Kaspersky Security Bulletin 2008: Statystyki

Aleksander Gostev
  1. Ewolucja szkodliwego oprogramowania
  2. Statystyki
  3. Ewolucja spamu

W przeciwie艅stwie do naszych poprzednich p贸艂rocznych i rocznych raport贸w statystycznych, ten opiera si臋 wy艂膮cznie na danych zebranych i opracowanych z wykorzystaniem Kaspersky Security Network (KSN). KSN jest g艂贸wn膮 innowacj膮 zaimplementowan膮 w produktach firmy Kaspersky Lab w wersji 2009 przeznaczonych dla u偶ytkownik贸w indywidualnych.

KSN umo偶liwia ekspertom z Kaspersky Lab natychmiastowe wykrywanie w czasie rzeczywistym nowych szkodliwych program贸w, dla kt贸rych nie zosta艂y jeszcze stworzone sygnatury ani procedury wykrywania heurystycznego. Pozwala r贸wnie偶 analitykom identyfikowa膰 藕r贸d艂a szkodliwych program贸w w Internecie i zapobiega膰 uzyskiwaniu do nich dost臋pu przez u偶ytkownik贸w.

Jednocze艣nie KSN zapewnia szybsz膮 reakcj臋 na nowe zagro偶enia: obecnie jeste艣my w stanie zapobiec wykonaniu nowych szkodliwych program贸w na komputerach u偶ytkownik贸w z zainstalowanym KSN ju偶 w u艂amkach sekundy po zidentyfikowaniu programu jako szkodliwego. Proces ten jest niezale偶ny od standardowych aktualizacji antywirusowych baz danych.

Poczta elektroniczna nie jest ju偶 tak popularnym wektorem infekcji jak strony internetowe. Cyberprzest臋pcy wykorzystuj膮 zasoby sieciowe zar贸wno do pocz膮tkowej infekcji maszyn, jak i do pobierania na nie nowych wariant贸w szkodliwych program贸w. Korzystaj膮 z us艂ug "podejrzanych" dostawc贸w us艂ug hostingowych, takich jak McColo, Atrivo czy RBN, jak r贸wnie偶 wykorzystuj膮 zhakowane legalne strony internetowe..

Przewa偶aj膮ca wi臋kszo艣膰 atak贸w za po艣rednictwem sieci to tak zwane ataki "drive-by download": komputery infekowane s膮 ukradkiem (niejako przy okazji), w czasie gdy u偶ytkownicy surfuj膮 po Internecie. Wiele zhakowanych stron internetowych potajemnie przekierowuje po艂膮czenia do innych zasob贸w. Zasoby te zawieraj膮 szkodliwy kod, kt贸ry infekuje komputery u偶ytkownik贸w, g艂贸wnie poprzez wykorzystywanie luk w zabezpieczeniach przegl膮darek lub wtyczek do przegl膮darek (takich jak formanty ActiveX, Real Player itd.).

KSN pozwala nam rejestrowa膰 i analizowa膰 wszystkie pr贸by zainfekowania komputer贸w u偶ytkownik贸w podczas surfowania po Internecie.

Szkodliwe programy w Sieci: Top 20

W 2008 roku KSN zarejestrowa艂 23 680 646 atak贸w na naszych u偶ytkownik贸w, kt贸re zosta艂y skutecznie odparte. Spo艣r贸d wszystkich szkodliwych program贸w uczestnicz膮cych w tych atakach zidentyfikowali艣my 100 najbardziej aktywnych. Szkodniki te by艂y odpowiedzialne za 3 513 355 atak贸w.

Ka偶dy z tych 100 program贸w zosta艂 wykryty ponad 7 000 razy. 20 najaktywniejszych stanowi艂o ponad 59% incydent贸w, w kt贸rych uczestniczy艂y wszystkie te szkodliwe programy, tym samym by艂y to najbardziej rozpowszechnione szkodniki w Sieci w 2008 roku.

