vk Телеграмм
TEHNIK » Пресс-релизы » Тенденции развития вредоносных программ в 2011 году, ТОП 10 вирусов за прошедший год от ВирусБлокАда

Тенденции развития вредоносных программ в 2011 году, ТОП 10 вирусов за прошедший год от ВирусБлокАда

Продолжаем опубликовывать полезную и интересную информацию из мира компьютерной безопасности. Белорусская антивирусная лаборатория компании ВирусБлокАда проанализировала вирусную активность за 2011 год на основе обращений в службу технической поддержки компании.На основе полученной информации можно выделить следующие тенденции 2011 года:

Современные вирусные угрозы. Тенденции развития вредоносных программ в 2011 году

  • Соверменныеные вирусные угрозы. Тенденции развития вредоносных программ в 2011 году.
  • использование социальной инженерии;
  • развитие технологий сокрытия;
  • отклик на овые события;
  • использование уязвимостей;
  • появление специализированных угроз.

Наиболее популярной тенденцией является использование социальной инженерии, которая базируется на незнании пользователями основ сетевой безопасности. Это явление широко распространено в интернете для получения конфиденциальной информации или информации, которая представляет большую ценность. Для злоумышленника становится гораздо проще хитростью выудить информацию из системы, чем взломать её. В связи с этим в 2011 появилось большое количество вредоносных программ, которые реализуют принципы социальной инженерии:

- В очередной раз заставил обратить на себя внимание TrojanWinlock, блокирующий работу ОС Windows. Следует заметить, что семейство Trojan.Winlock существует ещё с 2007 года. Лето 2011 года ознаменовалось появлением «национального» экземпляра Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney. Главные причины широкого распространения этой угрозы – невнимательность либо некомпетентность пользователей, оказывающихся жертвами вымогателей.

- Как всегда, наблюдалась активность Trojan.ArchSMS (фальшивого самораспаковывающегося архива). Как правило, вредоносная программа загружается пользователем из сети Интернет под видом самораспаковывающегося архива (исполняемого файла), содержащего требуемый пользователю файл. Пользователь, запустив исполняемый файл, наблюдает на мониторе процесс, похожий на распаковку. Но в определенный момент «распаковка» останавливается, и появляется сообщение о том, что для окончания распаковки архива необходимо отправить с мобильного телефона платное SMS-сообщение. При этом размер самого файла близок к «оригиналу» запрашиваемой информации.

- С середины 2011 года наблюдалось значительное уменьшение количества фальшивых антивирусов (FakeAV), программ, которые находят на компьютере пользователя множество несуществующих вирусов и для «чистки» предлагают активировать себя через SMS на определенный адрес. Количество фальшивых антивирусов постепенно начало переходить в качество. Отдельные вирусописатели организуют кибергруппы и пишут уже меньшее количество фальшивых антивирусов, но пытаются сделать их более подобными на настоящие, чтобы пользователь, который незнаком с особенностями работы реальных антивирусов, попадался на данные уловки.

Угрозы для персональных компьютеров продолжали развиваться в сторону обхода существующих механизмов защиты, реализованных как в ОС Windows, так и в антивирусных программах. В текущем году происходило заражение загрузочных записей (MBR и VBR), а также появился вредоносный код, заражающий систему BIOS компьютера. Такой вид заражения позволяет начать исполнение вредоносного кода до момента загрузки операционной системы и защитных средств. Данная технология позволяет вредоносному коду эффективно скрывать свое присутствие в системе. Однако в будущем эта технология широкого распространения не получит. Во-первых, создание универсального кода для заражения всех версий BIOS является очень сложной задачей, а во-вторых, современные материнские платы будут использовать новую спецификацию — EFI. Сегодня можно наблюдать эволюцию руткит-технологий, и с каждым шагом эволюции вредоносный код попадает на более раннюю ступень загрузки ОС.

Следующей значимой тенденцией является отклик на мировые события. Спамеры традиционно используют интерес пользователей к событиям, имеющим широкий общественный резонанс, в своих корыстных целях. И последние месяцы 2011 года также не стали исключением. Так, после смерти 5 октября основателя компании Apple Стива Джобса мошенники распространяли информацию о бесплатных устройствах iPad «в память о Стиве Джобсе». Пройдя по ссылке, предложенной злоумышленниками, пользователей перенаправляли на вредоносные сайты.

Использование уязвимостей является одной из самых динамичных тенденций. Новым направлением стало активное использование злоумышленниками уязвимостей платформы Java, являющейся самым слабым элементом в защите операционных систем, на которых она установлена. В этом году хакеры, как и в предыдущие годы, активно использовали уязвимости в веб-приложениях, в системах обработки файлов и сервисах сообщений операционной системы.

Ещё одной тенденцией являются специализированные угрозы, целью которых является промышленный и правительственный шпионаж. В конце 2011 года появилось много ярких примеров данного направления.

