Развитие угроз в 2007 году
Рост числа новых вредоносных программ
Распределение классов вредоносных программ
Другие вредоносные программы (Other MalWare)
Потенциально нежелательные программы (PUPs)
Программы классов RiskWare и PornWare
Платформы и операционные системы
Новые записи в антивирусных базах
Регулярные и срочные обновления
Угрозы для мобильных устройств
В настоящей статье, адресованной профессионалам в области компьютерной безопасности и пользователям, интересующимся проблемами вирусологии, будут проанализированы изменения в динамике развития вредоносных, рекламных и потенциально опасных программ по сравнению с данными 2006 года.
Итоги 2007 года
2007-й стал годом исчезновения некоммерческих вредоносных программ. Окончательно они пропали или нет — покажет будущее. Мы же пока можем только констатировать, что в нынешнем году не было ни одной заметной эпидемии или распространенной вредоносной программы нефинансового характера. В 2006 году хулиганские вирусы все-таки еще появлялись — можно вспомнить эпидемию червя Nyxem.E, который ничего, кроме самораспространения и удаления файлов, не делал.
В 2007 году эпидемии случались, причем почти все они были кратковременными и затрагивали не весь мировой Интернет, а только отдельные регионы и страны. Такой принцип организации эпидемий фактически стал стандартом.
Несомненно, в ряду новых вредоносных программ прошедшего года особняком стоит «штормовой червь» (Zhelatin по классификации «Лаборатории Касперского»), впервые появившийся в январе 2007-го. В течение года он продемонстрировал такой спектр поведений, методов взаимодействия между своими компонентами, путей распространения и применяемых приемов социальной инженерии, что антивирусным экспертам приходилось только удивляться изобретательности неизвестных авторов.
В Zhelatin были реализованы практически все достижения вирусописательской мысли последних лет, причем многие из них ранее существовали лишь в виде концептуальных идей. Тут и руткит-технологии, и замусоривание кода, и ботнеты, защищающие себя от анализа и исследования, и взаимодействие между зараженными компьютерами через P2P-сети (без единого управляющего центра). Для распространения червь использовал все существующие возможности: как традиционные (электронная почта, системы мгновенного обмена сообщениями), так и сервисы эпохи Web 2.0 (распространение через социальные сети: блоги, форумы, RSS). Кроме того, злоумышленники применяли растущий интерес пользователей к видеосервисам и распространяли Zhelatin под видом видеофайлов.
Важно отметить, что основная направленность общей функциональности Storm Worm — это создание сетей для последующей организации спам-рассылок и проведения DoS-атак. Изменения, произошедшие в спаме в 2007 году, рассмотрены в отдельной статье настоящего спецвыпуска, посвященной данной проблеме. Что же касается DoS-атак, то они стали одной из ключевых тем информационной безопасности всего 2007 года.
DoS-атаки после активного применения их в 2002-2003 годах больше не пользовались особой популярностью у киберпреступников — вплоть до 2007 года. В этом году они вернулись, причем не столько как инструмент для вымогания денег у жертв, сколько в качестве средства политической и конкурентной борьбы. История об атаке на эстонские сайты в мае 2007 года широко освещалась в средствах массовой информации и многими экспертами расценивается как первый случай кибервойны. Очевидно, что за целым рядом DoS-атак 2007 года стоят бизнес-конкуренты жертв. Если четыре года назад DoS-атаки были орудием в руках исключительно хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как спам-рассылки или создание на заказ вредоносных программ. Реклама услуг DoS-атак стала обычным явлением, а цены уже сопоставимы с ценой организации спам-рассылки.
Киберпреступный бизнес в 2007 году явил миру несколько новых видов криминальной деятельности. Активно развивалась отрасль создания вредоносных программ на заказ с оказанием технической поддержки заказчикам. Самый, наверное, яркий пример такого рода бизнеса — история троянской программы-шпиона Pinch. Его авторы за несколько лет создали более 4 тыс. вариантов этой вредоносной программы, большинство из которых были выполнены именно по заказу других злоумышленников. Эта история, судя по всему, закончилась в декабре 2007 года, когда руководитель Федеральной службы безопасности России объявил об установлении личностей авторов Pinch.
Еще одним подобным примером стал вирус-червь Fujack. Китайский зловред, созданный с целью кражи данных пользователей онлайн-игр, продавался его автором всем желающим и разошелся по миру в нескольких сотнях вариантов. Заработать на этом автору удалось около 12 тыс. долл. — именно такая сумма была озвучена китайской полицией, арестовавшей в итоге и автора, и нескольких его клиентов.
Fujack оказался одним из ярких представителей доминировавшего в 2007 году по численности семейства троянских программ — «игровых» троянцев. Напомним, что в 2006 году превалировали всевозможные Bankers — троянские программы, ориентированные на кражу данных от банковских аккаунтов, и мы прогнозировали, что в 2007-м число новых программ «игровых» троянцев и Bankers будет сопоставимо.
Однако по итогам года «игровые» троянцы одержали безоговорочную победу: их число значительно превысило показатели Bankers. Здесь важно отметить, что пока прямой конкуренции между этими двумя семействами троянских программ не наблюдается — их целевые аудитории не пересекаются. Это подтверждает и тот факт, что нам пока неизвестны «игровые» троянцы, умеющие воровать банковские аккаунты. Хотя теоретически в создании такого гибрида нет ничего сложного, но в реальности, вероятно, такое сочетание функций не слишком необходимо и интересно для вирусописателей.
