(China)
(Japan)
(Korea)Обзор вирусной активности в 2006 году
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, представляет ежегодный обзор событий в области вредоносных программ. Данный материал содержит сведения о крупнейших вирусных инцидентах, произошедших в 2006 г., экспертную оценку тенденций в сфере создания и распространения вирусов и прогнозы "Лаборатории Касперского" относительно дальнейшего развития ситуации.
Итоги года
2006 год продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы. Это преобладание троянских программ над червями и увеличение в новых образцах вредоносного кода доли программ, ориентированных на нанесение финансового ущерба пользователям. В 2006 году среди всех новых семейств и вариантов вредоносных программ доля троянских программ превысила 90%.
Распределение вредоносных программ по классам на конец 2006 года
| Класс | % | Изменение за год |
| TrojWare | 91,79% | +2,79% |
| VirWare | 4,70% | -1,3% |
| MalWare | 3,51% | -1,49% |
Устойчивый рост популярности троянских программ, который мы наблюдаем в течение последних лет, обусловлен относительной простотой их создания и возможностью с их помощью красть данные, создавать ботнеты и производить спам-рассылки.
Наиболее интересными тенденциями 2006 года были стремительный рост числа троянских программ-шпионов, ориентированных на кражу данных пользователей онлайн-игр, и дальнейшее развитие троянцев-шифровальщиков, в которых начали применяться серьезные криптографические алгоритмы для шифрования данных. Троянцы поведения Trojan-PSW, большинство представителей которого ориентированы на кражу учетных данных пользователей различных онлайн-игр, в 2006 году продемонстрировали максимальный рост числа новых программ среди всех поведений данного класса (+125%).
Число червей и вирусов (VirWare) уменьшилось на 1,3% - не столь значительно, как в 2005 году (-6,53%), однако это легко объяснимо уже достигнутыми крайне малыми их показателями. В ближайшем будущем их количество вряд ли будет продолжать снижаться, и, скорее всего, сейчас ими достигнута определенная «точка равновесия».
Что же касается вредоносных программ, которые мы относим к Other MalWare, то самым значимым событием 2006 года в данном классе является повышенное внимание вирусописателей к Microsoft Office и появление большого числа эксплойтов для MS Office.
Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS, троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета.
Рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41%.
Авторы вредоносных программ все активней использовали нестандартные пути для проникновения в компьютеры своих жертв: системы мгновенного обмена сообщениями (ICQ, AOL, MSN) стали одним из наиболее опасных приложений при работе в сети Интернет. Конечно, этот путь напрямую был связан и с большим количеством уязвимостей в популярных браузерах, в первую очередь в Internet Explorer.
В целом год оказался достаточно интересным с технологической точки зрения и, к счастью, прошел без единой глобальной эпидемии, сравнимой по уровню хотя бы с некоторыми эпидемиями 2005 года (Mytob). С другой стороны, на смену глобальным эпидемиям пришли локальные, «организованные» по географическому признаку (т.е. охватывающие отдельные регионы, например, Китай, Россию и т.д.) или имеющие крайне малый период активности.
В 2006 году было зафиксировано 7 крупных вирусных эпидемий - вдвое меньше показателя прошлого года (14 эпидемий). Эпидемии 2006 года можно разделить на четыре группы. Это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов троянца-шифровальщика Gpсode.
Десятка самых распространенных вредоносных программ в почтовом трафике в 2006 г.
| № | Вредоносная программа | Результат по сравнению с 2005 г. |
| 1 | Net-Worm.Win32.Mytob.c | -- |
| 2 | Email-Worm.Win32.LovGate.w | +4 |
| 3 | Email-Worm.Win32.NetSky.b | +2 |
| 4 | Email-Worm.Win32.NetSky.t | New |
| 5 | Email-Worm.Win32.Nyxem.e | New |
| 6 | Email-Worm.Win32.NetSky.q | -4 |
| 7 | Net-Worm.Win32.Mytob.u | +2 |
| 8 | Net-Worm.Win32.Mytob.t | +7 |
| 9 | Net-Worm.Win32.Mytob.q | -1 |
| 10 | Scano.gen | New |
Наиболее важные изменения по сравнению с прошлыми годами
2006 год поставил перед антивирусной индустрией ряд новых проблем и угроз. Значительно усилилась общая киберкриминальная составляющая современного вирусописательства. Отмечается стремительная экспансия вредоносных программ в те области интернет-деятельности, которые ранее оставались относительно безопасными – онлайн-игры и социальные сети (блоги, форумы). Миллионы пользователей популярных сетевых игр, таких как World of Warcraft, Lineage и др., стали объектами внимания со стороны азиатских авторов вирусов, стремящихся украть данные доступа к игровым аккаунтам. Крупнейшие блоггерские сообщества регулярно подвергались попыткам распространения вирусов и троянцев через блоги.