Pozycja Nazwa Liczba atak贸w Odsetek w odniesieniu
do 100 najaktywniejszych
program贸w
1 Heur.Trojan.Generic 248 857 7,08%
2 Trojan-Downloader.Win32.Small.aacq 228 539 6,50%
3 Trojan-Clicker.HTML.IFrame.wq 177 247 5,04%
4 Exploit.JS.RealPlr.nn 157 232 4,48%
5 Trojan-Downloader.SWF.Small.ev 135 035 3,84%
6 Trojan-Clicker.HTML.IFrame.yo 121 693 3,46%
7 Exploit.Win32.Agent.cu 120 079 3,42%
8 Trojan-Downloader.HTML.IFrame.wf 107 093 3,05%
9 Exploit.SWF.Downloader.hn 85 536 2,43%
10 Trojan-Downloader.Win32.Small.abst 78 014 2,22%
11 Trojan-Downloader.JS.Agent.dau 73 777 2,10%
12 Exploit.Win32.PowerPlay.a 70 749 2,01%
13 Exploit.JS.RealPlr.nl 70 082 1,99%
14 Exploit.SWF.Downloader.ld 69 804 1,99%
15 Trojan-Downloader.JS.IstBar.cx 68 078 1,94%
16 Trojan-GameThief.Win32.Magania.gen 66 136 1,88%
17 Trojan-Downloader.JS.Iframe.yv 62 334 1,77%
18 Trojan.HTML.Agent.ai 60 461 1,72%
19 Trojan-Downloader.JS.Agent.czf 41 995 1,20%
20 Exploit.JS.Agent.yq 40 465 1,15%

Najwy偶sz膮 pozycj臋 zajmuje heurystyczne wykrywanie nowych trojan贸w, dla kt贸rych nie zosta艂y jeszcze stworzone osobne sygnatury. W 2008 roku samo to wykrywanie heurystyczne zablokowa艂o oko艂o 250 000 atak贸w.

Je艣li uwzgl臋dnimy tylko wykrywanie oparte na sygnaturach, najbardziej rozpowszechnionym i najaktywniejszym szkodliwym programem 2008 roku b臋dzie Trojan-Downloader.Win32.Small.aacq.

W pierwszej dwudziestce znajduje si臋 7 exploit贸w, z kt贸rych prawie wszystkie wykorzystuj膮 luki w zabezpieczeniach program贸w RealPlayer oraz Flash Player (RealPlr oraz SWF). Luki te, wykryte w 2008 roku, sta艂y si臋 g艂贸wnymi narz臋dziami wykorzystywanymi przez cyberprzest臋pc贸w do infekowania u偶ytkownik贸w.

Dziesi臋膰 z 20 najaktywniejszych szkodliwych program贸w zosta艂o napisanych w j臋zyku JavaScript w formie znacznik贸w HTML. Jest to kolejny dow贸d na to, jak istotne jest zainstalowanie na komputerze ochrony online umo偶liwiaj膮cej skanowanie skrypt贸w wykonywalnych. Bardzo skuteczne narz臋dzie do zwalczania takich zagro偶e艅 zapewniaj膮 r贸偶ne wtyczki do przegl膮darek, kt贸re uniemo偶liwiaj膮 wykonanie skrypt贸w bez wiedzy u偶ytkownika, takie jak NoScript dla przegl膮darki Firefox. Zalecamy wykorzystywanie takich rozwi膮za艅 w celu zwi臋kszenia ochrony antywirusowej. Opr贸cz zmniejszenia ryzyka infekcji rozwi膮zania te chroni膮 przed innymi typami atak贸w internetowych, takich jak te wykorzystuj膮ce liczne luki w zabezpieczeniach XSS.

Pa艅stwa, kt贸rych zasoby s膮 wykorzystywane do hostingu szkodliwych program贸w: Top 20

Jak ju偶 wspominali艣my, w celu rozprzestrzeniania szkodliwych program贸w cyberprzest臋pcy korzystaj膮 zar贸wno z “podejrzanych" us艂ug hostingowych, jak i zhakowanych stron internetowych.

Spo艣r贸d atak贸w, jakie zidentyfikowali艣my w 2008 roku, 23 508 073 pochodzi艂o z zasob贸w internetowych zlokalizowanych w 126 pa艅stwach na ca艂ym 艣wiecie (pr贸by okre艣lenia 藕r贸d艂a geograficznego pozosta艂ych 172 573 atak贸w nie powiod艂y si臋). 艢wiadczy to o tym, 偶e cyberprzest臋pczo艣膰 stanowi obecnie prawdziwie globalne zjawisko i niemal ka偶de pa艅stwo na 艣wiecie posiada zasoby internetowe, kt贸re hostuj膮 szkodliwe programy.

