Специалисты «Лаборатории Касперского» поведали о том, как развивался компьютерный андеграунд в 2009 году и какие методы борьбы с сетевыми угрозами становятся наиболее актуальными. Годовой отчет об угрозах, атаках и вирусных эпидемиях сформирован на основе данных, полученных при помощи Kaspersky Security Network — глобальной системы мониторинга угроз, которая совмещена с ресурсами централизованного анализа вредоносного ПО внутри «Лаборатории».
За минувший год KSN зарегистрировала 73,6 млн атак на компьютеры пользователей, которые были успешно отражены. С помощью KSN блокировка неизвестного вредоносного кода на пользовательских машинах осуществляется без привычного обновления антивирусных баз, сразу после принятия решения о негативном характере программы.
По словам Александра Гостева, руководителя Центра глобальных исследований и угроз «Лаборатории Касперского», в 2009 году темпы создания новых разновидностей malware заметно снизились. Причины стабилизации — возросшая конкуренция на теневом рынке и противодействие, оказываемое преступникам антивирусными разработчиками и правоохранительными органами. Были закрыты несколько крупных хостинг-провайдеров, потворствовавших спам-рассылкам, в том числе компании с украинскими корнями UkrTeleGroup, RealHost и 3FN.
Отметим, что мировым лидером по количеству созданных вредоносных программ в последние 3-4 года был Китай. Почти 53% зафиксированных KSN атак проведены с Интернет-ресурсов, размещенных в Поднебесной. На втором месте по источникам атак находятся США: доля этой страны выросла за год с 6,8 до 19%. Россия занимает «почетное» третье место.
Главная тенденция в мире компьютерного андерграунда — усложнение технологий вирусописания. Как отметил Гостев, программы с руткит-функциональностью (позволяющей скрывать следы своего пребывания в системе) не только получили широкое распространение, но и значительно эволюционировали. Весной 2009 года была отмечена первая волна распространения буткита Sinowal (разновидности руткита, нацеленной на превращение ПК в узел бот-сети). Затем была обнаружена программа TDSS, которая одновременно заражала системные драйверы Windows и создавала собственную виртуальную файловую систему. TDSS и сейчас остается наиболее сложной разработкой вирусописателей, способной столь глубоко внедряться в операционную систему.
Самую заразную эпидемию прошлого года спровоцировал червь Kido (Conficker), поразивший более 7 млн компьютеров. Он использовал разные способы проникновения на компьютеры жертв - подбор паролей, через flash-накопители и уязвимости в Windows. Борьба с этой напастью осложнялась тем, что Kido отключает службы обновления антивирусных программ, блокирует доступ к сайтам антивирусных компаний и т.д.
Второй тенденцией года стали вирусы, поражающие Web-серверы. Так, эпидемия Gumblar затронула десятки тысяч Web-ресурсов, которые впоследствии начали заражать компьютеры пользователей. Ее отличительной чертой оказалась полностью самоорганизующаяся система распространения вредоносного ПО, в которой используются несколько функциональных уровней - диспетчеры, инспекторы, инфицирующие узлы и серверы переадресации. А Web-вирус Virit основным каналом своего распространения выбрал пиринговые сети, через которые он доставлялся пользователям в виде генераторов серийных ключей и дистрибутивов программного обеспечения.
Нельзя не упомянуть и вирус, который поражает банкоматы, работающие на платформе Windows XP. При помощи специальных банковских карточек преступники успешно изымали всю имевшуюся в таких терминалах наличность или, считывая номера легальных карт, «очищали» счета их владельцев.
В «Лаборатории Касперского» обеспокоены возросшей популярностью ложных антивирусов, которые внешне напоминают легальные продукты, а на деле загружают на компьютеры вредоносный код. В распространении поддельных продуктов играют роль как технологическая оснащенность злоумышленников, так и методы социальной инженерии. Действительно, непосвященному пользователю сложно устоять от соблазна загрузить «спасительное» ПО, если на экране его компьютера возникает правдоподобное сообщение о том, что обнаруженный в системе вирус можно будет удалить, перейдя по приведенной ссылке.
Прошлый год ознаменовался и всплеском активности SMS-мошенников. В России и на Украине отмечаются самые благоприятные условия для расцвета этого вида «бизнеса»: мошеннику нужно лишь подписать договор с контент-агрегатором, получить в аренду короткий четырехзначный номер и приступить к сбору денег. Как подчеркивает директор лаборатории контентной фильтрации «Касперского» Андрей Никишин, в европейских странах запуску таких коммерческих проектов предшествует куда более тщательная процедура регистрации.
Доля спама в почтовом трафике за год изменилась незначительно, с 82,1 до 85,2%. Вредоносные вложения содержались в 0,85% спамерских писем, а остальное представляло собой рекламу товаров, услуг и другие предложения мошенников. Настоящей находкой для спаммеров в минувшем году стали социальные сети. В мире основными мишенями злоумышленников были суперпопулярные Facebook и Twitter, а в России аналогичная участь постигла «Одноклассников».