«Лаборатория Касперского» подвела итоги 2008 года

История развития компьютерных вирусов и спама в течение года

Вирусные итоги

На прошедшей в Москве ежегодной конференции «Лаборатория Касперского» подвела итоги 2008 года и рассказала о главных тенденциях в развитии вредоносных программ, компьютерных угроз и спама.

О «рынке» программ-вредителей рассказал руководитель центра глобальных исследований и анализа угроз Александр Гостев.

Александр Гостев начал с анализа главных событий прошедшего года, а именно со сравнения их с прошлогодними прогнозами «Лаборатории Касперского». Как он сообщил, все прогнозы сбылись, а именно:

  • киберпреступность становится своеобразным «сервисом»: постепенно проходят времена «умельцев», создававших какие-то уникальные вирусы;
  • 2008 год стал периодом небывалой активности хакеров, специализирующихся на взломе сайтов и серверов;
  • главными нарушителями спокойствия в сети стали китайские программисты;
  • продолжают развиваться и распространяться руткиты;
  • возродились файловые вирусы, распространяемые на переносных носителях, теперь их местом пребывания стали флэш-носители;
  • популярность социальных сетей не была оставлена без внимания и со стороны взломщиков: значительно возросла частота атак на них;
  • новая «платформа» для программ-нарушителей: онлайн-игры.

Он также поблагодарил всех, кто не поленился активировать в своих антивирусах технологию Kaspersky Security Network (KSN). Это новшевство позволяет «Лаборатории Касперского» получать информацию о вирусных угрозах и отслеживать их развитие.

Итак, продолжается развитие тенденции комерциализации вредоносного ПО. Подавляющее большинство обнаруженных в 2008 году троянцев и вирусов были разработаны для перепродажи их другим лицам. Активно использовались услуги по технической поддержке таких продаж, в том числе обходу антивирусных продуктов. Образуется четкое разделение на «заказчиков» и «исполнителей»: киберпреступность становится результатом слаженной работы группы людей, каждый из которых занят своим видом деятельности.

Китайские хакеры решили не ограничиваться собственными продуктами и приступили к локализации иностранных вирусных решений. C апреля по октябрь 2008 года китайцами были инициированы две масштабные атаки, нацеленные на взлом веб-сайтов. В ходе первой из них, прошедшей в апреле-июне 2008 года, было взломано более двух миллионов интернет-ресурсов по всему миру.

Пока китайские программисты создавали небольшие, но массовые продукты, их русскоязычные коллеги продолжали активно развивать серьезные проекты. Наиболее четко это проявилось в историях с двумя опаснейшими руткитами, обнаруженными в 2008 году, — Rustock.C и SInowal. В них были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, по своей масштабности и сложности превосходящие продемонстрированные червями Zhelatin и Warezov.

В 2008 году прекратилась почти двухлетняя история червя Zhelatin (Storm Worm). Червь, по некоторым оценкам достигавший двух миллионов машин, не показал всей своей потенциальной мощности, а ожидавшиеся гигантские спам-рассылки и DDoS-атаки не произошли. Одной из причин этого «Лаборатория Касперского» называет фактическое закрытие киберкриминального хостинга RBN (Russian Business Network).

Что касается файловых вирусов, то они, несомненно, «прибавили в весе» к традиционному функционалу заражения файлов теперь присоединились функции кражи информации и возродилась традиция распространения на сменных накопителях. Черви на «флэшках» оказались способны обойти традиционные почтовые антивирусы, межсетевые экраны и антивирусы на файловых серверах.

Среди приятных новостей — несколько серьезных шагов, направленных против киберпреступности: были закрыты компании AtrivoIntercage, EstDomains и McColo. Закрытие последней привело к тому, что количество спама в интернете сократилось более чем на 50%. Произошло это из-за того, что прекратили свою работу множество ботнетов, управлявшихся с закрытых ресурсов. «Они просто не знали, что им делать дальше», — сказал Александр Гостев.