Яркие события 2007 года — массовые взломы сайтов с последующим размещением на них вредоносных программ или ссылок на зараженные сайты. Одним из таких инцидентов стал взлом в июне около 10 тыс. итальянских сайтов, на которых затем был размещен набор эксплойтов Mpack. В течение года аналогичные взломы происходили по всему миру, а самый массовый был зафиксирован в конце года, когда на более чем 70 тыс. сайтов в разных странах мира был обнаружен вредоносный код, устанавливающий на компьютеры жертв очередного «игрового» троянца.
Инцидент в Италии привлек внимание еще к одному виду бизнеса киберпреступников: в ходе расследования выяснилось, что вредоносные программы были расположены на сайтах Russian Business Network (RBN). Детальный анализ выявил, что RBN использовалась как площадка для распространения вредоносных программ в десятках, а то и сотнях случаев. Фактически речь шла о bulletproof-хостинге, владельцы которого гарантировали заказчикам анонимность, защиту от юридического преследования и отсутствие файлов протоколов.
Вокруг RBN поднялась серьезная шумиха, которая длилась на протяжении всего лета и начала осени 2007 года, пока в итоге RBN не ушла в тень, раздробившись на несколько хостинг-площадок в разных странах мира и тем самым размыв реальные масштабы своей деятельности.
Такими были основные события 2007 года, оказавшегося в итоге самым «вирусным» за всю историю. Если суммировать все новые вредоносные, рекламные и потенциально опасные программы, добавленные в течение 2007 года в антивирусные базы «Лаборатории Касперского», то мы получим результаты, показанные на рис. 1 и 2.
Рис. 1. Суммарное количество всех новых программ в 2006 и 2007 годах
Рис. 2. Распределение вредоносных, рекламных
и потенциально опасных программ в 2007 году
Общее число угроз за 2007 год увеличилось более чем вдвое. Если же рассматривать ситуацию в целом, то в 2007 году мы добавили в наши антивирусные базы почти столько же программ, сколько за предшествующие 15 лет!
Такого вала угроз в Интернете еще не случалось, и нам в течение года требовалось прилагать все возможные, а порой и невозможные усилия, чтобы справиться с ними. Все это внушает серьезные опасения: ведь если ситуация в 2008 году не изменится (а предпосылок к этому нет), то через год нас ждет очередное удвоение количества угроз.
Вредоносные программы
Напомним, что, согласно классификации «Лаборатории Касперского», существуют три класса вредоносных программ:
- TrojWare — различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
- VirWare — саморазмножающиеся вредоносные программы (вирусы и черви);
- Other MalWare — программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.
Рост числа новых вредоносных программ
В 2007 году число обнаруживаемых в среднем за месяц новых вредоносных программ выросло на 114,28% по отношению к показателям 2006 года и составило 18 347,67 (8562,5 в 2006 году). В целом за отчетный период было обнаружено 220 172 новых вредоносных программы.
Новых троянских программ в 2007 году было обнаружено на 119,73% больше, чем в 2006-м. Относительная простота создания TrojWare (по сравнению с червями и вирусами) и их возможности в области кражи данных, создания ботнетов и организации спам-рассылок по-прежнему остаются основными причинами роста числа троянцев в Интернете.
Число обнаруженных за год новых вредоносных программ класса VirWare выросло по сравнению с показателями 2006 года на 97,64%, и достигнуто это было за счет возрождения классических файловых вирусов (о чем пойдет речь ниже).
Рост числа новых вредоносных программ класса Other MalWare, обнаруженных за год, не превысил 30% и значительно уступает показателям других классов вредоносных программ (у которых отмечен рост более 90%). Не исключено, что в 2008 году он станет отрицательным (рис. 3).
Рис. 3. Количество новых вредоносных программ, обнаруженных аналитиками
«Лаборатории Касперского» в 2007 году
Распределение классов вредоносных программ
В соотношение распространенности классов вредоносных программ 2007 год не внес значительных изменений. Получила продолжение тенденция, которая наблюдалась на протяжении последних лет: увеличение доли разнообразных троянских программ и соответствующее уменьшение показателей VirWare и Other MalWare (рис. 4).
Рис. 4. Распределение классов вредоносных программ в 2006 и 2007 годах
Доля троянских программ в общем числе вредоносных программ за год увеличилась на 2,28% и составила 91,73%.
Прошлогоднее уменьшение в общем числе вредоносных программ доли червей и вирусов (VirWare) в первом полугодии 2007 года продолжилось (–2,26%), но под конец года сменилось некоторым ростом, и в целом по итогам года доля вредоносных программ данного класса снизилась на 0,47% и составила 5,64%.
Доля вредоносных программ класса Other MalWare в общем числе вредоносных программ к середине года уменьшилась до 1,95%. К концу года ситуация несколько изменилась, и итоговое значение составило 2,63%. Однако уменьшение их количества на фоне всех вредоносных программ тут наиболее значительно — –1,80%.
Рассмотрим изменения, произошедшие в каждом из классов вредоносных программ, более детально.
Троянские программы
Представим количество ежемесячно обнаруживаемых аналитиками «Лаборатории Касперского» новых троянских программ в виде графика (рис. 5). На нем хорошо заметны два пика: в мае и августе 2007 года. За стремительным ростом популярности троянских программ следовали спады. Такая динамика кардинальным образом отличается от картины 2006 года, когда рост был непрерывным. Возможно, класс троянских программ достиг в своем развитии определенного уровня и в дальнейшем постоянно будут наблюдаться подобные колебания с отклонением от него в ту или иную сторону. Если этот прогноз верен, то уже в самом начале 2008 года нас ждет очередной пик активности класса TrojWare.
