Киберкриминальный мир и Россия. Обзор вирусной активности в 2011 году

[AM_Bot 48]

11 января 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — представляет обзор вирусных событий 2011 года. Одной из ключевых тенденций в ушедшем году стал значительный рост угроз для мобильной платформы Android, что, впрочем, неудивительно: возможность отправки платных СМС-сообщений без ведома пользователей остается прекрасной приманкой для вирусописателей. Самым активным образом совершенствуются и мошеннические схемы, применяемые в отношении пользователей социальных сетей. К сожалению, эта тенденция будет еще более актуальной в 2012 году. Среди угроз для настольных системных платформ выделялись новые модификации программ-вымогателей семейства Trojan.Winlock, MBR-локи и троянцы-шифровальщики. Кардинально возросло число новых вредоносных программ, связанных с интернет-банкингом.

Число угроз для Android выросло в 2011 году в 20 раз

Количество угроз для мобильной платформы Android выросло в прошедшем году в 20 раз, причем подавляющее большинство подобных вредоносных программ относится к семейству Android.SmsSend. Эти приложения обычно представляют собой инсталлятор, якобы содержащий нужную пользователю программу, для установки которой необходимо отправить одно или несколько платных СМС-сообщений. Суть мошенничества заключается в том, что, если бы пользователь изначально обратился не на веб-страницу злоумышленников, а на сайт разработчиков соответствующего ПО, то он мог бы скачать это приложение совершенно бесплатно.

В начале 2011 года в вирусных базах Dr.Web числилось всего шесть записей для троянцев семейства Android.SmsSend, к декабрю число этих угроз увеличилось практически в 45 раз. Динамика роста количества добавленных в базы Dr.Web записей для Android.SmsSend показана на приведенном ниже графике.

Значительный успех в борьбе с данным типом угроз отчасти обусловлен применением уникальной технологии Origins Tracing™, разработанной компанией «Доктор Веб». Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. С использованием в продуктах Dr.Web технологии Origins Tracing для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, которая затем добавляется в вирусную базу. Одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.

Всего в вирусных базах Dr.Web на конец 2011 года числится около 630 записей, соответствующих вредоносным программам для Android, в то время как на начало года их насчитывалось всего 30. Таким образом, можно сказать, что за последние 12 месяцев общее число угроз для мобильной платформы Android увеличилось в 20 раз. Процентное распределение различных типов угроз для Android показано на предложенной ниже диаграмме.

В качестве сравнения следует отметить, что для Symbian OS на сегодняшний день известно 212 вредоносных программ, для Windows Mobile — 30, а троянцев, способных работать на любой мобильной платформе с поддержкой Java, насчитывается 923. Основываясь на этих цифрах, можно сделать вывод о том, что по числу специализированных угроз операционная система Android только за 2011 год уверенно опередила своих ближайших конкурентов.

Руткиты

Как известно, к категории руткитов относят вредоносные программы, способные скрывать следы своего присутствия в операционной системе. По сравнению с прошлым годом активность распространения данного типа угроз осталась на прежнем уровне. По мере роста популярности среди пользователей 64-разрядных операционных систем вирусописатели вынуждены адаптировать свои творения, в связи с чем несколько увеличилось число модификаций руткитов, работающих в пользовательском режиме. Наиболее популярными угрозами данного типа по-прежнему остаются BackDoor.Tdss и BackDoor.Maxplus.

В 2011 году специалистами «Доктор Веб» был зафиксирован уникальный в своем роде руткит, получивший название Trojan.Bioskit.1, особенность которого заключается в том, что он инфицирует BIOS персональных компьютеров — причем только в том случае, если на ПК установлен BIOS производства компании Award Software. Позже были зафиксированы попытки распространения еще одной модификации Trojan.Bioskit, однако из-за ошибок в коде эта версия троянца не представляет серьезной угрозы для пользователей.

