Вредоносные программы в электронной почте — 2007
Из каких стран рассылаются вредоносные письма
Какие вредоносные программы рассылаются по почте
Наиболее распространенные семейства вредоносных программ в электронной почте
Как известно, электронная почта является одним из популярных средств распространения вредоносных программ. Фишинг, сообщения со ссылками на зараженные веб-страницы, всевозможный спам, в котором широко используются методы социальной инженерии с целью заставить пользователя выполнить те или иные действия, угодные автору рассылки, — все это серьезные проблемы, связанные с использованием электронной почты. Данная статья посвящена вредоносным программам, которые рассылаются по электронной почте в виде прикрепленных к письмам файлов. В том числе будут рассмотрены результаты анализа их распространенности, выполненного аналитиками «Лаборатории Касперского».
Из каких стран рассылаются вредоносные письма
Попробуем разобраться, в каких странах рассылается больше всего зараженных электронных писем. На рис. 1 представлено процентное соотношение вредоносных файлов по регионам, где зарегистрированы серверы, с которых была отправлена зараженная почта.
Рис. 1. Распределение числа вредоносных программ
по странам — источникам зараженных
электронных писем, %
В пятерку лидеров вошли США, Германия, Швеция, Испания и Малайзия. Отметим, что зараженные письма могут и не выходить за пределы страны. Поэтому на основе этих данных нельзя сказать определенно, что страны, занявшие лидирующие позиции, наиболее опасны в качестве источников вредоносного почтового трафика.
Какие вредоносные программы рассылаются по почте
Статистика, собранная «Антивирусом Касперского», работающим на почтовых серверах по всему миру, позволяет выделить десять наиболее распространенных типов поведения вредоносных программ, рассылаемых по электронной почте в виде приложений. Типы, не вошедшие в эту десятку, составляют около 1% от общего объема детектированных вложений (рис. 2).
Рис. 2. Состав мирового вредоносного
email-трафика, %
Рассмотрим подробнее типы поведения вредоносных программ, попавших в Tоп-10.
Почтовые черви (Email-Worm)
Более половины всех вредоносных программ, рассылаемых по электронной почте, относится к почтовым червям (55%). Доминирование Email-Worm среди подобных почтовых программ закономерно — они не только массово рассылаются злоумышленниками, но и умеют рассылать себя сами.
Отметим, что в соответствии с классификацией программы, обладающие не только функциональностью почтового червя, но и более опасных типов (например, Net-Worm и Worm), относят к более опасному типу вредоносного ПО. Возможности почтового червя (самораспространение) в таком случае считаются лишь дополнительной функцией вредоносной программы. Таким образом, к числу самораспространяющихся программ можно смело добавить и обнаруженных в почте представителей Net-Worm (6%) и Worm (0,56%). Это означает, что доля распространяющихся по электронной почте программ с функциональностью почтовых червей на самом деле не 55, а 61%.
В течение 2007 года отмечались спады и резкие скачки числа почтовых червей (рис. 3).
Рис. 3. Число новых вредоносных программ типа Email-Worm
На рис. 3, отражающем изменение в течение года числа новых задетектированных вредоносных программ типа Email-Worm, хорошо видны три значительных пика. Все они связаны с активизацией нашумевшего червя Email-Worm.Win32.Zhelatin, также известного в Сети под именем Storm Worm. Семейство Zhelatin в 2007 году заняло лидирующую позицию среди почтовых червей по числу новых вариантов вредоносных файлов (рис. 4).
Рис. 4. Распределение вредоносных программ
типа Email-Worm по семействам, %
Zhelatin (Storm Worm)
Авторы червя Zhelatin избрали новую стратегию, которая должна была обеспечить выживаемость их детища. Чтобы выпускать новые версии чаще, чем выходят обновления антивирусных баз, злоумышленники, по-видимому, создали целую «фабрику» по автоматическому производству вредоносного кода. На этой «фабрике» постоянно конструировались новые вредоносные программы, которые проверялись антивирусом. Бракованные (детектируемые) экземпляры отбрасывались, а те, что успешно проходили проверку, автоматически копировались на несколько специально подготовленных веб-серверов в Интернете, с которых и происходило распространение новых версий программы. В этом случае разработчики антивируса столкнулись с неразрешимой проблемой: код, который создает новые версии вредоносных программ, нам физически недоступен и мы не можем его проанализировать и создать детектирующую подпрограмму, что обычно делается для детектирования полиморфных вирусов.