Популярность социальных сетей не давала покоя создателям вирусов и авторам вредоносных атак на протяжении всего года. Атаки «на и через» социальные сети из единичных инцидентов стали обыденным и очень опасным фактом. По оценкам «Лаборатории Касперского», эффективность распространения вредоносного кода в социальных сетях составляет около 10%, что значительно превышает эффективность классического метода распространения вредоносных программ по электронной почте (менее 1%). В июле 2008 года был обнаружен червь Koobface, нацеленный на пользователей социальных сетей Facebook и MySpace, но уже к декабрю он стал способен атаковать пользователей еще одной популярной социальной сети — Bebo.


Рост числа вредоносных программ в социальных сетях

Одной из тенденций 2008 года стал стремительный рост числа вредоносных программ, нацеленных на онлайн-игры: за год было обнаружено 100 397 новых «игровых» троянцев, что в три раза превышает показатель 2007 года (32 374). Нарушители киберпорядка решили извлечь выгоду из теоретической возможности продажи логинов, паролей и прочих виртуальных игровых ценностей.

Александр Гостев также привел некоторые прогнозы на уже начавшийся 2009 год:

  • глобальные эпидемии как следствие мирового экономического кризиса;
  • снижение активности игровых вирусов;
  • использование распределенных вредоносных систем;
  • фишинг и мошенничество, направленное на пользователей интернет-банков;
  • дифференциация платформ: распространение вредоносного кода на альтернативные ОС.

Впрочем, «Лаборатория Касперского» также отмечает, что существующие на сегодняшний день угрозы и в 2009 году никуда не исчезнут: продолжатся атаки на игроков в онлайн-игр и пользователей социальных сетей, ожидается усложнение вирусных технологий и рост числа ботнетов, а также развитие киберпреступности как бизнеса и сервисов.

Александр Гостев отметил, что экономический кризис окажет влияние на большинство тенденций вирусной индустрии. Так, к примеру, из-за сокращения штата «мирных» разработчиков ПО, программисты могут заняться написанием вредоносного кода для зарабатывания денег. Но поскольку «вирусный рынок труда» в целом и так не пустует, будет наблюдаться значительный рост конкуренции и увеличение масштабов атак. Эксперты «Лаборатории Касперского» не исключают ряд серьезных инцидентов, которые по своим масштабам могут превзойти ситуацию прошлых лет. Распространение сетевого червя Kido — первый пример подобных эпидемий.

Рынок вирусов, распространяемых посредством онлайн-игр, практически насытился. Доходы, получаемые от продажи логинов и паролей постепенно снижаются, антивирусные компании и производители игр научились эффективно бороться с игровыми червями, да и сами пользователи игровых сообществ со временем становятся предусмотрительнее.

Концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами и реализованная во вредоносных программах Rustock.C, Sinowal (буткит) и нескольких других, продемонстрировала свою высокую эффективность и надежность. Злоумышленники, которые смогут создавать собственные системы, будут определять общий уровень угроз и связанных с ними проблем в будущем. На смену script-kiddies придут серьезные специалисты, способные создавать и поддерживать концепцию Malware 2.5.

Мошенничество в Сети и фишинг будут набирать обороты, а атаки злоумышленников станут более изощренными и интенсивными. Фишинг станет своеобразным «пристанищем» для хакеров и программистов, которые не выдержат конкуренции более сильных игроков.

Появление в вирусной индустрии программистов, ранее не задействованных в этой области, приведет к распространению вредоносного ПО на альтернативные платформы. Дифференциация коснется всех без исключения платформ и операционных систем, отличных от Microsoft Windows, но в первую очередь Mac OS и мобильных платформ. Ранее эти платформы использовались в основном для экспериментов, однако сейчас их доля на рынке уже достаточно велика для того, чтобы они стали представлять интерес для злоумышленников.

Итоги спама

О развитии и основных тенденциях распространения спама рассказал Андрей Никишин, директор лаборатории контентной фильтрации.

Главные темы спама 2008 года:

  • новый вид мошенничества: с использованием коротких номеров SMS;
  • спам, касающийся работы социальных сетей;
  • спам «для взрослых»;
  • возврат к истокам: спам, использующий особенности языка html;
  • спам про кризис, выборы и чемпионат по футболу.