Рис. 5. Количество новых TrojWare-программ, обнаруженных аналитиками
«Лаборатории Касперского»
Распределение типов поведения троянцев по популярности отражено на рис. 6.
Рис. 6. TrojWare: процентное соотношение типов поведения внутри класса
Чтобы лучше понять изменения, происходившие в классе троянских программ, рассмотрим, как увеличивалось число вредоносных программ по типу поведения. Практически все типы троянских программ активно наращивали свои количественные показатели (рис. 7 и 8).
Рис. 7. Количество новых вредоносных программ класса TrojWare
(по типу поведения)
Рис. 8. Динамика роста числа новых вредоносных программ класса TrojWare
В 2007 году среди троянских программ наиболее внушительный рост показали Trojan-PSW и Backdoor. 400-процентное увеличение типа Trojan-SMS мы не принимаем во внимание по причине крайне малого общего числа этих программ.
Рост числа вредоносных программ, имеющих тип поведения Backdoor, составил почти 190%, что позволило им выйти на первое место среди всех троянских программ по численности (напомним, что в 2006 году первое место занимали Trojan-Downloader). Подобный всплеск сравним только со стремительным развитием почтовых червей в 2002-2004 годах. Теперь бэкдоры составляют почти треть от всех вредоносных программ, создаваемых в мире, причем пальма первенства принадлежит бэкдорам, созданным в Китае.
Китай в 2007 году окончательно закрепил за собой статус вирусной супердержавы. Помимо бэкдоров, в 2007 году китайские вирусописатели активно разрабатывали различных троянцев, ориентированных на кражу пользовательских аккаунтов — в первую очередь от популярных онлайн-игр. Это нашло отражение в 200-процентном росте Trojan-PSW. Это поведение, как и в 2006 году, занимает по численности второе место. Trojan-Downloader, лидер 2006 года, в 2007-м оказался лишь на третьем месте.
В настоящее время внутри класса TrojWare можно выделить три основные группы типов поведения:
Backdoor, Trojan-PSW, Trojan-Downloader — наиболее распространенные троянские программы, в целом составляющие более 75% всего класса TrojWare (доля каждого типа поведения в общей массе троянских программ превышает 20%);
Trojan, Trojan-Spy — доля каждого из этих типов поведения составляет около 9%; показатели роста средние. Вероятность увеличения их веса до уровня, необходимого для вхождения в первую группу, почти исключается, но и уменьшение до уровня третьей группы маловероятно;
Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Rootkit — доля каждого типа поведения в этой группе попадает в интервал от 0,7 до 2,1%. За исключением Rootkit, темпы роста типов поведения из данной группы не превышают 40%. Rootkit вошли в эту группу в 2007 году за счет высоких темпов роста — 116,1%. Не исключен рост числа программ какого-то одного типа поведения до уровня второй группы, однако вероятность того, что доли зловредов в этой группе будут и далее уменьшаться под натиском представителей первой группы, гораздо выше.
Среди троянцев-шпионов наиболее опасны для пользователей и наиболее активны в своем развитии представители семейств, ориентированных на кражу данных пользователей онлайн-игр и банковских систем.
Руткиты
Стоит отметить и такой вид троянских программ, как руткиты (http://www.viruslist.com/ru/analysis?pubid=204007553). Зачастую руткиты являются прикрытием для разнообразных троянских программ, и один и тот же руткит может использоваться разными злоумышленниками (рис. 9).
Рис. 9. Количество новых руткитов, обнаруженных аналитиками
«Лаборатории Касперского»
В 2005 году (когда мы начали выделять соответствующее поведение) руткиты были одной из самых горячих тем антивирусной индустрии и вирусописатели вели активные разработки в этой области: за год число новых руткитов выросло на 413%. После столь стремительного взлета можно было ожидать некоторого снижения темпов роста руткитов, однако и в 2006 году они остались на высоком уровне — +74%.
2007 год продолжил тенденцию, зафиксировав более 116% роста за год. Однако на диаграмме видно, что в первой половине 2007 года новые руткиты появлялись в гораздо большем количестве, чем во второй: по итогам первых шести месяцев мы констатировали 178-процентный рост. Затем последовал спад, который пока не имеет четкого объяснения. Его причиной может быть снижение активности авторов червя Zhelatin (Storm Worm), который был одним из основных зловредов с руткитом в 2007 году.
Сегодня ситуация с руткитами выглядит непрогнозируемой и во многом зависит и от распространения Windows Vista (http://www.viruslist.com/ru/analysis?pubid=204007521#viruses).
Черви и вирусы
Представим в виде графика по месяцам количество новых VirWare-программ, обнаруженных аналитиками «Лаборатории Касперского» (рис. 10).
Рис. 10. Количество новых VirWare-программ, обнаруженных аналитиками
«Лаборатории Касперского»
Стагнация в этом классе, наблюдавшаяся в течение 2004-2005 годов, в конце 2006-го сменилась ростом. В 2007 году этот рост продолжился, хотя абсолютные показатели пока еще уступают максимуму, отмеченному в октябре 2006-го, когда мы столкнулись с сотнями новых вариантов червя Warezov.
На графике видно, что в течение 2007 года динамика появления новых программ класса VirWare была нестабильной, с тремя периодами подъема и последующего снижения. В настоящее время класс VirWare находится в режиме продолжающегося уравновешивания данных колебаний, и в 2008-м, вероятно, тренд сменится на более устойчивый.
