В спорах рождаются вирусы

• Антон Веселов

Уязвимость компьютерных сетей в 2010 году останется на уровне прошлого года, больше всех «зловредов» будут по-прежнему «клепать» китайцы, а сами вирусы продолжат охоту за секретами нашего виртуального мира. Электронный апокалипсис, когда-то назначенный на 2000 год, чуть было не случился в 2008-м. Последние месяцы «сытого» периода позволили киберпреступникам поставить рекорд по числу натравленных на частные и корпоративные компьютеры вирусов. Так, «Лабораторией Касперского» за предшествующие 15 лет (с 1992-го по 2007 год) было обнаружено около двух миллионов уникальных вредоносных программ, а только за один 2008 год — 15 миллионов. К счастью, антивирусные системы с честью отразили этот натиск и конца цифрового века не наступило. Удержаться же на рекордном подъеме вирусописатели не смогли — в 2009 году число вредоносных программ в коллекции «Лаборатории Касперского» достигло 33,9 миллиона, то есть всего лишь стандартно удвоилось за год.

Утром вирусы — вечером деньги

Произошедший в 2008 году бум практически целиком на совести программистов из КНР. В 2009 году больше половины вирусов имели китайское «гражданство». Еще один глобальный игрок на этом рынке — США, за прошлый год на долю «звездно-полосатых» можно отнести почти 19% киберугроз. Россия занимает утешительное пятое место с неполными 3% рынка. Выдающиеся заслуги в деле создания компьютерных «болячек» — палка о двух концах. В первую очередь от заразы страдают страны-производители. Возглавляет список Китай (46,75%), под вторым номером фигурируют Штаты (6,64%), а замыкает «призовую» тройку, оттеснив Индию и Германию, Россия (5,83%).

Последние два года доказали, что возврата к «святой простоте» в деле создания вирусов уже не будет. Во-первых, технологии заражения файлов становятся все совершеннее, что ведет к увеличению уникальных вредоносных файлов и к удорожанию их «производства». Во-вторых, вектор атак смещается в сторону веб-браузеров — почти все заражения происходят через оптоволоконные «инъекции». А в-третьих, в 2007–2008 годах вредоносное программное обеспечение потеряло «флер» бескорыстной борьбы с системой. Основным видом вредоносных программ стали трояны, занимающиеся кражей информации.

В 2009 году все эти тенденции сохранились, однако количественный рост программ существенно замедлился. Кроме того, из-за  уменьшения доходов преступников и активного противодействия антивирусных компаний произошло снижение активности ряда троянских программ,  прежде всего игровых. Успешная борьба правоохранительных органов, надзорных структур, телекоммуникационных компаний, антивирусной индустрии с криминальными интернет-хостингами и сервисами тоже способствовала уменьшению количества вредоносных программ.

Конечно, закрытие криминальных хостингов (таких как McColo, Atrivo, EstDomains, UkrTeleGroup, RealHost и 3FN) не привело к полному прекращению деятельности мошенников — они легко нашли себе новое пристанище. Однако на то время, пока они были заняты «переездами», Интернет становился безопасней. Александр Гостев, руководитель Центра глобальных исследований и анализа угроз «Лаборатории Касперского», прогнозирует сохранение наметившейся тенденции — количество уникальных вредоносных программ, созданных в 2010 году, будет соизмеримо с показателями 2009 года.

«Сам дурак»

Какими бы продвинутыми ни становились «железо» и система защиты, личную осторожность еще никто не отменял. Пострадавшие прекрасно знают, что основная доля киберугроз связана с посещением порно- и файлообменных сайтов (торрентов), через которые идет основной оборот взломанного программного обеспечения. И все же пользователи, как крысы на дудочку, идут на зов халявы. В злачных местах активных пользователей настигают вредоносные программы — скажем, оснащенные руткит-функционалом вроде ветерана виртуальной войны по имени Sinowal. Весной 2009 года эксперты отметили очередную волну распространения этого руткита. Хорошо скрывающий свое присутствие в системе, не обнаруживаемый большинством современных антивирусов, Sinowal на тот момент представлял собой самую продвинутую вредоносную программу. Практически все серверы, с которых происходило заражение компьютеров пользователей, работали в рамках так называемых партнерских программ — схем взаимодействия владельцев сайтов и авторов вредоносных программ. Такие «партнерки» очень популярны в российском и украинском киберпреступном мире.

