Наиболее часто подвергалась атаке уязвимость функции _Smb2ValidateProviderCallback() в протоколе общего доступа к ресурсам Microsoft SMB2, позволяющая злоумышленнику удаленно выполнять код, за ней следовали уязвимости к удаленному выполнению кода программ Adobe Reader и Flash Player. Помимо них, в первую пятерку наиболее атакуемых уязвимостей вошло исполнение кода в неинициализированной области памяти Internet Explorer, а также удаленное исполнение кода в элементе управления ActiveX — MPEG2TuneRequest и методе JavaScript — getIcon() класса Collab программы Adobe Reader.
Из 232 уязвимостей, документированных в 2008 году, 18% на момент составления отчета остались незакрытыми. Как отмечают в Symantec, для создания вредоносных программ сейчас широко применяются регулярно обновляемые автоматизированные наборы инструментов, которые могут использовать даже люди с минимальными знаниями.
Как сообщил старший системный инженер компании Олег Шабуров, отчет целиком на русский язык переводить не планируется. Однако этот 90-страничный документ содержит целый ряд достойных внимания фактов.
Например, первое место по частоте встречаемости среди образцов вредоносного кода новых типов в 2009 году занял вирус Induc, встраивающийся в процесс компиляции в среде разработки программного обеспечения Delphi и включающий свой компонент в конечные версии создаваемых программных продуктов.
«Результат — распространение вируса непосредственно через официальные каналы дистрибуции программного обеспеченияа, такие как средства автоматического обновления и доверенной загрузки», — констатируют авторы отчета. Сообщалось о неоднократных случаях попадания вируса Induc в легитимные программные продукты.
В Symantec предполагают, что выпуск Induc был проверкой состоятельности этого нового способа распространения вредоносных программ, и указывают, что другие среды разработки в равной мере уязвимы к такому способу заражения. Успешное распространение Induc может привести к появлению других аналогичных вирусов в будущем.
На втором месте среди образцов, потенциально влекущих заражение, оказалась троянская программа Brisv, в 2008 году бывшая самой популярной новинкой. Brisv ищет аудиозаписи в формате WMA и включает в них маркер с адресом сайта, содержащего вредоносный код. Когда пользователь открывает зараженную аудиозапись в программе Windows Media Player, то автоматически вызывается обозреватель, который и обращается по опасному адресу. Если Brisv находит файлы в формате MP2 или MP3, он конвертирует их в формат WMA, чтобы Windows Media Player обработал маркер правильно. Эффективность Brisv обеспечивается тем, что ничего не подозревающие пользователи могут делиться друг с другом зараженными файлами, отмечается в отчете.