Немного статистики: средняя доля спама за 2008 год выросла на 2,1% по сравнению с предыдущим годом и составила 82,1%. Минимальная доля спама в почтовом трафике составила 50,5% и была зафиксирована 13 ноября, а максимальная составила 97,8%, произошло это 1 марта.

2008 год вывел Россию в лидеры среди стран — источников спама в Рунете, доля русского спама составила 22%, сместив США с их 16% на второе место. За США с большим отрывом следуют остальные страны. При этом прослеживается неравномерный вклад в распространение спама по месяцам, к примеру, доля испанского спама в отдельные месяцы достигала 10%.

Новый вид мошенничества с использованием SMS позволил получить неплохую возможность заработка. Арендовавшие премиум-номера спамеры получали прибыль за счет высокой цены посланных SMS-сообщений. Технология проста: вам предлагается некая услуга или возможность, получить которую можно, отправив короткое сообщение на указанный номер, причем разнообразие подобных предложений ограничивается лишь воображением спамеров.

Социальные сети и в электронной почте стали возмутителями спокойствия. В июне прошла массовая рассылка писем, имитирующих уведомления с ресурса «Одноклассники.ru». Ссылка в сообщениях вела на страницу подложного сайта, содержащего троянскую программу. В октябре спамеры провели рассылки от имени ресурса «ВКонтакте», рекламируя новый вид «услуг», якобы предлагаемый администрацией сайта. При переходе по ссылке, содержащейся в письме, открывалась поддельная страница, имитирующая регистрационное окно сайта «ВКонтакте». Введенные пользователем логин и пароль попадали к фишерам.

2008 год возродил традиции html-спама. Среди использованных приемов было зашумление текста случайными фразами, помещенными в html-тэги (тэги-комментарии, тэги-цвета и т. д.). Большинство почтовых клиентов считают такие тэги вспомогательными и не показывают пользователям, которые видят только рекламный спамерский текст. Встречался метод под названием «Мона Лиза»: контактная информация показывается пользователю в виде картинки, состоящей из символов. Если раньше символами выступали буквы и пробелы, то в 2008 году спамеры комбинировали черные и белые ячейки html-таблицы.


Использование метода «Мона Лиза»

Как и прежде, спамеры используют «горячие» темы для привлечения внимания пользователей к рассылаемой рекламе. В этом году они не обошли вниманием всемирный чемпионат по футболу, выборы президента в США, а также мировой кризис. Во второй половине года слово «кризис» можно было встретить в рекламе любых товаров и услуг.

В течение года в спаме возникали новые тематические рубрики и менялись тематики-лидеры. Во втором полугодии на 6% сократилась доля спама рубрики «Другие товары и услуги», более чем на 15% увеличилась доля спама «для взрослых», который рассылается в том числе для так называемой «накачки трафика».

Специалисты «Лаборатории Касперского» подсчитали примерный уровень доходов спамеров. Объем рынка спам-рассылок в России составил не менее 150-200 млн. долл. за 2008 год.

Что касается прогнозов на 2009 год, Андрей Никишин обратил внимание на следующие моменты:

  • особо популярен будет спам криминального характера;
  • возродится фишинг;
  • количество спама вернется на прежний уровень;
  • спам станет для многих компаний единственным типом доступной рекламы;
  • все новые технологии в спам-рассылках будут в системах управления бот-сетями.

В заключение приведем ответ Александра Гостева на вопрос о методах защиты компьютера (помимо антивирусных программ, фильтрации спама и установки свежих патчей к программам): «Не пользуйтесь Internet Explorer — переходите на другие браузеры! Не пользуйтесь MS Windows — переходите на другие системы. Лично я уже перешел».




9 февраля 2009 Г.

«����������� �����������» ������� ����� 2008 ����

«����������� �����������» ������� ����� 2008 ����

������� �������� ������������ ������� � ����� � ������� ����

�������� �����

�� ��������� � ������ ��������� ����������� «����������� �����������» ������� ����� 2008 ���� � ���������� � ������� ���������� � �������� ����������� ��������, ������������ ����� � �����.