Другая вредоносная программа, TDSS, была реализацией сразу двух наиболее сложных технологий: она заражала системные драйверы Windows и создавала собственную виртуальную файловую систему, в которой прятала основной вредоносный код. TDSS — первая вредоносная программа, способная внедряться в систему на таком уровне.

Еще один, по всем признакам российский, продукт — Clampi, показавший свою силу в ряде крупных американских компаний и ведомств. Эта вредоносная программа, впервые появившаяся в 2008 году, нацелена на кражу учетных записей ряда систем онлайн-банкинга. Модификация 2009 года отличалась от предшествующих не только сложной многомодульной структурой, но и крайне изощренной схемой коммуникации ботнета с использованием шифрования трафика. Еще одной заметной чертой Clampi стало использование стандартных утилит Windows на стадии распространения внутри локальных сетей. Это привело к ряду проблем для некоторых антивирусных программ, которые не могли блокировать «белые приложения», а следовательно, предотвращать заражение.

Не все борцы за мир — подлинные

Прошедший 2009 год запомнился ростом числа глобальных эпидемий. По мнению Виталия Камлюка, ведущего антивирусного эксперта «Лаборатории Касперского», и 2010 год тоже никому не даст расслабиться. Данные, собранные при помощи Kaspersky Security Network, позволяют сделать вывод, что порог в один миллион атакованных систем в 2009 году превысили следующие вредоносные программы: черви Kido, Brontok, Mabezat и Sohanad, вирус-червь Sality, файловый вирус Parite.b, вирус-бот Virut.ce и руткит-бэкдор TDSS.z.

Несомненно, главной эпидемией года можно признать червь Kido (Conficker), поразивший миллионы компьютеров по всему миру. Червь использовал сразу несколько «отмычек» к компьютерам жертв: подбирал пароли к сетевым ресурсам, распространялся через флеш-нако-пители, использовал уязвимости Win-dows. На следующем этапе каждый зараженный компьютер становился частью зомби-сети. Борьба с созданным ботнетом осложнялась тем, что в Kido сошлись самые современные и эффективные технологии вирусописателей. В частности, одна из модификаций червя получала обновления с пятисот доменов, адреса которых случайно выбирались из ежедневно создаваемого списка в 50 000 адресов, а в качестве дополнительного канала обновлений использовались соединения типа P2P. Kido противодействует обновлению программ защиты, он отключал службы безопасности, блокировал доступ к сайтам антивирусных компаний и вообще сопротивлялся как только мог.

Создатели Kido не проявляли большой активности до марта 2009 года, хотя к этому времени он уже смог заразить до пяти миллионов компьютеров по всему миру. Kido не содержал функционала по рассылке спама или организации DDoS-атак. «Мы ждали появления такого функционала с 1 апреля, так как именно в этот день распространенная в марте версия Kido должна была начать попытки загрузки дополнительных модулей, — рассуждает Александр Гостев. — Однако создатели предпочли выждать несколько дней, и в ночь с 8-го на 9 апреля зараженным компьютерам была дана команда на обновление с использованием соединения P2P. Помимо обновления самого Kido, на зараженные компьютеры происходила загрузка двух других программ. Первая из них — почтовый червь семейства Email-Worm.Win32.Iksmas, занимающийся рассылкой спама. Вторая программа — лжеантивирус семейства FraudTool.Win32.SpywareProtect2009, требующий деньги за удаление якобы найденных программ». По оценкам, представленным в ноябре 2009 года американским ФБР, на лжеантивирусах преступники в общей сложности заработали 150 млн долларов США. В настоящее время в коллекции «Лаборатории Касперского» более 300 различных семейств фальшивых антивирусов.

А теперь все вместе

Для борьбы со столь распространенной угрозой, как Kido, участники антивирусного рынка переступили через себя и протянули друг другу руку дружбы. Союз получил название Conficker Working Group. Он объединил антивирусные компании, интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы. Это первый пример столь широкого международного сотрудничества, вышедшего за рамки обычных контактов между антивирусными экспертами, и он может послужить хорошей основой для постоянно действующей организации по борьбе с угрозами, терроризирующими весь мир.

Эпидемия Kido продолжалась на протяжении всего 2009 года. В ноябре количество зараженных систем превысило семь миллионов. Учитывая опыт предыдущих, аналогичных по принципам работы червей (Lovesan, Sasser, Slammer), глобальная эпидемия Kido останется в активной фазе и в 2010 году, уверен Александр Гостев.