В октябре появились сообщения о повышенной активности червя Duqu, который имеет сходство с компьютерным червём Stuxnet (впервые обнаруженной компанией «ВирусБлокАда» летом прошлого года). Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения: снимки с экрана, журналы нажатых клавиш, список запущенных процессов, данные учётных записей пользователей, названия открытых окон, сетевая информация, сведения о домене, имена дисков, файлов и пр.

- Также в октябре была обнаружена программа («Bundestrojaner»), которая по своей природе аналогична вирусу, следит за интернет-браузером, перепиской в Skype, электронной почтой. Немецкие госслужбы использовали эту шпионскую программу «Bundestrojaner» около 100 раз, заявил представитель фракции ХДС-ХСС в парламенте Германии Ганс-Петер Уль в интервью Neue Osnabruecker Zeitung. Программа может делать снимки с экрана, которые в немецких судах рассматриваются в качестве доказательств. Помимо прослушки телефонных разговоров и слежки за перепиской, на зараженном компьютере можно дистанционно включить микрофон или веб-камеру. Данные события представляют собой примеры промышленного и правительственного шпионажа.

Лакомым куском для злоумышленников остается online-банкинг. Количество угроз по данному направлению не уменьшается. Банки внедряют дополнительные системы защиты, но это не всегда помогает. Злоумышленники постоянно подстраиваются под такие системы, модернизируют свои подходы и программы. Весной 2011 года произошла утечка в сеть исходных кодов вредоносной программы ZeuS (созданной в том числе для хищения средств у зараженных пользователей онлайн-банкинга). Имея исходный код, вирусописателям будет проще создавать модификации ZeuS.

Немного вирусной статистики за 2011 год.

За 2011 год соотношение вредоносного ПО выглядит следующим образом:

Наибольший объем занимают троянские программы с функционалом Trojan.BackDoor, Trojan.Downloader, Trojan.Dropper и Trojan.Injector. Они имеют различные технологии внедрения и существования в ОС. Следующей крупной группой, составляющих 38 %, являются FraudTool (мошеннические программы). Это те виды вредоносных программ, к которым относятся фальшивые антивирусы, трояны, блокирующие работу систем (Trojan. FakeAV, Trojan.ArchSMS, Trojan.Winlock, Trojan.Encoder, Trojan.Ransom, Trojan.Cidox). Крупной группой, занимающей 9 % от общего количества вредоносных программ, является Adware. Adware – это программное обеспечение, содержащее рекламу или же предназначенное для показа рекламных сообщений. В большинстве случаев Adware скрытно инсталлируется в систему с какой-нибудь бесплатной или условно бесплатной программой, после чего удалить его, как правило, не представляется возможным, так как Adware модуль маскируется в системе, используя технологии, близкие к вредоносному ПО. Базовое назначение Adware – это неявный метод оплаты за использование бесплатного программного обеспечения, рекламодатели платят за показ их рекламы рекламному агентству, рекламное агентство – разработчикам Adware программ. Доля сетевых червей составила около 5 %. В 2011г. Наблюдался рост мошеннических программ, троянов и Adware.

Киберпреступники по-прежнему «живут» за счет кражи учетных записей систем онлайн-банкинга, массовой рассылки спама, вымогательства и мошенничества посредством бесчисленных «блокировщиков» и «шифровальщиков» Windows.

ТОП-10 вредоносных программ по статистике антивирусной лаборатории за 2011 год

  1. Trojan-Ransom.FakeAV (трояны-шифровальщики, фальшивые антивирусы)
  2. Trojan-PSW.Zbot (трояны, предназначенные для получения паролей и прочей конфиденциальной информации, но не использующие слежение за клавиатурой)
  3. Worm.Palevo (Rimecud) (червь, имеющий функционал бэкдора, способен по команде злоумышленника осуществить загрузку файлов на зараженный компьютер. Отправляет на адрес злоумышленника сохраненные пароли из браузеров)
  4. Hoax.ArchSMS (Pameseg)
  5. Backdoor.TDSS (Alureon, Olmarik)
  6. Backdoor.Sinowal
  7. Trojan-PSW.SpyEye
  8. Trojan-Ransom.Cidox
  9. Trojan-Ransom.Winlock
  10. Backdoor.Maxplus (ZAccess)

Сбудутся ли предсказания майя? Чего ожидать в 2012 году?

Динамика роста вредоносных программ остаётся постоянной. Вирусы и трояны усложняются, увеличивается масштаб их распространения, а также скорость, с которой они поражают компьютеры пользователей. В 2011 году, как и прогнозировалось, увеличилось число угроз, работающих на 64-битных платформах. Люди, как и прежде, остаются самым уязвимым звеном в обеспечении информационной безопасности.

Напомним, что в конце месяца мы опубликуем очередной (3-й) рейтинг антиврусов за 2011 год.