В целом по итогам 2007 года класс VirWare показал почти 98-процентный рост числа новых вредоносных программ (напомним, что в прошлом году число вредоносных программ класса VirWare увеличилось всего лишь на 8%). Однако этого оказалось недостаточно даже для сохранения доли этого класса в общем числе вредоносных программ: с 6,11% в 2006 году она сократилась до 5,64%.
Распределение типов поведения класса VirWare отражено на рис. 11.
Рис. 11. VirWare: процентное соотношение типов поведения внутри класса
Чтобы лучше понять изменения, происходившие в классе самораспространяющихся программ, рассмотрим, как увеличивалось число вредоносных программ по типам поведения. Все типы подобных программ активно наращивали свои количественные показатели (рис. 12 и 13).
Рис. 12. Количество новых вредоносных программ класса VirWare
(по типу поведения)
Рис. 13. Рост числа новых вредоносных программ класса VirWare
Примечательно, что все входящие в класс VirWare типы поведения в 2007 году продемонстрировали рост относительно прошлого года. Это единственный класс с подобной статистикой.
Стабильные показатели второй год подряд демонстрирует самый распространенный тип — почтовые черви. В 2006 году их рост составил 43%, в 2007-м — 36,35%. Это позволило Email-Worm остаться на первом месте, однако их отрыв от других типов поведения уже не столь внушительный — менее 11%. Численность Email-Worm обеспечивают представители трех основных семейств: Warezov, Zhelatin и Bagle.
В отчете за первые шесть месяцев 2007 года мы прогнозировали выход Virus на второе место, и наш прогноз подтвердился: по итоговым показателям года доля вирусов составила почти 28%.
«Классические» вирусы в 2007 году продемонстрировали наибольший рост среди всех вредоносных программ — 389,6%! В первую очередь это связано с широкой популярностью распространения вирусов при помощи съемных флэш-накопителей. Столь стремительный рывок тем более удивителен, что в 2006 году этот показатель был отрицательным и составлял –29%.
Возвращение вирусов весьма тревожно, поскольку удалять их из пораженных систем гораздо сложнее, чем троянские программы. Кроме того, многие популярные антивирусы, хорошо зарекомендовавшие себя в детектировании обычных вредоносных программ, зачастую показывают весьма скромные результаты в обнаружении сложных полиморфных вирусов. Это может привести к серьезным проблемам в ближайшем будущем, поскольку вирусописатели уже обратили свое внимание на эту особенность.
Представители типа поведения Worm в 2006 году продемонстрировали взрывной рост на 220%. В 2007-м темпы роста новых Worm-программ несколько замедлились, особенно к концу года (вероятно, заметное влияние на это оказал арест в Китае автора многочисленного семейства червей Viking), однако по итогам года они по-прежнему остаются высокими — 111,8%.
Еще одним возмутителем спокойствия в 2007 году стали черви, распространяющиеся через системы мгновенного обмена сообщениями. В 2006-м мы отмечали, что IM-червям так и не удалось занять сколь-нибудь заметных позиций на вирусной сцене. По итогам 2006 года было зафиксировано уменьшение на 45% числа новых IM-червей с явной тенденцией к почти полному их исчезновению в 2007-м. Вопреки ожиданиям, они смогли выжить и значительно улучшить свои показатели. Это было вызвано смещением вектора их распространения с AOL и MSN в сторону Skype. Кроме того, популярности IM-клиентов как средства распространения вредоносных программ способствовало активное распространение через ICQ такого червя, как Zhelatin (Storm Worm). Итог: по популярности IM-Worm неожиданно заняли четвертое место среди VirWare (5,5%), а по темпам роста — второе (178,2%).
В классе VirWare можно выделить две основные группы типов поведения:
Email-Worm, Worm, Virus — на вредоносные программы этих типов поведения приходится чуть менее 90% всех программ класса VirWare. Долевые показатели каждого типа превышают 20% от общего количества VirWare. Количество Email-Worm увеличилось несущественно, особенно на фоне взрывного роста Virus и Worm;
IM-Worm, Net-Worm, P2P-Worm, IRC-Worm — за исключением IM-Worm, доля каждого типа в общем числе VirWare составляет менее 5%, то есть темпы роста средние. Вероятность увеличения доли имеется только для IM-Worm — за счет все большего развития IM-сервисов, в том числе Skype. Для Net-Worm ситуация продолжает ухудшаться — отсутствие критических уязвимостей в сетевых службах OS Windows не позволяет вирусописателям реализовать что-то новое.
В целом темпы роста класса VirWare незначительно отстают от TrojWare (98% против 120%) и существенно превосходят Other MalWare, которые будут рассмотрены далее.
Другие вредоносные программы (Other MalWare)
Класс Other MalWare является наименее распространенным по количеству обнаруживаемых вредоносных программ, но самым многочисленным по числу типов поведения.
Вялотекущий рост числа новых вредоносных программ данного класса в 2004-2005 годах (13 и 43% соответственно) в 2006-м сменился небольшим спадом (–7%). Однако 2007 год показал, что предыдущий год был, скорее, периодом стабилизации этого класса, закреплением на занятых позициях перед выходом на новый уровень. По итогам 2007-го класс Other MalWare показал более чем 27-процентный рост числа новых вредоносных программ. Однако этого роста оказалось недостаточно для сохранения доли класса в общем числе вредоносных программ: с 4,44% в 2006 году она уменьшилась до 2,63% (рис. 14 и 15).