Нельзя обойти вниманием эпидемию вируса Virut, мишенью которого стали веб-серверы. Заслуживает упоминания и используемый механизм заражения: вирус не только инфицирует исполняемые файлы с расширениями .EXE и .SCR, но и дописывает специализированный код в конце веб-документов заражаемого сервера. При посещении зараженного легального ресурса на компьютеры ничего не подозревающих пользователей по добавленной вирусом ссылке загружается вредоносный контент, подготовленный злоумышленником. Помимо этого вирус распространяется в пиринговых сетях вместе с зараженными генераторами серийных ключей и дистрибутивами популярных программ. Целью заражения является объединение инфицированных компьютеров в IRC-ботнет, используемый для рассылки спама.

Gumblar пошла в атаку

Одной из крупнейших эпидемий в Интернете, затронувшей десятки тысяч веб-ресурсов, стали несколько волн Gumblar-атак. В первой версии веб-страницы легальных сайтов заражались телом скрипта. Внедренный скрипт незаметно для посетителя зараженной страницы переадресовывал запросы на сайт злоумышленников, распространяющий вредоносное программное обеспечение.
А уже осенью на взломанных ресурсах размещались ссылки не на сайты хакеров, а на легальные зараженные ресурсы, что значительно осложнило борьбу с эпидемией Gumblar.

Gumblar представляет новое поколение самостроящихся ботнетов, эта система работает по замкнутому циклу. Она активно атакует компьютеры посетителей веб-сайтов, а после заражения их исполняемым файлом для Windows ворует учетные записи FTP-сервера. Затем эти учетные записи используются для заражения всех страниц на новых веб-серверах. Таким образом система увеличивает число зараженных страниц, и, как следствие, атакуется все больше и больше компьютеров.

На самом деле эта эпидемия Gumblar является только верхушкой айсберга веб-инфекций, которые на протяжении последних лет стали доминирующим способом заражения компьютеров пользователей.

Кроме того, активно используются возможности, предоставляемые социальными сетями. Скажем, вероятность того, что пользователь социальной сети запустит предлагаемый ему «друзьями» файл или пройдет по присланной от имени «друга» ссылке, примерно в 10 раз выше, чем если бы этот файл или ссылка пришли к нему по электронной почте. И злоумышленники используют это при распространении вредоносных программ и спама.

Но даже бдительность не гарантирует безопасности — для того чтобы нарушить наш покой, есть технология drive-by-download. С ее помощью заражение компьютера происходит незаметно для пользователя во время обычной работы в Интернете. В 2009 году ситуация значительно ухудшилась — число подобных атак (речь идет о десятках миллионов), зафиксированных «Лабораторией Касперского», увеличилось примерно в три раза.

«Зловреды» в Интернете. TOP-20

По итогам работы Kaspersky Security Network в 2009 году зафиксировано 73 619 767 атак на пользователей (аналогичный показатель 2008 года — 23 680 646). Кроме попыток загрузки на компьютеры вредоносных и потенциально опасных программ, в число зафиксированных инцидентов вошли 14 899 238 попыток доступа к фишинговым и вредоносным сайтам, которые были успешно заблокированы.

Из всех вредоносных программ, участвовавших в интернет-атаках на пользователей, можно выделить 20 наиболее активных. Каждая из этих угроз была зафиксирована более 170 тыс. раз, на них пришлось более 37% (27 268 356) всех зафиксированных инцидентов.

Первое место в рейтинге со значительным отрывом занимает эвристическое детектирование вредоносных ссылок, которые внедряются хакерами, а зачастую и самими вредоносными программами, в код взломанных сайтов. Эти ссылки осуществляют скрытое обращение браузера к другому сайту, на котором, как правило, и находится основной набор эксплойтов, использующих уязвимости браузеров и приложений.

Второе место досталось Gumblar, и это не удивительно, учитывая размах его эпидемии. Примечательно и то, что третье место заняла рекламная программа Boran.z. Adware. Реклама давно является, наряду со спамом и порнографией, одним из основных движущих элементов в структуре киберпреступности. Практически все остальные участники двадцатки в той или иной мере относятся к различным вариациям эксплойтов уязвимостей.

Кто и где копает ямы

По информации «Лаборатории Касперского», 73 619 767 атак, зафиксированных в 2009 году, проводились с интернет-ресурсов, размещенных в 174 странах мира. Более 97% из них пришлось на первую двадцатку. Причем стартовая пятерка в этой таблице идентична первой пятерке аналогичного рейтинга 2008 года.