Zhelatin стал следующим этапом в развитии вредоносных программ, авторы реализовали в нем практически все достижения вирусописательской мысли последних лет. Изначально «полезной нагрузкой» червя Zhelatin был сбор email-адресов с компьютера жертвы и пересылка их на серверы злоумышленников (очевидно, адреса собирались для последующей продажи спамерам). Затем на основе обновленного Zhelatin вирусописатели решили строить зомби-сеть. Ботнеты, созданные с помощью «штормового червя», по-своему уникальны — это peer-to-peer зомби-сети. В такой сети зомби-компьютеры соединяются с центром управления лишь при его доступности, а если сервер не найден или не работает, они способны работать самостоятельно, подключаясь друг к другу и передавая сообщения по цепочке. У каждого зомби-компьютера имеется небольшой список ближайших соседей, с которыми он устраивает коммуникацию. Явные деструктивные функции в тело Zhelatin не включались, однако авторы предусмотрели возможность сокрытия его от глаз пользователя и реализовали внутри червя Rootkit-механизм.
Еще за год до появления «штормового червя» мы подозревали, что скоро будет создана «фабрика» червей. Мы не спешили рассказывать об этом, потому что технология обещала быть весьма опасной и мы готовились дать достойный ответ новой угрозе.
Впрочем, следует отметить, что автор Zhelatin был не первым, кто использовал автоматическое производство новых модификаций программы. В сентябре-октябре 2006 года начал очень активно распространяться аналогичный почтовый червь Email-Worm.Win32.Warezov. Ежедневно к нам приходили десятки новых модификаций. Уже тогда мы знали, что время новых червей наступило. Именно эти два червя, Warezov и Zhelatin, стали в 2007 году основными виновниками увеличения числа новых детектируемых вредоносных программ класса Email-Worm, что показано на рис. 5.
Рис. 5. Число новых вредоносных программ семейств Warezov и Zhelatin
Как видите, кривые, отражающие количество новых вредоносных файлов Zhelatin и Warezov, практически повторяют соответствующую кривую для программ класса Email-Worm в целом.
С почтовыми червями все более или менее понятно: они есть и пока не собираются исчезать, хотя и однозначной тенденции к резкому увеличению количества различных вариантов почтовых червей нет. Рост их числа происходит стихийно, что и отражает рис. 5.
Другие вредоносные программы
На втором месте в списке наиболее распространенных вредоносных программ стоят Trojan-Downloader (15%). Они являются универсальными загрузчиками произвольного вредоносного кода из Интернета. Использование в рассылке программ Trojan-Downloader вместо целевой вредоносной программы повышает шансы создателей вредоносного кода заразить удаленную систему. Сначала Trojan-Downloader отключает службы антивирусной защиты, а затем скачивает из Интернета другую вредоносную программу, которую немедленно запускает. Если Trojan-Downloader удается успешно отключить антивирус на зараженном компьютере, то программа, которую он скачивает, может быть любой, в том числе давно известной и детектируемой всеми антивирусами. Таким образом, у разработчиков вредоносного кода нет необходимости выпускать новую версию целевой вредоносной программы после того, как ее стали детектировать антивирусы. Вместо этого достаточно использовать компактный и простой Trojan-Downloader, на разработку которого требуется минимум усилий. Это объясняет популярность данного типа программ.
Вслед за Trojan-Downloader с небольшим отрывом идут Trojan-Spy (13%) — программы, созданные для кражи той или иной конфиденциальной информации как с корпоративного компьютера — с целью проникновения в сеть организации, так и с домашнего — чтобы мошенник мог использовать украденные данные в своих целях.
Следующие три типа вредоносного ПО из списка значительно отстают от трех первых — доля каждого из них во вредоносном почтовом трафике составляет всего 3%.
Trojan-Dropper. Назначение данных программ такое же, как и Trojan-Downloader, — установка на компьютер другой вредоносной программы. Единственное различие между ними заключается в том, что Trojan-Dropper несет другую вредоносную программу внутри себя, а Trojan-Downloader скачивает ее из Интернета. Судя по статистике, злоумышленники предпочитают пользоваться преимуществами онлайн-загрузки вредоносного кода, то есть чаще применяют Trojan-Downloader.