Рис. 14. Количество новых Other MalWare-программ, обнаруженных аналитиками
«Лаборатории Касперского»
Распределение типов поведения класса Other MalWare представлено на рис. 15.
Рис. 15. Other MalWare: процентное соотношение типов поведения внутри класса
Чтобы лучше понять происходившие в этом классе изменения, рассмотрим, как увеличивалось число вредоносных программ по типам поведения (табл. 1 и рис. 16).
Рис. 16. Рост числа новых вредоносных программ класса Other MalWare
Exploit больше не являются самым массовым типом поведения в этом классе. На протяжении двух лет они теряют свои позиции. В 2006 году их доля составляла более 30% (причем за год их количество уменьшилось на 21%), в 2007-м их осталось меньше четверти от всех Other MalWare (21,02%) при отрицательном росте — –34% за год. Некогда незыблемые позиции Exploit оказались разрушенными производителями браузеров и операционных систем — в первую очередь Microsoft. Новых критических уязвимостей, которые так же активно использовались бы вредоносным ПО, как это происходило в 2003-2005 годах, в 2007-м обнаружено не было.
Таблица 1. Количество новых
вредоносных программ класса
Other MalWare (по типу поведения)
MalWare |
2007 |
2006 |
Hoax |
1315 |
341 |
Exploit |
1219 |
1860 |
Packed |
753 |
0 |
FraudTool |
617 |
0 |
HackTool |
520 |
360 |
SpamTool |
501 |
263 |
Constructor |
353 |
948 |
IM-Flooder |
110 |
128 |
BadJoke |
100 |
112 |
Flooder |
92 |
88 |
VirTool |
79 |
46 |
DoS |
68 |
28 |
Nuker |
27 |
19 |
Email-Flooder |
13 |
346 |
Spoofer |
12 |
5 |
Sniffer |
11 |
6 |
SMS-Flooder |
8 |
8 |
Наиболее значительные темпы роста показали Hoax (+285,63%). Второй год подряд количество этих программ увеличивается более чем на 150%. В результате по популярности Hoax уже обошли Exploit (22,68%) — пока с незначительным преимуществом в 1,56%.
Два новых типа поведения, появившиеся в нашей классификации только в 2007 году, — Packed и Fraud-Tool — сразу же громко заявили о себе, заняв соответственно третье и четвертое места по популярности среди всех Other MalWare. К Fraud-Tool относятся ложные антивирусные программы, которые сотнями обманывали пользователей, якобы обнаруживая на их компьютерах троянские программы и предлагая заплатить некую сумму денег за избавление от «заразы» (фактически это настоящее мошенничество, основанное на страхе пользователей перед вредоносными программами).
Спам и DoS-атаки — одна из основных тем новостей информационной безопасности 2007 года. В 2006-м рост числа вредоносных программ типа Spam-Tool носил взрывной характер — +107%, а по количеству в общем числе Other MalWare-программ SpamTool были пятыми. В первом полугодии 2007 года SpamTool был абсолютным лидером по темпам роста (222%) в данном классе, благодаря чему вышел на второе место среди типов поведения класса по количеству программ. К концу года SpamTool вернулись на шестое место (которое занимали в 2006 году). Однако рост числа новых программ этого типа поведения по итогам года был весьма значительным, и в 2008-м ситуация вряд ли изменится.
Что касается DoS-атак, то количественные показатели этого типа поведения пока невелики, но тенденция роста наблюдается довольно четкая, и уже в 2008 году счет таким программам пойдет на сотни.
Потенциально нежелательные программы (PUPs)
Потенциально нежелательные программы (Potentially Unwanted Programs, PUPs) — это программы, которые разрабатываются и распространяются легальными компаниями, однако имеют набор функций, которые позволяют злоумышленникам использовать их во вред пользователям. Такие программы невозможно однозначно отнести ни к опасным, ни к безопасным — все зависит от того, в чьих руках они находятся.
К потенциально нежелательным «Лаборатория Касперского» относит программы классов RiskWare, PornWare и AdWare. Такие программы уже несколько лет опционально детектируются «Антивирусом Касперского», однако они всегда оставались за рамками наших отчетов — отчасти из-за своей малочисленности, отчасти из-за меняющихся критериев оценки: что считать потенциально опасным софтом, а что безопасным. В 2007 году антивирусная индустрия смогла выделить некие признаки потенциально нежелательных программ, что позволит нам более детально классифицировать подобные программы.
Программы классов RiskWare и PornWare
К классу RiskWare относятся легальные программы, которые злоумышленники могут употребить во вред пользователю и его данным (уничтожить, блокировать, модифицировать или копировать информацию, нарушить работу компьютеров или компьютерных сетей). Пока еще количество RiskWare-программ не достигает даже уровня Other MalWare, но общий рост их числа настораживает. Все больше программ балансирует на той грани, что разделяет вредный и «чистый» софт. Это создает множество дополнительных проблем как пользователям, так и антивирусным компаниям. Кроме того, именно в этой области проходит линия юридических разногласий между производителями RiskWare и антивирусными вендорами. В 2007 году это привело к нескольким судебным искам, большинство которых было выиграно антивирусными компаниями.
К классу PornWare относятся утилиты, связанные с демонстрацией порнографии в той или иной форме. В этот класс попадает различный porno-софт: Dialers, Downloaders и Porn-Tool. Программ PornWare немного: число всех новых программ этого класса, обнаруженных аналитиками «Лаборатории Касперского» в 2007 году, в целом не превышает 500, поэтому при анализе мы решили объединить программы этого класса с программами класса RiskWare.