Как и год назад, абсолютным лидером по числу атак признан Китай. Однако процент атак, проведенных с китайских веб-ресурсов, уменьшился с 79 до 53. На втором месте по-прежнему США, при этом доля зараженных серверов на территории этой страны значительно возросла — с 6,8% до 19%. Россия, Германия и Голландия составляют «второй эшелон», и их доли увеличились незначительно.

Лидерство Китая, как в области создания новых вредоносных программ, так и по числу зараженных веб-сайтов, уже стало объектом внимания со стороны правительственных и правоохранительных органов страны. Для исправления ситуации регулирующие органы уже предприняли ряд мер, призванных усложнить появление вредоносных ресурсов. Теперь оформление доменного имени в зоне .cn производится по письменному заявлению установленного образца и только после того, как заявитель лично предъявит удостоверение и лицензию на осуществление коммерческой деятельности. Из-за несоблюдения этих норм уже были закрыты несколько китайских компаний – регистраторов доменов. А как результат, отмечено уменьшение числа ссылок на китайские домены в спаме. В целом более 81% из 73 619 767 зафиксированных попыток заражения пришлось на компьютеры жителей 10 стран (см. таблицу).

По сравнению с прошлым годом в этом рейтинге произошли значительные изменения. Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. А вот другие лидеры прошлого года — Египет, Турция, Вьетнам — стали заметно менее интересны киберпреступникам. Одновременно с этим значительно возросло число атак на граждан США, Германии, Великобритании и России.

Скорее всего, все это последствия мирового экономического кризиса. Денег в Сети стало значительно меньше, и начавшийся было рост числа пользователей интернет-банкинга в ряде стран замедлился. Преступникам пришлось переключиться на более богатые рынки, где вероятность заработать на заражении пользователей значительно выше.

Свой вклад в этот процесс внесли и китайские преступники, которые стали меньше атаковать своих сограждан.

Никто не защищен

Цифры доказывают, что рассуждения пользователей альтернативных платформ, таких как мобильные ОС и Mac OS, о том, что они по умолчанию вне опасности, ложны. На вирусные угрозы для Mac обратила внимание даже компания Apple, встроив некое подобие антивирусного сканера в новую версию ОС, а ведь еще недавно представители Apple утверждали, что Mac OS вредоносные программы не угрожают. Мобильные платформы, до поры до времени удерживающие осаду, тоже допустили утечку в 2009 году: первые вредоносные программы (черви Ike) пробили брешь в iPhone, первую шпионскую программу создали для Android, а ряды пользователей Symbian-смартфонов столкнулись с подписанными вредоносными программами.

В 2009 году «Лабораторией Касперского» было обнаружено 39 новых семейств и 257 новых модификаций вредоносных программ для мобильных устройств — незначительно больше, чем годом ранее (30 новых семейств и 143 новые модификации).

По словам Дениса Масленникова, руководителя группы исследования мобильных угроз «Лаборатории Касперского», самым ярким явлением 2009 года в «мобильном» сегменте стали вредоносные программы, способные удаленно «общаться» с серверами злоумышленника. Они возникли благодаря распространенности беспроводных сетей и дешевому мобильному Интернету: оба эти фактора позволяют пользователям смартфонов и мобильных телефонов достаточно часто выходить в Сеть.

Обращение мобильных вредоносных программ к удаленным серверам открывает новые возможности для злоумышленников. Будет расти число SMS-троянов, которые отправляют с зараженного телефона платные SMS на премиум-номера и могут брать параметры для отсылаемых сообщений с удаленного сервера. При блокировке префикса зло-умышленнику нет необходимости обновлять вредоносную программу — достаточно взять новый префикс и разместить его на сервере. Осуществление связи мобильных вредоносных программ с удаленным сервером может стать первым шагом на пути к построению ботнета, в состав которого войдут зараженные этими программами мобильные устройства.

«Мы считаем, что в 2010 году эта тенденция продолжится, мы столкнемся с большим количеством «зловредов», которые используют соединение с Интернетом для реализации своего вредоносного потенциала», — подытожил Денис Масленников.

Банкоматы «в деле»

В прошлом году эксперты рынка узнали о появлении первой вредоносной программы для банкоматов — трояна Backdoor.Win32.Skimer. После успешного заражения злоумышленник, используя специальную карточку доступа, может сделать все, что пожелает его душа: снять наличные или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат. Анализ кода трояна дает возможность предположить, что он ориентирован на банкоматы, установленные в России и на Украине, ведь он отслеживает транзакции в долларах США, российских рублях и украинских гривнах.