Exploit. Примечательно, что раньше такие программы встречались в почтовом трафике довольно редко. Сообщения, содержащие эксплойты, как правило, рассылались в ходе целевых хакерских атак. Сегодня непросвещенных пользователей, которые запускают исполняемые файлы из вложений, становится все меньше, и эксплойты обретают популярность, поскольку их применение позволяет злоумышленникам исполнять код на компьютере пользователя уже при открытии письма. Пользователю не нужно сохранять исполняемый файл и запускать его с диска — все происходит тихо и незаметно, в автоматическом режиме. Мы полагаем, что в будущем доля эксплойтов во вредоносном почтовом трафике будет расти и у них есть шанс через несколько лет выйти на первое место среди вредоносных программ, пересылаемых по каналам электронной почты.
Интересно, что в десятку наиболее распространенных вредоносных программ входят и Password-protected-EXE. Сама по себе такая «маркировка» не говорит о вредоносности файла. Антивирус лишь предупреждает пользователя о том, что этот файл может нести в себе опасность. Password-protected-EXE — это самораспаковывающиеся архивы с паролем. Многие вредоносные программы рассылаются в таком виде с указанием пароля в тексте письма. Это делается для того, чтобы почтовые антивирусы, сканирующие проходящий через них трафик, не смогли вскрыть архив и обнаружить вредоносную программу, которая в нем содержится. При запуске подобной программы у пользователя спрашивается пароль, и после того, как он введет правильный пароль, программа извлекает из себя один или несколько файлов, которые может выполнить.
Замыкают десятку самых распространенных в почте вредоносных программ Trojan (1,51%) и Virus (1,15%). К типу Trojan относятся различные троянские программы со всевозможными функциями, не позволяющими отнести их к определенному типу. Они не представляит большого интереса. Что касается типа Virus, то в почту попадают зараженные вирусом файлы, которые пользователи, как правило, рассылают с инфицированных машин, не подозревая о том, что отсылаемые ими файлы заражены.
Наиболее распространенные семейства вредоносных программ в электронной почте
Tоп-10 семейств вредоносных программ (без группировки их по типам поведения) отражает рис. 6.
Рис. 6. Мировой вредоносный
email-трафик (по семействам), %
Любопытно, что, несмотря на то, что по числу различных модификаций на первом месте в 2007 году находилось семейство Zhelatin, при подсчете в почтовом трафике общего числа сообщений с вложением Zhelatin выяснилось, что он не попадает даже в первую десятку! На первом месте находится ветеран — почтовый червь Email-Worm.Win32.Netsky. Далее встречаются рассылки поддельных банковских писем, классифицируемые как Trojan-Spy.HTML.Bankfraud.
А из двух нашумевших почтовых червей (Zhelatin и Warezov) мы видим только Warezov, причем лишь на пятом месте в списке.
Zhelatin не сумел превзойти Warezov по распространенности в e-mail. Вполне вероятно, что авторы червя Zhelatin и не стремились к доминированию своего детища в почтовом трафике, однако реализацию функции почтового червя в нем все же следует признать неудачной — в отличие от реализации других функций вредоносной программы.
Заключение
По итогам 2007 года хочется отметить несколько основных моментов.
Прежде всего внимание привлекает появившийся в 2006 году подход к созданию вредоносного кода, а именно идея конструирования программ в автоматическом режиме с установленной периодичностью. Мы не думали, что такая «фабрика» сможет продержаться долго, однако она действует до сих пор и механизм, порождающий новые варианты Warezov, продолжает где-то функционировать.
В 2007 году у Warezov появился последователь — червь Zhelatin, который создавался похожим способом. Однако в целом вспышки эпидемий Zhelatin и Warezov имеют тенденцию к затуханию, а значит, их удается успешно нейтрализовать.
Другим значимым изменением является рост интереса к использованию эксплойтов. Доля эксплойтов, рассылаемых по почте, увеличивается, и это несколько настораживает, поскольку эксплойты в массовом применении несут очень серьезную опасность для пользователей с любым уровнем знаний: одинаково быстро позволить заразить компьютер может как начинающий пользователь, так и специалист.
Интерес злоумышленников к почтовому трафику ослабевает. Это обусловлено ростом числа новых интернет-сервисов: все больше вредоносных программ уходит на просторы Всемирной паутины. Однако это не означает, что можно забыть о почтовых вредителях: стоит лишь немного расслабиться и все может кардинально измениться!