Представим в виде графика суммарное количество обнаруженных аналитиками «Лаборатории Касперского» новых программ классов RiskWare и PornWare (рис. 17).
Рис. 17. Количество новых RiskWare- и PornWare-программ,
обнаруженных аналитиками
«Лаборатории Касперского» (по месяцам 2007 года)
Распределение типов поведения RiskWare и PornWare представлено на рис. 18.
Рис. 18. RiskWare + PornWare: процентное соотношение типов
поведения внутри класса
Среди типов поведения классов RiskWare и PornWare четко выделяются два лидера: Monitor (36,65%) и Porno-Dialer (13,98%).
К первому относятся различные «легальные» перехватчики клавиатуры (кейлоггеры). Такие программы официально производятся и продаются, однако при наличии у них функции сокрытия своего присутствия в системе они могут быть использованы как полноценные троянцы-шпионы.
Porn-Dialers — программы дозвона на платные порноресурсы. Они осуществляют телефонные соединения с premium-номерами, что зачастую приводит к судебным разбирательствам между абонентами и телефонными компаниями. В 2007 году программы, относящиеся к Dialer и Porno-Dialer, несколько месяцев лидировали в списке самых распространенных, по данным нашего онлайн-сканера.
Рассмотрим, как распределилось число программ данных двух классов по типу поведения (рис. 19).
Рис. 19. Количество новых программ классов RiskWare
и PornWare различных типов поведения
Помимо Monitor и Porn-Dialer, весьма широко представлены такие типы поведения, как PSW-Tool и RemoteAdmin. PSW-Tool предназначены для восстановления забытых паролей, но легко могут быть использованы злоумышленниками и для извлечения этих паролей из компьютера ничего не подозревающей жертвы. RemoteAdmin, весьма популярные у системных администраторов, точно так же относятся к программам двойного использования и применяются в том числе хакерами для осуществления контроля за взломанными компьютерами. Легальность RemoteAdmin дает злоумышленникам определенную гарантию, что некоторые антивирусные программы не смогут обнаружить их наличие в системе.
Статистика по данным классам программ публикуется нами впервые, поэтому мы не можем привести здесь данные по динамике развития каждого типа поведения и классов в целом. В будущем мы сможем рассмотреть RiskWare и PornWare более детально.
Рекламные программы (AdWare)
К классу AdWare относится программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего в виде графических баннеров), перенаправления поисковых запросов на рекламные веб-страницы, а также для сбора данных маркетингового характера о пользователе (например, какие тематические сайты посещает пользователь).
AdWare — весьма большой класс программ, уже давно детектируемый антивирусными программами. В борьбе с AdWare уже успела родиться и практически исчезнуть индустрия anti-adware-программ.
Посмотрим на график количества обнаруживаемых аналитиками «Лаборатории Касперского» новых AdWare-программ (рис. 20).
Рис. 20. Количество новых AdWare-программ, обнаруженных аналитиками
«Лаборатории Касперского»
(по месяцам 2007 года)
В 2007 году AdWare совершили поистине революционный скачок — их рост составил более 456%! Таким оказался ответ разработчиков этих программ на усилия правительств множества стран (в первую очередь США) положить конец незаконной и навязчивой рекламе в Интернете. Несмотря на принятие законов, которые четко регламентируют обязанности производителей AdWare и предусматривают серьезные штрафы за нарушение, ситуация только ухудшилась.
Платформы и операционные системы
Операционная система (или приложение) может подвергнуться нападению вредоносных программ в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.
Всего в 2007 году «Лабораторией Касперского» были зафиксированы вредоносные, рекламные и потенциально опасные программы для 43 различных платформ и операционных систем. Естественно, что подавляющее большинство таких программ рассчитаны на функционирование в среде Win32 и представляют собой исполняемые бинарные файлы. Прочие программы, ориентированные на другие операционные системы и платформы, составляют менее 4% от общего числа (рис. 21).
Рис. 21. Число новых вредоносных, рекламных
и потенциально опасных программ,
ориентированных на различные платформы
Несмотря на то что доля Win32-зловредов в 2007 году составила 96,36% она медленно, но неуклонно продолжает уменьшаться. Напомним, что за первое полугодие доля не win32-угроз увеличилась с 3,18 до 3,42%, во втором полугодии превысила 4%, а по итогам года в целом составила 3,64%.
Во втором полугодии число вредоносных, рекламных и потенциально опасных программ для Win32 выросло на 36% по сравнению с первыми шестью месяцами этого же года. Однако для других платформ и приложений этот рост составил 63%, что также свидетельствует о все большем смещении приоритетов вирусописателей и отражает рост вредоносного ПО для других систем.
Показатель в 63% был достигнут в первую очередь за счет продолжающегося роста разнообразных скриптовых вредоносных программ — в основном созданных на языках JavaScript и VBScript. Понятно, что все они также нацелены на Windows-системы. Причин роста такой популярности скриптовых программ несколько. Главной из них, на наш взгляд, являются усилия антивирусных компаний по разработке все новых и новых технологий эвристического анализа, эмулирования кода и виртуализации процессов, ориентированных на работу именно с исполняемыми win32-файлами, в то время как скрипты-зловреды остаются почти вне поля зрения вирусных аналитиков. Второй причиной является активное использование скрипт-языков для написания множества эксплойтов, использующих уязвимости популярных браузеров. Именно через уязвимый браузер сейчас наиболее активно распространяются вредоносные программы.