Файловые вирусы

К категории файловых вирусов традиционно относят вредоносные программы, поражающие в числе прочего исполняемые файлы и обладающие способностью к саморепликации (размножению без участия пользователя). Лидером среди файловых вирусов исходя из количества заражений по итогам года является Win32.Rmnet.12. Этот вирус был обнаружен на компьютерах пользователей 165 286 935 раз, что составляет 11,22% от всех случаев инфицирования вредоносным ПО. На втором месте — Win32.HLLP.Neshta, обнаруженный в течение года 94 777 924 раза (6,44% случаев заражения), замыкает тройку Win32.HLLP.Whboy.45 (52 610 974 случая заражения, что составляет 3,57% от общего числа).

В 2011 году семейство файловых вирусов пополнилось новыми вредоносными экземплярами: это и лидер списка — Win32.Rmnet.12, и Win32.HLLP.Novosel, и Win32.Sector.22, а также многие другие.

Винлоки

Программы-вымогатели, блокирующие запуск операционной системы, — напасть давно известная, и потому за истекшие двенадцать месяцев число модификаций угроз семейства Trojan.Winlock вполне ожидаемо росло. Не обошлось и без сюрпризов: в 2011 году винлоки добрались не только до ближнего зарубежья (были зафиксированы модификации программ-вымогателей, специально ориентированные на пользователей из Казахстана, Украины и Белоруссии), но и до европейских государств. В частности, обнаруженный в сентябре 2011 года Trojan.Winlock.3260 содержит многоязычный текст блокирующих систему сообщений, оформленных в виде послания от управления полиции страны, в которой проживает жертва: для Германии это Bundespolizei, для Великобритании — The Mertopolitan Police, для Испании — La PolicГ¬a EspaГ±ola. Во всех случаях за разблокировку системы жертве предлагается внести плату с использованием одной из распространенных в данной стране платежных систем. Вскоре число подобных троянцев стало стремительно расти. Вероятнее всего это объясняется тем, что в Интернете стали все чаще появляться партнерские программы, организованные создателями подобных программ-вымогателей: злоумышленники активно ищут на специализированных форумах специалистов по распространению вредоносного ПО.

Всего с начала года был зафиксирован более чем двукратный рост числа новых модификаций Trojan.Winlock. При этом из общего количества обращений в службу технической поддержки «Доктор Веб» на долю пострадавших от программ-блокировщиков приходится 29,37%.

MBR-локи

Заметно выросло и число программ-вымогателей, инфицирующих загрузочную запись компьютера (Master Boot Record, MBR). Первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в ноябре 2010 года, и на сегодняшний день их насчитывается уже более 300. С начала 2011 года число вредоносных программ семейства Trojan.MBRlock выросло в 52 раза, увеличившись с 6 до 316 выявленных модификаций. Наметилась очевидная тенденция и к изменению функционала подобных троянцев — он становится все более изощренным и вредоносным: если первые модификации Trojan.MBRlock автоматически обезвреживались спустя некоторое время, то последние версии не только не содержат подобного механизма, но даже не хранят в открытом виде код разблокировки, что несколько затрудняет лечение. Так, появившийся в ноябре 2011 года Trojan.MBRlock.17 отличается от предшественников еще и тем, что записывает свои компоненты в случайные секторы жесткого диска, а ключ разблокировки создается динамически на основе ряда параметров. На сегодняшний день это — одна из самых опасных модификаций среди троянцев — блокировщиков загрузочной записи.

Энкодеры

Программы-энкодеры, или, как их еще иногда называют, шифровальщики, попадая на персональный компьютер, шифруют хранящиеся на жестких дисках файлы с помощью специального алгоритма и требуют от пользователя заплатить определенную сумму за возможность получить доступ к этой информации. Примерно в сентябре 2011 года разразилась самая настоящая эпидемия распространения вредоносных программ семейства Trojan.Encoder и Trojan.FolderLock, от действий которых пострадало огромное количество пользователей. Расширился и ассортимент версий подобных угроз: с начала 2011 года количество записей в базах для различных типов энкодеров увеличилось на 60%.