� «�����» ��������-���������� ��������� ������������ ������ ���������� ������������ � ������� ����� ��������� ������.

��������� ������ ����� � ������� ������� ������� ���������� ����, � ������ �� ��������� �� � ������������� ���������� «����������� �����������». ��� �� �������, ��� �������� �������, � ������:

  • ����������������� ���������� ������������ «��������»: ���������� �������� ������� «��������», ����������� �����-�� ���������� ������;
  • 2008 ��� ���� �������� ��������� ���������� �������, ������������������ �� ������ ������ � ��������;
  • �������� ������������ ����������� � ���� ����� ��������� ������������;
  • ���������� ����������� � ���������������� �������;
  • ����������� �������� ������, ���������������� �� ���������� ���������, ������ �� ������ ���������� ����� ����-��������;
  • ������������ ���������� ����� �� ���� ��������� ��� �������� � �� ������� ����������: ����������� �������� ������� ���� �� ���;
  • ����� «���������» ��� ��������-�����������: ������-����.

�� ����� ������������ ����, ��� �� ��������� ������������ � ����� ����������� ���������� Kaspersky Security Network (KSN). ��� ���������� ��������� «����������� �����������» �������� ���������� � �������� ������� � ����������� �� ��������.

����, ������������ �������� ��������� ��������������� ������������ ��. ����������� ����������� ������������ � 2008 ���� �������� � ������� ���� ����������� ��� ����������� �� ������ �����. ������� �������������� ������ �� ����������� ��������� ����� ������, � ��� ����� ������ ������������ ���������. ���������� ������ ���������� �� «����������» � «������������»: ����������������� ���������� ����������� ��������� ������ ������ �����, ������ �� ������� ����� ����� ����� ������������.

��������� ������ ������ �� �������������� ������������ ���������� � ���������� � ����������� ����������� �������� �������. C ������ �� ������� 2008 ���� ��������� ���� ������������ ��� ���������� �����, ���������� �� ����� ���-������. � ���� ������ �� ���, ��������� � ������-���� 2008 ����, ���� �������� ����� ���� ��������� ��������-�������� �� ����� ����.

���� ��������� ������������ ��������� ���������, �� �������� ��������, �� ������������� ������� ���������� ������� ��������� ��������� �������. �������� ����� ��� ���������� � �������� � ����� ����������� ���������, ������������� � 2008 ����, — Rustock.C � SInowal. � ��� ���� ����������� ������������� ����������, ������ ������� ������������ ��������� ��� �� ���������, �� ����� ������������ � ��������� ������������� �������������������� ������� Zhelatin � Warezov.

� 2008 ���� ������������ ����� ���������� ������� ����� Zhelatin (Storm Worm). �����, �� ��������� ������� ����������� ���� ��������� �����, �� ������� ���� ����� ������������� ��������, � ����������� ���������� ����-�������� � DDoS-����� �� ���������. ����� �� ������ ����� «����������� �����������» �������� ����������� �������� ������������������ �������� RBN (Russian Business Network).

��� �������� �������� �������, �� ���, ����������, «��������� � ����» � ������������� ����������� ��������� ������ ������ �������������� ������� ����� ���������� � ����������� �������� ��������������� �� ������� �����������. ����� �� «�������» ��������� �������� ������ ������������ �������� ����������, ���������� ������ � ���������� �� �������� ��������.

����� �������� �������� — ��������� ��������� �����, ������������ ������ �����������������: ���� ������� �������� Atrivo\Intercage, EstDomains � McColo. �������� ��������� ������� � ����, ��� ���������� ����� � ��������� ����������� ����� ��� �� 50%. ��������� ��� ��-�� ����, ��� ���������� ���� ������ ��������� ��������, ������������� � �������� ��������. «��� ������ �� �����, ��� �� ������ ������», — ������ ��������� ������.