Посмотрим на график темпов роста числа вредоносных, рекламных и потенциально опасных программ для всех платформ (рис. 22). Мы не включили в него платформы и приложения, для которых в 2007 году появилось менее 20 вредоносных, рекламных и потенциально опасных программ. График составлен на основе сравнения показателей первого и второго полугодия 2007 года.
Рис. 22. Рост числа вредоносных, рекламных и потенциально опасных программ
для различных платформ
во втором полугодии 2007 года
Если в первом полугодии лидерами по темпам роста (более чем на 150%) оказались скриптовые языки JavaScript, PHP, Ruby и платформа MS Office, то во втором полугодии картина заметно изменилась. Абсолютным лидером (рост 1550%) оказалась операционная система Mac OS X, которая в 2007 году была атакована 35 раз, из которых 33 — во второй половине года. В полугодовом отчете мы констатировали странный факт отсутствия новых зловредов для этой платформы, несмотря на ее растущую популярность (за год — с июня 2006-го по май 2007-го — для нее не было создано ни одной вредоносной программы). Но к концу года ситуация все-таки сложилась именно так, как предсказывали эксперты. Основным видом вредоносных программ для «маков» в этом году были троянские программы, в том числе подменяющие пользовательские DNS-запросы и ориентированные на фишинговую кражу данных.
Появление новых вирусов для MS-DOS, похоже, следует отнести к курьезам современной вирусологии, тем более что в реальных цифрах это составляет всего пять десятков «ремейков» давно забытых программ.
А вот рост вредоносов в виде HTML-страниц или реализованных на языке ASP — это довольно серьезно. HTML-зловреды, как правило, представляют собой фишинговые страницы или ложные «открытки», обращение к которым может привести к заражению компьютера пользователя либо к краже персональных данных. ASP является одним из наиболее популярных в Китае способов реализации управления зараженными сайтами и установленными там бэкдорами через веб-интерфейс.
В целом же картина угроз для разных платформ и операционных систем в течение 2007 года менялась незначительно. Зафиксированный в 2006 году стремительный рост числа троянских программ, использующих множественные уязвимости в Microsoft Office и его приложениях (Word, Excel, PowerPoint и т.д.), сейчас остановился, и в темпах роста подобных вредоносных программ даже наметился некоторый спад. Вызвано это тем, что Microsoft, по всей видимости, удалось устранить все критические уязвимости в данных продуктах. Впрочем, более 200 вредоносных программ только для одного MS Word — это все еще весьма серьезный показатель. Многие из этих программ были использованы в 2007 году для проведения ряда нашумевших атак, в организации которых обвинялись китайские хакеры.
Главным же прорывом года стал все-таки JavaScript: фактически он стал самой инновационной средой разработки и реализации вредоносных программ. Теперь на JavaScript пишутся не только простейшие Trojan-Downloader, но и сложные эксплойты, использующие уязвимости в браузерах, почтовые черви, различные спам-боты и фишинговые грабберы. По итогам года число новых вредоносных программ на JavaScript почти втрое превысило показатели его брата-близнеца — языка Visual Basic Script.
Можно попробовать сгруппировать все 43 атакованные в 2007 году ОС и платформы по общему признаку, а именно по конечной атакуемой ОС. Например, JS и VBS мы причислим к Windows, а Ruby и Perl к *nix. Это позволит нам установить реальное положение дел в извечном споре о том, существует ли вирусная угроза для тех, кто не пользуется Windows (табл. 2).
Таблица 2. Количество
вредоносных программ
для различных платформ
Платформа |
Количество |
Доля, % |
Windows |
236 430 |
99,660 |
*nix |
602 |
0,254 |
Mac |
35 |
0,015 |
Mobile |
63 |
0,027 |
Прочие |
106 |
0,045 |
Выводы из приведенных статистических данных мы предлагаем читателям сделать самостоятельно.
Обновления антивирусных баз
На рост числа вирусных угроз и увеличение частоты появления новых «Лаборатория Касперского» отвечала увеличением скорости реакции на них и ускорением выпуска антивирусных баз.
Новые записи в антивирусных базах
Количество ежемесячных новых записей в антивирусных базах «Антивируса Касперского» в 2007 году варьировалось примерно от 8 тыс. в начале до 28 тыс. в середине года и 23 тыс. к концу периода. По итогам 2007 года среднемесячное число записей составило 19 770 (рис. 23).
Рис. 23. Количество новых записей в антивирусных базах
(по месяцам 2007 года)
Как видно из приведенного графика, количество ежемесячных записей в антивирусных базах увеличивалось в течение года неравномерно. Наблюдались два пика: в мае и августе, когда вирусными аналитиками «Лаборатории Касперского» было обработано рекордное количество новых вредоносных программ и установлены показатели в 27 847 и 31 305 записей соответственно.
Регулярные и срочные обновления
«Лаборатория Касперского» выпускает два вида обновлений антивирусных баз: регулярные и срочные (в случае эпидемии). Общее число регулярных обновлений в 2007 году превысило 10 тыс., а в среднем за месяц выходило почти 900 обновлений (рис. 24).
Рис. 24. Количество регулярных обновлений баз по месяцам
В приведенной статистике виден резкий рост количества обновлений начиная с октября. Именно в это время «Лаборатория Касперского» ввела в действие новую систему выпуска обновлений. Если ранее они выходили примерно один раз в час, то теперь промежуток между регулярными обновлениями сократился до получаса!