Мошенничество в сети

Не уменьшается и количество случаев мошеннических действий в отношении пользователей Интернета: злоумышленники пускают в ход любые доступные методы, чтобы заставить пользователя отправить платное СМС-сообщение или подписать его на какие-либо услуги с ежемесячной абонентской платой. Фантазия сетевых мошенников поистине неисчерпаема: в ход идут и липовые розыгрыши призов, и поддельные файлообменные сети, жулики предлагают доверчивым пользователям доступ к телефонным и генеалогическим базам, поиск двойников и родственников, гадания по линиям ладони, звездам и картами Таро, составление индивидуальных гороскопов и диет… Подробно о современных схемах сетевого мошенничества мы уже рассказывали в одном из наших информационных обзоров. Динамику выявления количества мошеннических сайтов, использующих методы социальной инженерии, можно проследить на предложенном ниже графике.

Резкий рост числа добавленных в базы принадлежащих сетевым мошенникам интернет-ресурсов в сентябре-октябре во многом обуславливается «сентябрьской облавой на подпольные сайты», о которой компания «Доктор Веб» сообщала в одном из своих выпусков новостей. В ходе этого мероприятия было выявлено значительное число подобных ресурсов — и результаты проделанной специалистами компании работы отчетливо прослеживаются на диаграмме.

А вот статистика добавления в базы адресов сайтов, распространявших в 2011 году вредоносное программное обеспечение:

Здесь наблюдается обратная тенденция: наибольшее число вредоносных ресурсов было зафиксировано в первом полугодии, в то время как с наступлением осени на данном фронте наметилось определенное затишье.

Не прекращается и «охота» на пользователей социальных сетей. В 2011 году жулики активно изобретали новые мошеннические схемы, о наиболее популярных из которых мы рассказывали недавно в обзорной статье. Всего за 2011 год было выявлено множество поддельных сайтов, имитирующих своим оформлением интерфейс популярных социальных сетей, адреса подобных ресурсов были добавлены в базы Dr.Web.

Банковские троянцы

За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.

Среди них особый интерес представляет семейство обладающих широким функционалом троянцев Trojan.Winspy, новые модификации которых появлялись в первой половине 2011 года. Еще одно вредоносное приложение подобного типа было добавлено в вирусные базы под именем Trojan.Carberp.1. Как и некоторые другие троянские программы, Trojan.Carberp.1 обладает встроенными средствами защиты от анализа с помощью отладчика. Характерной особенностью данного троянца является то, что он работает частями внутри инфицированных системных процессов, а также активно использует хеширование различных данных. Trojan.Carberp.1 ищет и передает злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана и т. д. Троянец имеет встроенный модуль, позволяющий обрабатывать поступающие от удаленного командного центра директивы. Благодаря этому Trojan.Carberp.1 может предоставлять злоумышленникам возможность анонимного посещения различных сайтов, превратив компьютер жертвы в прокси-сервер, загружать и запускать различные файлы, отправлять на удаленный узел снимки экрана и даже уничтожить операционную систему.

Весьма распространены и троянцы семейства Trojan.PWS.Ibank, предназначенные для кражи данных доступа к ДБО и способные объединяться в ботнеты. Безусловно, нельзя обойти вниманием такой знаменитый троянец, как Trojan.PWS.Panda, известный также под именами Zeus и Zbot. Основной его функционал заключается в краже пользовательских паролей, хотя этот троянец обладает достаточно обширными возможностями. Zeus получил очень широкое распространение и в течение длительного времени представлял серьезную угрозу для пользователей банковских систем. Еще один троянец, созданный со схожими целями, — Trojan.PWS.SpySweep, также известный под именем SpyEye. Кроме того, в этом году появился и первый банковский троянец для платформы Android: это Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.

После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.

Наиболее интересные угрозы 2011 года

В феврале-марте 2011 года злоумышленниками была предпринята атака на терминалы одной из наиболее распространенных в России платежных систем, осуществленная с использованием троянской программы Trojan.PWS.OSMP. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Trojan.PWS.OSMP — одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Другая модификация этой вредоносной программы крала из терминалов конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Еще одна небезынтересная троянская программа — BackDoor.Dande. Этот троянец предназначен для кражи данных клиентских приложений семейства «Системы электронного заказа», позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди таких приложений специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие. В числе собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Можно предположить, что интерес для злоумышленников представляют в основном данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер в зашифрованном виде. Иными словами, в данном случае мы имеем дело с редким представителем узкоспециализированных троянских программ, ориентированных на кражу информации в строго определенной сфере бизнеса.

