Логично начать с того, какие прогнозы специалистов «Лаборатории» на 2007 год воплотились в жизнь. Александр Гостев, ведущий вирусный аналитик компании, признал, что из 12 прогнозов не сбылись четыре. Интеграция вирусных программ в одноранговые p2p-клиенты так и не обрела популярности. Как ни странно, злоумышленники обошли вниманием множество уязвимостей Microsoft Windows Vista. Не оправдался прогноз о росте популяции вредоносных программ под Mac OS: за год зарегистрированы всего 35 случаев заражения. Конечно, это в несколько раз больше результата 2006 года (четыре вируса), но цифры все равно смешные. Последнее несбывшееся предсказание касалось вымогательств за расшифровку данных на персональных компьютерах: таких случаев зафиксировано не очень много.
Основным итогом года можно считать конец эпохи некоммерческого malware: не зарегистрировано ни одной значимой вирусной эпидемии без чьей-то конкретной материальной заинтересованности. В 2006 году такое еще наблюдалось — Nyxem.E удалял файлы с диска.
Общее количество вредоносных программ по сравнению с 2006 годом выросло на 125,2%, и эта тенденция продолжится. Более половины всего вредоносного разнообразия, приходящего по электронной почте, составляют почтовые черви (54,55%). За ними следуют программы семейства Trojan-Downloader — универсальные загрузчики произвольного кода из Internet (14,87%), а потом троянцы-шпионы, ворующие с компьютеров конфиденциальную информацию (13,41%). Большинство вредоносных программ, естественно, создается под Windows, что и отражает красноречивая цифра 99,66%. Внушительный рывок сделали AdWare-программы (рекламное ПО), число которых за прошедший год увеличилось практически в пять раз (на 456,79%).
Самоорганизующиеся черви
За минувшие 12 месяцев в Сети обнаружено 220 172 новых вредоносных программ. Аналитики «Лаборатории» подчеркивают изменение преобладающего способа воздействия malware, которое уже окрестили «Malware 2.0». Компьютерные зловреды предыдущего поколения, такие как вирусы (появились в 1986 году), черви (1988 год), трояны (1992 год), «бэкдоры» (1998 год), почтовые черви (Melissa, Happy — 1999 год) и сетевые черви (Sicram, CdeRed, Nimda — 2001 год), поражали компьютеры пользователей. Программы нового поколения, например Santy (2004 год), находят через Google новые сайты и атакуют их, подменяя главные страницы. Брат-близнец Samy (2005 год) «жил» на портале Yahoo, используя уязвимости в движке поисковой системы. Вообще 2007 год ознаменовался массовыми взломами сайтов с размещением на них вредоносных программ или ссылок на уже зараженные ресурсы. Самое массовое заражение было зафиксировано в конце года, когда более чем на 70 тыс. сайтах по всему миру обнаружился вредоносный код «игрового» троянца.
Вирусописатели теперь не рассылают готовые вирусы, а создают вредоносное ПО прямо на компьютерах пользователей. Тело червя обнаружить проблематично, ведь по электронной почте отправляется лишь программа-загрузчик, собирающая malware из фрагментов. Затем это ПО запускается и начинает работать. Сложность состоит и в том, что вредоносные программы постоянно обновляются.
На особом месте для экспертов в области ИБ — программа Zhelatin (2007 год), названная западными СМИ «штормовым червем» (Storm Worm). В течение года Zhelatin приводил в ужас антивирусных специалистов разнообразием поведения, методов воздействия и путей распространения. В нем реализовались все достижения вирусописателей последних лет: технологии rootkit (сокрытие присутствия в системе) и botnet (заражение загрузочного сектора диска, в результате которого ПК попадает под управление злоумышленника), замусоривание кода, защита от анализа поведения, установление взаимодействия между зараженными компьютерами по схеме p2p (без единого управляющего центра). По данным «Лаборатории», в период расцвета botnet Zhelatin включала в себя 2 млн инфицированных компьютеров.
Червь Zhelatin распространялся любыми путями: по электронной почте, через сервисы IM, блоги, форумы и под видом видеофайлов. Общая направленность этого malware — формирование зомби-сетей для организации спам-рассылок и DoS-атак. Последние заметно участились в 2007 году, причем не только в целях вымогательства, но и как средство политической и конкурентной борьбы. Пример — атака на официальные сайты эстонского правительства в мае 2007 года.
Интерес к онлайновым играм
Реклама DoS-атак стала обычным явлением в Сети, причем цены на их проведение приближаются к тарифам на спам-рассылки. Интересное явление — создание вредоносных программ по заказу с предоставлением технической поддержки покупателям. Например, авторы троянца-шпиона Pinch написали более 4 тыс. «кастомизированных» вариантов. В декабре прошлого года сообщалось об установлении личностей авторов этого кода.
Если раньше основной целью троянцев были реквизиты банковских счетов, то в 2007 году доминировали «игровые» троянцы. С их помощью злоумышленники получают пароли доступа к онлайновым играм. Продажа игроманам раскрученного успешного героя приносит небольшой, но безопасный доход. В отличие от банкиров, владельцы онлайновых игр не ловят хакеров, поэтому риск уголовного преследования минимален.
Среди прогнозов на 2008 год Гостев указал дальнейшее развитие новой модели вредоносных червей (типа Bagle, Zhelatin, Warezov). Некоторые семейства троянцев переймут отдельные черты этой «самоорганизующейся» модели. Реинкарнируется старая техника: вирусописатели будут активнее использовать «руткиты» и «буткиты». Вернутся файловые вирусы. В основном пострадают пользователи online-игр, но и авторы «штормового червя» могут взять эту технику на вооружение. Фишинг- и XSSPHPSQL-атаки нацелятся на социальные сети. Их мишенью станут приватные сведения, из которых будут создаваться базы данных для традиционных атак.
Спамеры ищут целевую аудиторию
Основная тематика спама — как всегда, медикаменты («виагра»), образование, компьютеры и Internet. Спамеры сумели освоить новые технологии доставки рекламного мусора, такие как рассылка сообщений в приложениях формата .mp3, .pdf, .zip, .rar и т.д. Естественно, в 2007 году наблюдался всплеск политической рекламы в Рунете. В нынешнем ситуация, скорее всего, не повторится: политической борьбы почти не наблюдается.
Дарья Гудкова, ведущий спам-аналитик «Лаборатории», констатировала, что в 2008 году спама меньше не станет. Один из спаммеров в этой связи даже поздравил компанию с Новым годом. В среднем доля мусора в электронной почте составляет 80%. Среди стран — источников спама лидируют США, Россия, Польша, Корея и Турция, причем именно в прошлом году Россия вышла на второе место.
Главным направлением работы спамеров в 2008 году станет увеличение скорости рассылок и количества сообщений в одной рассылке. Могут появиться «таргетированные» рассылки (поскольку спамеры хотят «работать» с целевой аудиторией). Существенно активизируется деятельность российских фишеров: к атакам на платежные системы добавятся атаки на банки и кредитные организации.