������������ ���������� ����� �� ������ ����� ���������� ������� � ������� ����������� ���� �� ���������� ����� ����. ����� «�� � �����» ���������� ���� �� ��������� ���������� ����� ��������� � ����� ������� ������. �� ������� «����������� �����������», ������������� ��������������� ������������ ���� � ���������� ����� ���������� ����� 10%, ��� ����������� ��������� ������������� ������������� ������ ��������������� ����������� �������� �� ����������� ����� (����� 1%). � ���� 2008 ���� ��� ��������� ����� Koobface, ���������� �� ������������� ���������� ����� Facebook � MySpace, �� ��� � ������� �� ���� �������� ��������� ������������� ��� ����� ���������� ���������� ���� — Bebo.


���� ����� ����������� �������� � ���������� �����

����� �� ��������� 2008 ���� ���� ������������� ���� ����� ����������� ��������, ���������� �� ������-����: �� ��� ���� ���������� 100 397 ����� «�������» ��������, ��� � ��� ���� ��������� ���������� 2007 ���� (32 374). ���������� ������������ ������ ������� ������ �� ������������� ����������� ������� �������, ������� � ������ ����������� ������� ���������.

��������� ������ ����� ������ ��������� �������� �� ��� ���������� 2009 ���:

  • ���������� �������� ��� ��������� �������� �������������� �������;
  • �������� ���������� ������� �������;
  • ������������� �������������� ����������� ������;
  • ������ � �������������, ������������ �� ������������� ��������-������;
  • �������������� ��������: ��������������� ������������ ���� �� �������������� ��.

�������, «����������� �����������» ����� ��������, ��� ������������ �� ����������� ���� ������ � � 2009 ���� ������ �� ��������: ����������� ����� �� ������� � ������-��� � ������������� ���������� �����, ��������� ���������� �������� ���������� � ���� ����� ��������, � ����� �������� ����������������� ��� ������� � ��������.

��������� ������ �������, ��� ������������� ������ ������ ������� �� ����������� ��������� �������� ���������. ���, � �������, ��-�� ���������� ����� «������» ������������� ��, ������������ ����� �������� ���������� ������������ ���� ��� ������������� �����. �� ��������� «�������� ����� �����» � ����� � ��� �� �������, ����� ����������� ������������ ���� ����������� � ���������� ��������� ����. �������� «����������� �����������» �� ��������� ��� ��������� ����������, ������� �� ����� ��������� ����� ��������� �������� ������� ���. ��������������� �������� ����� Kido — ������ ������ �������� ��������.

����� �������, ���������������� ����������� ������-���, ����������� ���������. ������, ���������� �� ������� ������� � ������� ���������� ���������, ������������ �������� � ������������� ��� ��������� ���������� �������� � �������� �������, �� � ���� ������������ ������� ��������� �� �������� ���������� ������������������.

��������� ���������������� ���������� �������������� ������-��������, ����������� �������������� �������� � ������������� �� ����������� ���������� Rustock.C, Sinowal (������) � ���������� ������, ������������������ ���� ������� ������������� � ����������. ��������������, ������� ������ ��������� ����������� �������, ����� ���������� ����� ������� ����� � ��������� � ���� ������� � �������. �� ����� script-kiddies ������ ��������� �����������, ��������� ��������� � ������������ ��������� Malware 2.5.

������������� � ���� � ������ ����� �������� �������, � ����� ��������������� ������ ����� ����������� � ������������. ������ ������ ������������ «�����������» ��� ������� � �������������, ������� �� �������� ����������� ����� ������� �������.

��������� � �������� ��������� �������������, ����� �� ��������������� � ���� �������, �������� � ��������������� ������������ �� �� �������������� ���������. �������������� �������� ���� ��� ���������� �������� � ������������ ������, �������� �� Microsoft Windows, �� � ������ ������� Mac OS � ��������� ��������. ����� ��� ��������� �������������� � �������� ��� �������������, ������ ������ �� ���� �� ����� ��� ���������� ������ ��� ����, ����� ��� ����� ������������ ������� ��� ���������������.

����� �����

� �������� � �������� ���������� ��������������� ����� ��������� ������ �������, �������� ����������� ���������� ����������.