В течение года появилось и несколько весьма любопытных вредоносных программ для мобильной платформы Android. Среди них можно отметить троянца Android.Gone.1, за 60 секунд «угоняющего» всю хранящуюся на работающем под управлением Android мобильном телефоне информацию, включая контакты, сообщения, последние звонки, историю браузера и т. д. Украденные данные загружаются на специально созданный вирусописателями сайт. Получить доступ к похищенной информации можно за 5 долларов. Еще одной интересной «угрозой года» для этой мобильной платформы можно назвать троянца Android.DreamExploid — он без ведома пользователя пытался произвести повышение привилегий программного окружения смартфона. То есть вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки, а также обладает функционалом для сбора информации об инфицированном устройстве и ее отправки злоумышленникам.

Прогнозируемые тенденции 2012 года

В 2012 году следует ожидать дальнейшего роста количества угроз для мобильной операционной системы Android, а также с определенной долей вероятности можно прогнозировать появление программ-блокировщиков для этой платформы. Обусловлен подобный прогноз, прежде всего, тем, что мобильные ОС значительно облегчают доступ злоумышленников к кошельку жертвы. Если получить прибыль от пользователя ОС для настольных ПК не так-то просто, например, для этого нужно сначала заблокировать Windows, а потом заставить пользователя дойти до терминала оплаты или набрать и отослать СМС, то с мобильного телефона можно отправлять короткие сообщения на платные номера, показывать рекламу, скачивать платные мелодии и прочий контент, понемногу списывая деньги со счета оператора. Емкость этого теневого рынка просто огромна, и в настоящее время он активно осваивается злоумышленниками, а современные мобильные платформы с их обширным функционалом открывают для этого прекрасные возможности.

Можно ожидать распространения узкоспециализированных угроз, ориентированных на системы промышленной автоматики, — в эту категорию входят автоматизированные системы управления производственными процессами, системы контроля доступа, мониторинга, обогрева, кондиционирования и вентиляции, иные компьютеризированные системы промышленных предприятий и производственных организаций. Под угрозой может оказаться инфраструктура управления технологическими процессами (SCADA). Аналитики компании «Доктор Веб» отмечают, что вредоносные программы, эксплуатирующие уязвимости подобных систем, могут представлять особую опасность, поскольку подобные комплексы применяются в ключевых отраслях экономики, таких как производство электроэнергии, транспорт, добыча полезных ископаемых, нефти и газа.

Вполне вероятно появление новых угроз, ориентированных на банковские системы и ДБО, будет совершенствоваться их техническое исполнение. Возможно, злоумышленники не ограничатся пользовательскими ПК и системами «Банк-Клиент», а предпримут атаки на банковские структуры или даже государственные финансовые институты. Будут появляться новые, ранее неизвестные способы мошенничества, как с использованием фишигновых сайтов, так и в отношении пользователей социальных сетей. Динамика возникновения новых мошеннических схем показывает, что злоумышленники используют практически все доступные им технологии, а с появлением на сайтах социальных сетей новых функциональных возможностей они также наверняка будут использованы мошенниками для достижения неблаговидных целей. Так, в 2011 году киберпреступники задействовали для обмана пользователей голосования, встроенные в социальные сети функции обмена файлами, видеоролики и даже дополнения к браузеру Mozilla Firefox. Думается, этим их арсенал в будущем не ограничится, киберпреступники будут и дальше изыскивать новые способы незаконного заработка.