Z drugiej strony, a偶 ponad 99% wszystkich zidentyfikowanych atak贸w pochodzi艂o z zasob贸w zlokalizowanych w 20 krajach. Chocia偶 nie obliczyli艣my "wsp贸艂czynnika infekcji" na podstawie ca艂kowitej liczby zasob贸w internetowych zlokalizowanych w ka偶dym z tych pa艅stw, osoby dysponuj膮ce takimi danymi mog膮 艂atwo stworzy膰 ranking pa艅stw posiadaj膮cych najwi臋cej zainfekowanych zasob贸w, wykorzystuj膮c poni偶sze statystyki:

Pozycja Pa艅stwo Liczba
atak贸w
Odsetek
ca艂kowitej liczby
atak贸w
1 CHINY 18 568 923 78,990%
2 STANY ZJEDNOCZONE 1 615 247 6,871%
3 HOLANDIA 762 506 3,244%
4 NIEMCY 446 476 1,899%
5 FEDERACJA ROSYJSKA 420 233 1,788%
6 艁OTWA 369 858 1,573%
7 WIELKA BRYTANIA 272 905 1,161%
8 UKRAINA 232 642 0,990%
9 KANADA 141 012 0,600%
10 IZRAEL 116 130 0,494%
11 LITWA 110 380 0,470%
12 KOREA PO艁UDNIOWA 46 167 0,196%
13 HONG KONG 44 487 0.189%
14 ESTONIA 41 623 0,177%
15 SZWECJA 40 079 0,170%
16 FRANCJA 31 257 0,133%
17 W艁OCHY 29 253 0,124%
18 BRAZYLIA 25 637 0,109%
19 FILIPINY 19 920 0,085%
20 JAPONIA 16 212 0,069%

W 2008 roku Chiny stanowi艂y niekwestionowanego lidera ze wzgl臋du na liczb臋 atak贸w pochodz膮cych z zasob贸w zlokalizowanych w tym pa艅stwie.

Prawie 80% wszystkich szkodliwych program贸w i exploit贸w zablokowanych podczas pr贸by przenikni臋cia komputer贸w u偶ytkownik贸w zosta艂o zlokalizowanych na chi艅skich serwerach. Dane te s膮 zgodne z innymi posiadanymi przez nas statystykami: ponad 70% nowych szkodliwych program贸w pochodzi z Chin.

Chi艅skie zasoby sieciowe s膮 cz臋sto wykorzystywane przez cyberprzest臋pc贸w z innych pa艅stw, poniewa偶 chi艅scy dostawcy us艂ug hostingowych nigdy nie sprawdzaj膮 danych rejestracyjnych dostarczanych przez ich klient贸w, a organy 艣cigania z innych pa艅stw nie maj膮 mo偶liwo艣ci zamkni臋cia takich stron.

Do pierwszej dwudziestki zakwalifikowa艂y si臋 tak niewielkie pa艅stwa, jak Estonia, 艁otwa czy Litwa, co wynika z faktu, 偶e mi臋dzy cyberprzest臋pcami z tych pa艅stw a ich rosyjskimi czy ukrai艅skimi kolegami istniej膮 du偶e powi膮zania. Kraje Nadba艂tyckie nadal stanowi膮 najdogodniejszy obszar dzia艂ania cyberprzest臋pc贸w. W przesz艂o艣ci rosyjskoj臋zyczni cyberprzest臋pcy cz臋sto wykorzystywali banki tych pa艅stw do prania brudnych pieni臋dzy uzyskanych w wyniku defraudacji kart kredytowych oraz innych rodzaj贸w przest臋pstw komputerowych. Pod koniec 2008 roku g艂o艣no by艂o o esto艅skiej firmie EstDomains 艣wiadcz膮cej us艂ugi tysi膮com cyberprzest臋pc贸w.

Fakty te w du偶ej mierze przecz膮 do艣膰 szeroko rozpowszechnionej opinii, 偶e Estonia znajduje si臋 w europejskiej czo艂贸wce pod wzgl臋dem zwalczania cyberprzest臋pczo艣ci i posiada do艣wiadczenie w odpieraniu atak贸w sieciowych.