Возможны два пути попадания этого кода в банкоматы — прямой физический доступ к системе банкомата или доступ через внутреннюю сеть банка, к которой подключены банкоматы. К счастью, это не смертельно: обычный антивирус вполне способен справиться с этим бэкдором.

Локальные заражения

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров.
В эти списки попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты. «Лаборатория Касперского» обнаружила 107 370 258 вирусных инцидентов на пользовательских компьютерах, участвующих в Kas-persky Security Network.

Всего в данных инцидентах было зафиксировано 703 700 разных вредоносных и потенциально нежелательных программ. На долю первых ста из них пришелся 28 597 901 инцидент, или 27%. Вредоносные программы из первой двадцатки являются наиболее распространенными угрозами 2009 года.

Уязвимости

Уязвимости программных продуктов являются наиболее опасным видом угроз для компьютеров пользователей. Они могут предоставить злоумышленникам возможность обойти имеющиеся средства защиты и атаковать компьютер. Самая громкая эпидемия 2009 года — червь Kido — произошла именно из-за очередной критической уязвимости в операционной системе Windows.

Однако, как и год назад, заражение через браузер является наиболее распространенным способом проникновения вредоносных программ в систему. При этом сам браузер может не иметь уязвимостей, но заражение возможно, если уязвимости присутствуют в различных плагинах и приложениях, с которыми браузер взаимодействует.

По итогам работы системы анализа уязвимостей в 2009 году «Лабораторией Касперского» было обнаружено 404 различных уязвимости. При этом общее количество уязвимых файлов и приложений на компьютерах пользователей составило 461 828 538.

На долю 20-ти наиболее распространенных уязвимостей пришлось 90% (415 608 137) уязвимых файлов и приложений, обнаруженных на компьютерах пользователей.

Где плохая стража

По числу файлов и приложений, обнаруженных на пользовательских компьютерах, самыми распространенными в 2009 году стали уязвимости в продукте компании Apple — QuickTime 7.x. Более 70% всех уязвимостей обнаружены именно здесь. При этом следует отметить, что в прошлом году QuickTime также был лидером по числу уязвимостей (более 80%).

Впрочем, как и год назад, лидирует Microsoft с 10-ю уязвимостями, что, впрочем, не удивительно, так как мы рассматриваем именно ситуацию на платформе Windows. Девять из этих уязвимостей обнаружены в приложениях, входящих в состав Microsoft Office: Word, Excel, Outlook, PowerPoint и других. На Apple пришлось четыре уязвимости — все они обнаружены в QuickTime. Таким образом, можно констатировать, что ситуация полностью аналогична той, что была в 2008 году, — самыми уязвимыми приложениями на современных Windows-системах остаются QuickTime и MS Office. Впрочем, отставание от них третьей популярной софтверной компании — Adobe — не столь уж велико. Все четыре уязвимости, записанные на ее счет, принадлежат одному продукту — Adobe Flash Player. Из четырех уязвимостей две были обнаружены в этом году. И вновь ситуация за год не изменилась к лучшему — скорее только ухудшилась.

Все 20 наиболее часто обнаруживаемых уязвимостей относятся к категории remote, что подразумевает возможность их использования злоумышленником удаленно, даже если он не имеет локального доступа к компьютеру.

Использование каждой из этих уязвимостей приводит к разным последствиям для атакованной системы. Самым опасным является тип воздействия system access, позволяющий злоумышленнику получить практически полный доступ к системе.

Большинство уязвимостей (19) открывают возможности для system access, пять способны привести к утечке важной информации.

Что нам грозит

В 2010 году, по мнению Александра Гостева, основным и наиболее заметным станет смещение вектора атак — от атак через веб в сторону атак через файлообменные сети. Достаточно напомнить, что в 2000–2005 годах основная часть атак шла через электронную почту, в 2005–2006-м — через Интернет, а в 2006–2009 годах вредители переключились на веб-сайты.

Непростым будет год для пользователей мобильных платформ iPhone и Android. Появление в 2009 году первых «зловредов» доказывает, что киберпреступники всерьез присматриваются к этим платформам. Причем если для iPhone-пользователей группу риска составляют только пользователи взломанных устройств, то для платформы Android такого ограничения нет — приложения могут устанавливаться из любых источников. Растущая популярность телефонов на базе этой ОС в Китае и слабая технология контроля публикуемых приложений повлекут за собой в 2010 году ряд заметных вирусных инцидентов.