������� ���� ����� 2008 ����:

  • ����� ��� �������������: � �������������� �������� ������� SMS;
  • ����, ���������� ������ ���������� �����;
  • ���� «��� ��������»;
  • ������� � �������: ����, ������������ ����������� ����� html;
  • ���� ��� ������, ������ � ��������� �� �������.

������� ����������: ������� ���� ����� �� 2008 ��� ������� �� 2,1% �� ��������� � ���������� ����� � ��������� 82,1%. ����������� ���� ����� � �������� ������� ��������� 50,5% � ���� ������������� 13 ������, � ������������ ��������� 97,8%, ��������� ��� 1 �����.

2008 ��� ����� ������ � ������ ����� ����� — ���������� ����� � ������, ���� �������� ����� ��������� 22%, ������� ��� � �� 16% �� ������ �����. �� ��� � ������� ������� ������� ��������� ������. ��� ���� �������������� ������������� ����� � ��������������� ����� �� �������, � �������, ���� ���������� ����� � ��������� ������ ��������� 10%.

����� ��� ������������� � �������������� SMS �������� �������� �������� ����������� ���������. ������������ �������-������ ������� �������� ������� �� ���� ������� ���� ��������� SMS-���������. ���������� ������: ��� ������������ ����� ������ ��� �����������, �������� ������� �����, �������� �������� ��������� �� ��������� �����, ������ ������������ �������� ����������� �������������� ���� ������������ ��������.

���������� ���� � � ����������� ����� ����� ������������� �����������. � ���� ������ �������� �������� �����, ����������� ����������� � ������� «�������������.ru». ������ � ���������� ���� �� �������� ���������� �����, ����������� ��������� ���������. � ������� ������� ������� �������� �� ����� ������� «���������», ���������� ����� ��� «�����», ����� ������������ �������������� �����. ��� �������� �� ������, ������������ � ������, ����������� ���������� ��������, ����������� ��������������� ���� ����� «���������». ��������� ������������� ����� � ������ �������� � �������.

2008 ��� �������� �������� html-�����. ����� �������������� ������� ���� ���������� ������ ���������� �������, ����������� � html-���� (����-�����������, ����-����� � �. �.). ����������� �������� �������� ������� ����� ���� ���������������� � �� ���������� �������������, ������� ����� ������ ��������� ���������� �����. ���������� ����� ��� ��������� «���� ����»: ���������� ���������� ������������ ������������ � ���� ��������, ��������� �� ��������. ���� ������ ��������� ��������� ����� � �������, �� � 2008 ���� ������� ������������� ������ � ����� ������ html-�������.


������������� ������ «���� ����»

��� � ������, ������� ���������� «�������» ���� ��� ����������� �������� ������������� � ����������� �������. � ���� ���� ��� �� ������ ��������� ��������� ��������� �� �������, ������ ���������� � ���, � ����� ������� ������. �� ������ �������� ���� ����� «������» ����� ���� ��������� � ������� ����� ������� � �����.

� ������� ���� � ����� ��������� ����� ������������ ������� � �������� ��������-������. �� ������ ��������� �� 6% ����������� ���� ����� ������� «������ ������ � ������», ����� ��� �� 15% ����������� ���� ����� «��� ��������», ������� ����������� � ��� ����� ��� ��� ���������� «������� �������».

����������� «����������� �����������» ���������� ��������� ������� ������� ��������. ����� ����� ����-�������� � ������ �������� �� ����� 150-200 ���. ����. �� 2008 ���.

��� �������� ��������� �� 2009 ���, ������ ������� ������� �������� �� ��������� �������:

  • ����� ��������� ����� ���� ������������� ���������;
  • ���������� ������;
  • ���������� ����� �������� �� ������� �������;
  • ���� ������ ��� ������ �������� ������������ ����� ��������� �������;
  • ��� ����� ���������� � ����-��������� ����� � �������� ���������� ���-������.

� ���������� �������� ����� ���������� ������� �� ������ � ������� ������ ���������� (������ ������������ ��������, ���������� ����� � ��������� ������ ������ � ����������): «�� ����������� Internet Explorer — ���������� �� ������ ��������! �� ����������� MS Windows — ���������� �� ������ �������. ����� � ��� �������».