Pa艅stwa, kt贸rych u偶ytkownicy padli ofiar膮 najwi臋kszej liczby atak贸w w 2008 roku: Top 20

R贸wnie istotne s膮 dane statystyczne wskazuj膮ce, kt贸re pa艅stwa i regiony pad艂y ofiar膮 najwi臋kszej liczby atak贸w na lokalnych u偶ytkownik贸w.

W 2008 roku komputery u偶ytkownik贸w w 215 krajach zagro偶one by艂y infekcj膮 a偶 23 680 646 razy. Mo偶na powiedzie膰, 偶e zagro偶enie to obejmowa艂o ca艂y 艣wiat. Na infekcj臋 nara偶eni byli u偶ytkownicy we wszystkich krajach, nawet tak ma艂ych i odleg艂ych jak Mikronezja (15 atak贸w), Republika Kiribati (2 ataki) oraz Kajmany (13 atak贸w). Nikt nie jest w stanie okre艣li膰, ile z tych atak贸w powiod艂o si臋.

U偶ytkownicy z nast臋puj膮cych dwudziestu pa艅stw nara偶eni byli na oko艂o 89% wszystkich zarejestrowanych atak贸w:

Pozycja Pa艅stwo Liczba
atak贸w
Udzia艂 procentowy
we wszystkich atakach
1 CHINY 12 708 285 53,665%
2 EGIPT 3 615 355 15,267%
3 TURCJA 709 499 2,996%
4 INDIE 479 429 2,025%
5 STANY ZJEDNOCZONE 416 437 1,759%
6 WIETNAM 346 602 1,464%
7 FEDERACJA ROSYJSKA 335 656 1,417%
8 MEKSYK 308 399 1,302%
9 ARABIA SAUDYJSKA 287 300 1,213%
10 NIEMCY 253 097 1,069%
11 MAROKO 230 199 0,972%
12 TAJLANDIA 204 417 0,863%
13 INDONEZJA 190 607 0,805%
14 WIELKA BRYTANIA 188 908 0,798%
15 FRANCJA 182 975 0,773%
16 SYRIA 134 601 0,568%
17 BRAZYLIA 123 736 0,523%
18 TAJWAN 122 264 0,516%
19 W艁OCHY 121 508 0,513%
20 IZRAEL 118 664 0,501%

Powy偶szy ranking pokazuje, w kt贸rym pa艅stwie komputery stanowi艂y cel najwi臋kszej liczby atak贸w. Na pierwszym miejscu znajduj膮 si臋 Chiny. Nie ma w tym nic dziwnego, poniewa偶 chi艅scy szkodliwi u偶ytkownicy atakuj膮 g艂贸wnie u偶ytkownik贸w w swoim kraju; chi艅scy u偶ytkownicy stanowili cel ponad po艂owy (53,66%) atak贸w. Wi臋kszo艣膰 z tych atak贸w polega艂o na rozprzestrzenianiu trojan贸w w celu kradzie偶y danych dotycz膮cych kont gier online.

Nie dziwi r贸wnie偶 spora liczba atak贸w na u偶ytkownik贸w takich pa艅stw jak Egipt, Turcja i Indie. Pa艅stwa te prze偶ywaj膮 obecnie "boom internetowy", dlatego liczba u偶ytkownik贸w Internetu w艣r贸d ich mieszka艅c贸w gwa艂townie wzrasta. Co wi臋cej, ich wiedza techniczna jest na do艣膰 niskim poziomie, przez co stanowi膮 doskona艂e ofiary cyberprzest臋pc贸w. Zainfekowane komputery w takich pa艅stwach w wi臋kszo艣ci wykorzystywane s膮 do tworzenia sieci zombie, s艂u偶膮cych do rozsy艂ania spamu, przeprowadzania atak贸w phishingowych oraz dystrybucji nowych szkodliwych program贸w.

Pozosta艂e pa艅stwa znajduj膮ce si臋 w pierwszej 20 obejmuj膮 Stany Zjednoczone, Rosj臋, Francj臋, Brazyli臋, W艂ochy i Izrael. W pa艅stwach tych cyberprzest臋pcy atakuj膮 systemy p艂atno艣ci online i konta bankowo艣ci internetowej, r贸偶ne zasoby sieciowe i dane osobowe.