Это составляет примерно 40-50 обновлений в течение 24 часов, что является лучшим результатом во всей антивирусной индустрии (рис. 25).
Рис. 25. Количество срочных обновлений баз по месяцам
Событий, удостоенных срочного выпуска обновлений, в 2007 году было на 51% меньше, чем в 2006-м, а во втором полугодии 2007-го на 88% меньше, чем в первые шесть месяцев. Отчасти это было вызвано переходом на получасовую схему выпуска обновлений.
Среднее число срочных обновлений в месяц составило 9,17.
Прогнозы на 2008 год
MalWare 2.0
Эволюция схемы функционирования вредоносных программ от единичных зловредов к сложным и взаимодействующим между собой проектам началась четыре года назад с модульной системы компонентов, использованной в черве Bagle. Новая модель функционирования вредоносных программ, оформившаяся в конце 2006 года в виде червя Warezov и показавшая в 2007 году свою жизнестойкость и эффективность в виде «штормового червя» (Zhelatin), не только должна стать стандартом для массы новых вредоносных проектов, но и получить свое дальнейшее развитие.
Основные черты этой модели:
- отсутствие единого центра управления сетью зараженных компьютеров;
- активное противодействие попыткам стороннего исследования и перехвата управления;
- рассылки вредоносного кода — массовые и кратковременные одновременно;
- грамотное применение средств социальной инженерии;
- использование разных способов распространения и постепенный отказ от наиболее заметных из них (электронная почта);
- для осуществления разных функций используются различные модули (а не один универсальный).
По аналогии с известным термином Web 2.0 новое поколение вредоносных программ можно назвать MalWare 2.0.
В настоящий момент перечисленные черты есть у всех трех вредоносных программ: Bagle, Zhelatin и Warezov. Все они не столько ориентированы на кражу информации, сколько нацелены на осуществление большей части нынешних спам-рассылок. Однако некоторые семейства «банковских» и «игровых» троянцев уже начинают демонстрировать отдельные черты такой схемы функционирования.
Руткиты и «буткиты»
Техника сокрытия присутствия в системе (руткиты) станет применяться не только в троянских программах, но и в файловых вирусах. Таким образом, мы как бы вернемся к периоду существования MS-DOS, когда активными были резидентные стелс-вирусы. Это является логичным развитием методов противодействия антивирусным программам. Вредоносные программы теперь стремятся выжить в системе, даже будучи обнаруженными.
Еще одним опасным способом сокрытия присутствия программы в компьютере будет технология заражения загрузочного сектора диска — так называемые буткиты. Это очередная реинкарнация старой техники, позволяющая вредоносной программе получить управление еще до загрузки основной части операционной системы (и антивирусных программ). Появившись в виде концепта в 2005 году, в 2007-м этот прием был реализован в Backdoor.Win32.Sinowal и вызвал несколько тысяч заражений по всему миру в течение двух последних недель года. Этот прием особенно опасен для пользователей и в 2008 году может стать одной из главных проблем информационной безопасности.
Файловые вирусы
Файловые вирусы продолжат свое возвращение. На первом месте по-прежнему будут китайские вирусописатели, а вирусы будут нацелены на пользователей онлайн-игр. Не исключено, что заражение файлов возьмут на вооружение авторы Zhelatin или Warezov — ведь это обеспечит данным вредоносным программам еще один действенный способ распространения.
В 2008 году нас ожидает множество инцидентов с зараженными дистрибутивами игр и программ, размещенных на популярных сайтах и в файлообменных сетях. Вирусы будут стремиться заразить те файлы, которые пользователь предоставляет для общего применения. Во многих случаях такой способ распространения может оказаться даже более эффективным, чем рассылка вредоносного файла по электронной почте.
Атаки на социальные сети
Пользователи социальных сетей станут основной мишенью фишинга. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, будут пользоваться повышенным спросом у злоумышленников. Это станет важной альтернативой методике размещения вредоносных программ на взломанных сайтах. В 2008 году множество троянских программ будет распространяться именно через учетные записи пользователей социальных сетей, через их блоги и профили.
Еще одной связанной с социальными сетями проблемой останутся XSS\PHP\SQL-атаки. В отличие от фишинга, в основу которого положены исключительно мошеннические методы и методы социальной инженерии, эти атаки используют ошибки и уязвимости самих Web 2.0-сервисов и могут затронуть даже весьма грамотных пользователей. Под прицелом, как всегда, будут частные данные, которые нужны для создания некоторых баз/списков для проведения последующих атак «традиционными» способами.
Угрозы для мобильных устройств
Что касается мобильных устройств, и в первую очередь мобильных телефонов, то угрозы будут распределяться между примитивными троянскими программами, аналогичными представителям семейства Skuller для Symbian и «первому троянцу» для iPhone, и различными уязвимостями в операционных системах и приложениях для смартфонов. Возникновение глобальной эпидемии мобильного червя пока представляется маловероятным, хотя технические предпосылки для этого уже существуют. Наблюдавшаяся консолидация рынка операционных систем для смартфонов между Symbian и Windows Mobile в 2007 году была нарушена появлением iPhone и анонсированием новой мобильной платформы Android от Google. Скорее всего, именно новизна и популярность iPhone привлекут к нему больше внимания злоумышленников, чем к другим мобильным устройствам, особенно если средства разработки приложений для него (SDK) станут общедоступными, как это объявила компания Apple в конце 2007 года.