Топ-20 вредоносных программ, обнаруженных в 2011 году в почтовом трафике

01.01.2011 00:00 - 31.12.2011 12:00 1Trojan.Oficla.zip6227166 (18.64%)2Win32.HLLM.MyDoom.338083319848 (9.94%)3Win32.HLLM.Netsky.184012760140 (8.26%)4Trojan.DownLoad2.247582288568 (6.85%)5Trojan.DownLoad1.586811590498 (4.76%)6Trojan.Packed.208781146053 (3.43%)7Win32.HLLW.Texmer.511118340 (3.35%)8Trojan.MulDrop.645891028999 (3.08%)9Win32.HLLM.Netsky.353281015202 (3.04%)10BackDoor.Pushnik.15891865 (2.67%)11Trojan.Packed.20312701617 (2.10%)12Trojan.DownLoad.41551656401 (1.96%)13Trojan.Inject.57506497520 (1.49%)14Trojan.Tenagour.9413183 (1.24%)15Win32.HLLM.Beagle407862 (1.22%)16Trojan.Oficla.38397622 (1.19%)17Trojan.PWS.Siggen.12160396715 (1.19%)18BackDoor.Pushnik.16350835 (1.05%)19Trojan.MulDrop1.54160346882 (1.04%)20Trojan.Tenagour.3340629 (1.02%)

Всего проверено: 181,136,303,763

Инфицировано: 33,407,612 (0.02%)

Топ-20 вредоносных программ, обнаруженных в 2011 году на компьютерах пользователей

01.01.2011 00:00 - 31.12.2011 12:00 1JS.Click.218649941902 (41.66%)2Win32.Rmnet.12191646201 (12.28%)3Win32.HLLP.Neshta101340344 (6.50%)4JS.IFrame.9597233222 (6.23%)5Trojan.IFrameClick.373541845 (4.71%)6Win32.Siggen.873120975 (4.69%)7Win32.HLLP.Whboy.4552610974 (3.37%)8JS.IFrame.11251610991 (3.31%)9Trojan.Mayachok.131307098 (2.01%)10Win32.HLLP.Novosel28110942 (1.80%)11Win32.Virut22052927 (1.41%)12JS.IFrame.11719982870 (1.28%)13Trojan.MulDrop1.4854212240506 (0.78%)14Win32.HLLP.Whboy.10110055899 (0.64%)15Trojan.Click.643109525911 (0.61%)16JS.Click.2229510719 (0.61%)17Win32.HLLP.Rox7974734 (0.51%)18Win32.HLLP.Whboy6537319 (0.42%)19Win32.HLLW.Whboy5690725 (0.36%)20HTTP.Content.Malformed5507122 (0.35%)

Всего проверено: 17,743,716,899,610,753

Инфицировано: 1,560,049,362 (0.00%)

Источник

[K_Mikhail 807]

Если говорить о файловых вирусах, то интересно, какая была бы статистика по Xpaj, который с июня 2011 никак под детект попасть не может...

[Сергей Ильин 1538]

Здесь наблюдается обратная тенденция: наибольшее число вредоносных ресурсов было зафиксировано в первом полугодии, в то время как с наступлением осени на данном фронте наметилось определенное затишье.

Так может риски для Андройда заразиться онлайн не будут в ближайшее время расти? Насколько здесь возможно закрутить гайки административно вообще, что думаете?

[A. 876]

Так может риски для Андройда заразиться онлайн не будут в ближайшее время расти? Насколько здесь возможно закрутить гайки административно вообще, что думаете?

Это у кого спрашиваешь, у доктор веба ?

[SDA 750]

Так может риски для Андройда заразиться онлайн не будут в ближайшее время расти? Насколько здесь возможно закрутить гайки административно вообще, что думаете?

Кроме как установки приложений только из Маркета и контролируемого гуглом, как App Store Apple, других мер на мой взгляд нет. Но гуглу, как то "фиолетово", что в его магазин только ленивый троянов не пихает, не говоря уж о сторонних ресурсах Поэтому, количество угроз будет расти.

[Wordmonger 35]

Всего проверено: 17,743,716,899,610,753

А в попугаях у них гораздо длиннее!

[alexgr 556]

Интересно, что киберкриминал полностью сведен к зоне рабочей ответственности компании "Доктор Веб". Других направлений у киберкриминала по их мнению нет, раз так назван их обзор. Проблем хакинга - нет, инсайдеров - не существует. Кардеры и протчая мелочь - они не в скопе киберкриминала, исходя из обзора. Ну, а почти 20 триллиардов проверенных файлов - это так, примочки похвальбы в отчете о вирусной активности с очень пафосным названием