D艂ugo艣膰 偶ycia zainfekowanych stron internetowych

W wyniku analizy ponad 26 000 000 zarejestrowanych atak贸w uzyskali艣my interesuj膮c膮 liczb臋: d艂ugo艣膰 偶ycia zainfekowanej strony URL.

O ile epidemie rozprzestrzeniaj膮ce si臋 za po艣rednictwem poczty elektronicznej trwa艂y kilka miesi臋cy, a nawet lat, od czasu, gdy sie膰 WWW sta艂a si臋 g艂贸wnym wektorem infekcji, cykl 偶ycia ataku skr贸ci艂 si臋 do kilku dni, a czasem godzin.

Ataki te trwaj膮 kr贸cej nie tylko dlatego, 偶e w艂a艣ciciele zainfekowanych stron szybko usuwaj膮 szkodliwe programy, ale r贸wnie偶 dlatego 偶e sami cyberprzest臋pcy przenosz膮 je z jednego zasobu do drugiego. W ten spos贸b chc膮 zapobiec umieszczeniu ich na czarnych listach wykorzystywanych zar贸wno przez programy antywirusowe, jak i niekt贸re przegl膮darki, oraz wykryciu nowych wariant贸w szkodliwych program贸w.

W 2008 roku 艣rednia d艂ugo艣膰 偶ycia zainfekowanej strony URL wynosi艂a 4 godziny.

Ataki na porty

Zapora sieciowa stanowi istotny element wsp贸艂czesnego rozwi膮zania antywirusowego. Mo偶e zablokowa膰 szereg r贸偶nych atak贸w zewn臋trznych, kt贸re nie pr贸buj膮 przenikn膮膰 do komputera poprzez przegl膮dark臋. Powinna r贸wnie偶 blokowa膰 pr贸by kradzie偶y znajduj膮cych si臋 na komputerze danych u偶ytkownika.

Kaspersky Internet Security zawiera zapor臋 sieciow膮 skanuj膮c膮 przychodz膮ce pakiety danych, kt贸re mog膮 zawiera膰 exploity wykorzystuj膮ce luki w zabezpieczeniach us艂ug sieciowych system贸w operacyjnych oraz mog膮 infekowa膰 nieza艂atane systemy lub umo偶liwia膰 cyberprzest臋pcom pe艂ny dost臋p do systemu.

W 2008 roku zaimplementowany w oprogramowaniu Kaspersky Internet Security 2009 system UDS (Urgent Detection System) odpar艂 30 234 287 atak贸w sieciowych.

Pozycja Atak Liczba Udzia艂 procentowy we
wszystkich atakach
1 DoS.Generic.SYNFlood 20 578 951 68,065
2 Intrusion.Win.MSSQL.worm.Helkern 6 723 822 22,239
3 Intrusion.Win.DCOM.exploit 783 442 2,591
4 Intrusion.Win.NETAPI.buffer-overflow.exploit 746 421 2,469
5 Scan.Generic.UDP 657 633 2,175
6 Intrusion.Win.LSASS.exploit 267 258 0,884
7 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 194 643 0,644
8 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 172 636 0,571
9 DoS.Generic.ICMPFlood 38 116 0,126
10 Scan.Generic.TCP 38 058 0,126
11 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 13 292 0,044
12 Intrusion.Win.Messenger.exploit 5 505 0,018
13 DoS.Win.IGMP.Host-Membership-Query.exploit 2 566 0,008
14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 1 320 0,004
15 Intrusion.Win.PnP.exploit 1 272 0,004
16 Intrusion.Win.MSFP2000SE.exploit 1 131 0,004
17 Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit 1 073 0,004
18 DoS.Win.ICMP.BadCheckSum 986 0,003
19 Intrusion.Unix.Fenc.buffer-overflow.exploit 852 0,003
20 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 821 0,003

Kilka z 10 najpopularniejszych atak贸w zwi膮zanych jest z robakami sieciowymi, kt贸re wywo艂ywa艂y globalne epidemie w latach 2003-2005. Przyk艂adem mo偶e by膰 drugie miejsce (ponad 6 milion贸w atak贸w) zajmowane przez robaka Helkern (Slammer), kt贸ry spowodowa艂 epidemi臋 w styczniu 2003 roku. Chocia偶 od tego czasu min臋艂o prawie 6 lat, nadal istniej膮 zainfekowane komputery, z kt贸rych przeprowadzane s膮 takie ataki.

