS-, , .., — . DDoS-, , DDoS- . , , — , , .

, 2004 , , (802.11b, Bluetooth ..). Cabir, . , , , . , «» , ( , ).

2004 : 100 . , .

2005

, « » . , , , , . — , , , . , , , , , «» , . , . , , .

-

InfoWatch, « », , . — InfoWatch.

« — », — . - . InfoWatch, 2004 .

400 — - - — . - .

« - 2004» , (), .

  • : 16% . 94% 2 .
  • 62% , .
  • 98% , — -.
  • 89% .
  • 67% , .
  • 99,4% .
  • 87% . 1% , 68% .
  • -, : 58% .
  • 76% 2 .
  • , .
  • (Anti-Leakage Software) .
  • Anti-Leakage Software .

InfoWatch , , , .