Полугодовое исследование компании Symantec свидетельствует, что США являются лидером по распространению Internet-угроз.

Компания Symantec представила традиционный полугодовой отчет об Internet-угрозах (Internet Security Threat Report). Он содержит свежую информацию об инцидентах в области безопасности, включает в себя анализ сетевых атак, преступной активности, обзор известных уязвимостей, сведения о вредоносных программах и дополнительных рисках. Данные для обзора собираются в течение шести месяцев с помощью корпоративной исследовательской сети Symantec Global Intelligence Network, в которую входят службы Managed Security Services и DeepSight Threat Management System. Специальные датчики автоматизированных систем фиксируют любую подозрительную активность в Internet, а затем генерируют аналитические отчеты, которые поступают к специалистам для обработки.

Ассортимент угроз

Ведущий технический специалист Symantec в России и СНГ Рамиль Яфизов на основе данных, собранных в Сети за июль-декабрь 2005 года, сделал несколько интересных выводов. Один из них состоит в том, что основными «заботами» Internet-сообщества стали онлайновое мошенничество и кража данных, составляющих коммерческую или иную тайну. За полгода процент вредоносных программ, способных незаконно добывать конфиденциальную информацию, увеличился с 74 до 80% (из 50 особо заметных образцов вредоносного кода). Отмечается, что рост произошел преимущественно за счет увеличения числа инцидентов, вызванных мутациями червя Mytob.

Страны-лидеры по числу атак, направленных на регион EMEA

По всему миру существенно увеличилось количество атак на пользовательские машины. Наиболее часто предпринимались D-DOS-атаки («отказ в обслуживании»): их число выросло более чем на 51%. С июля по декабрь 2005 года система мониторинга Symantec фиксировала в среднем 1402 нападения в сутки, тогда как с января по июнь 2005 года было 927 ежесуточных атак. США принадлежит мировое первенство в распространении таких угроз, а Великобритания держит лидерство в регионе ЕМЕА. Россия не попала даже в первую десятку источников киберопасности. Возможно, это распределение ролей связано с тем, что датчики Symantec фиксируют местонахождение в Сети атакующей системы, а не злоумышленника — он может находиться в другой стране. Как показывает практика, хакеры часто используют тактику «заметания следов».

Наиболее распространенным видом атак в регионе EMEA (44% IP-адресов) оказалась Microsoft SQL Server 2000 Resolution Service Stack Overflow Attack. Она также известна как Slammer Attack, а ее рождение специалисты относят к 2003 году. Slammer Attack обычно связывают с проявлениями трех образцов вредоносного кода: Slammer, Gaobot и Spybot. Специалисты предупреждают, что данный тип атаки особенно опасен для мобильных компьютеров. Второй «по популярности» в EMEA стала атака Generic Extra SYN in TCP Connection Event: она исходила от 5% атакующих IP-узлов. С ее помощью злоумышленники пытаются манипулировать связью на базе протокола TCP/IP, воровать или подделывать пересылаемую по таким каналам информацию.

Основные генераторы мирового спама

Стоит обратить внимание на инструментарий злоумышленников. В отчетный период они активно применяли «зомби»-сети («бот»-сети) и модульное вредоносное ПО. Однако активность инфицированных «бот»-сетей слегка снизилась. В среднем специалисты Symantec фиксировали появление около 9,2 уникальных «зомби»-машин в день (в предшествовавший период — 10,4). Лидером по количеству зомбированных компьютеров вновь стали США. В странах ЕМЕА самое большое количество «бот»-инфицированных ПК оказалось в Великобритании, Франции и Испании, а Россия заняла в этом списке восьмое место. Аналитики Symantec уверены, что рост количества «зомби»-сетей в нашей стране напрямую связан с увеличением числа высокоскоростных подключений к Inernet.

С 1 июля по 31 декабря 2005 года на долю модульного ПО пришлись 88% из 50 наиболее активных образцов — вместо 77% в прошлый отчетный период. Обнаружено более 10,9 тыс. новых версий вирусов и червей. Чаще всего в Сети встречался Sober.X. Этот червь, осуществляющий массовые рассылки по e-mail на английском и немецком языках с использованием приемов социальной инженерии, незаметно для пользователя ПК устанавливает соединения с Web-сайтами и загружает с них удаленные файлы. Вторым по «встречаемости» в регионе EMEA оказался Netsky P, третьим — Spybot.

Во втором полугодии 2005 года главной страной происхождения 56% всего спама были США. Второе место в категории источников электронного мусора занял Китай (12%), третье — Южная Корея (9%).

Еще одним направлением исследования стали уязвимости. Их количество за отчетный период возросло лишь на 1%, но это на 34% больше, чем в аналогичный период 2004 года. Подавляющее большинство «брешей» составили уязвимости Web-приложений. Так, в ПО Internet Explorer выявлено аж 24 «слабых места».