В условиях отсутствия критических уязвимостей в системных службах Microsoft Windows внимание хакеров и злоумышленников было обращено на другие популярные программные продукты – Microsoft Office и Internet Explorer. Под прицел «blackhat» попали и Word, и Excel, и Power Point. За год число подобных «дыр» составило более двух десятков, и все они становились известными еще до опубликования патча от Microsoft, закрывающего соответствующую уязвимость.
В 2006 году злоумышленники сделали большой шаг в области вымогательства путем шифрования файлов пользователя. Если в прошлом они ограничивались только примитивными самодельными алгоритмами шифрования, то теперь на их вооружении оказались такие серьезные криптоалгоритмы, как RSA, считающийся одним из наиболее «устойчивых».
В условиях стремительного развития антивирусных технологий вирусописателям приходится изобретать все новые и новые способы противодействия антивирусным компаниям. Подавляющее число новых вредоносных программ используют разнообразные методы упаковки своего кода, что призвано осложнить анализ таких файлов антивирусными экспертами. Все чаще и чаще используются и другие способы шифрования вирусного кода. Одной из наиболее серьезных проблем стало использование авторами вирусов технологии «замусоривания кода».
Это, вкупе с оформившейся тенденцией на организацию массированных, но кратковременных локальных вирусных эпидемий, поставило перед всеми антивирусными компаниями проблему скорости реакции на подобные угрозы.
Прогнозы на 2007 год
Учитывая все вышеописанные тенденции и события, мы ожидаем, что в 2007 году основное внимание вирусописателей будет по-прежнему приковано к различным троянским программам, специализирующимся на краже пользовательской информации. Основными объектами атак будут оставаться пользователи различных банковских и платежных систем, а также играющие в онлайн-игры.
Будет продолжена тенденция сплочения авторов вирусов и спамеров, когда за счет их «симбиоза» зараженные компьютеры используются не только для организации новых эпидемий или атак, но и для рассылки спама.
Что касается способов проникновения вредоносных программ на компьютеры, то основными путями по-прежнему будут оставаться электронная почта и уязвимости в браузерах. Использование способов прямой атаки на порты будет менее распространено и будет полностью зависеть от обнаружения (или необнаружения) критической уязвимости в службах Windows. Такие способы распространения вредоносных программ, как P2P-сети или IRC-каналы, не будут массовыми, однако, несомненно, будут использоваться - преимущественно локально (например, P2P-клиент Winny, очень популярный в Японии, может в 2007 году стать очень серьезной проблемой для азиатских пользователей). Системы мгновенного обмена сообщениями останутся в тройке наиболее активно используемых средств для атаки, однако заметного усиления этого способа распространения вирусов мы не ожидаем.
В целом, эпидемии и вирусные атаки станут еще более географически выражены. Например, для Азиатского региона будет характерно преобладание игровых троянцев и червей с вирусным функционалом, а для Европы и США – троянцев-шпионов и бэкдоров. Южная и Латинская Америка будут по-прежнему страдать от всевозможных «банковских» троянских программ.
Несомненно, главной темой 2007 года станет новая операционная система от Microsoft – Vista – и связанные с ней уязвимости. Именно уязвимости и новые ограничения в Vista являются определяющим фактором развития вирусной индустрии на ближайшие годы. Не стоит ожидать здесь быстрых и кардинальных изменений, однако то, что именно это будет формировать тенденцию года, – несомненно.
Вредоносные программы все больше будут двигаться в сторону повышения своей технологичности и методов сокрытия своего присутствия в системе. Разработки в области полиморфизма, замусоривания кода и руткит-технологии станут еще более массовыми и практически станут стандартом для большинства новых вредоносных программ.
Значительный рост вредоносных программ можно прогнозировать и для других операционных систем: в первую очередь для MacOS, а затем для *nix-систем. Не останутся без внимания и игровые приставки, такие как PlayStation и Nintendo. Все увеличивающееся число таких устройств и их возможности по коммуникации друг с другом и Интернетом могут привлечь внимание авторов вирусов, пока, правда, исключительно из «исследовательско-хулиганских» побуждений. Может случиться, что вирусы для «некомпьютеров» в 2007 году преодолеют определенный рубеж и перейдут к стадии бурного роста, однако вероятность этого невысока и, по нашему мнению, все ограничится большим количеством концептуальных работ в этой области.
Увеличится число точечных атак на компании среднего и крупного бизнеса. Помимо традиционной кражи информации, эти атаки будут нацелены и на вымогательство денег у пострадавших организаций, в том числе и за расшифровку данных. Одним из основных способов проникновения в системы будут файлы MS Office и уязвимости в этом программном продукте.
Более подробно с вирусными итогами 2006 года вы можете ознакомиться в годовом аналитическом отчете "Лаборатории Касперского".