Zagro偶enie znajduj膮ce si臋 na trzecim miejscu odnosi si臋 do szeregu r贸偶nych robak贸w wykorzystuj膮cych luk臋 w zabezpieczeniach RPC-DCOM (MS03-026). Luka ta umo偶liwi艂a globaln膮 epidemi臋 robaka Lovesan w sierpniu 2003 roku.

Zagro偶enie znajduj膮ce si臋 na czwartym miejscu wi膮偶e si臋 z jedn膮 z najbardziej niebezpiecznych luk w zabezpieczeniach 2008 roku - MS08-063. Eksperci zidentyfikowali t臋 luk臋 dopiero po tym, jak w Internecie wykryto kilka szkodliwych program贸w wykorzystuj膮cych luk臋 w us艂udze NetAPI. Przyk艂adem takiego szkodliwego programu jest robak sieciowy Gimmiv, kt贸ry spowodowa艂 tysi膮ce infekcji. Gdy w Internecie zosta艂y opublikowane informacje o tej luce oraz exploicie, pojawi艂y si臋 dziesi膮tki szkodliwych program贸w wykorzystuj膮cych luk臋 MS08-063, kt贸re stanowi艂y g艂贸wne zagro偶enie pod koniec 2008 roku.

Sz贸ste i si贸dme miejsce jest zwi膮zane z robakami wykorzystuj膮cymi luk臋 w zabezpieczeniach MS04-011. Najbardziej znanym przedstawicielem takich szkodliwych program贸w jest robak Sasser, kt贸ry w kwietniu 2004 roku spowodowa艂 epidemi臋 na du偶膮 skal臋.

Dane te pokazuj膮, 偶e chocia偶 epidemie wywo艂ane przez wiele robak贸w sieciowych mia艂y miejsce wiele lat temu, szkodniki te nadal istniej膮 w Internecie i poluj膮 na nowe ofiary. Szkodniki te mog膮 艂atwo infekowa膰 stare, nieza艂atane systemy nieposiadaj膮ce zapory sieciowej.

Lokalne infekcje

Do istotnych danych nale偶膮 r贸wnie偶 statystyki dotycz膮ce lokalnych infekcji wykrytych na komputerach u偶ytkownik贸w. Obejmuj膮 one obiekty, kt贸re przenikn臋艂y do komputer贸w za po艣rednictwem innych kana艂贸w ni偶 WWW, poczta elektroniczna czy porty sieciowe.

Nasze rozwi膮zania antywirusowe wykry艂y ponad sze艣膰 milion贸w (6 394 359) incydent贸w zwi膮zanych z wirusami na komputerach wchodz膮cych w sk艂ad systemu KSN.

W incydentach tych zidentyfikowali艣my 189 785 r贸偶nych szkodliwych i potencjalnie niechcianych program贸w.

100 najbardziej rozpowszechnionych szkodliwych program贸w by艂o odpowiedzialnych za 941 648 incydent贸w, co stanowi 14,72% wszystkich incydent贸w.

Poni偶ej znajduje si臋 lista 20 najpopularniejszych szkodliwych program贸w, kt贸re stanowi膮 najbardziej rozpowszechnione infekcje lokalne w 2008 roku.

Pozycja Wykryty obiekt Liczba unikatowych
komputer贸w, na kt贸rych
wykryto obiekt
1 Virus.Win32.Sality.aa 29 804
2 Packed.Win32.Krap.b 27 575
3 Trojan-Downloader.Win32.Small.acmn 25 235
4 Worm.Win32.AutoRun.dui 22 127
5 Trojan-Downloader.Win32.VB.eql 21 615
6 Packed.Win32.Black.a 19 586
7 Trojan.Win32.Agent.abt 17 832
8 Virus.Win32.Alman.b 16 799
9 Trojan-Downloader.JS.IstBar.cx 16 264
10 Trojan.Win32.Obfuscated.gen 15 795
11 Worm.VBS.Autorun.r 15 240
12 Trojan-Downloader.WMA.Wimad.n 15 152
13 Trojan.Win32.Agent.tfc 15 087
14 not-a-virus:AdWare.Win32.BHO.ca 14 878
15 Trojan-Downloader.WMA.GetCodec.c 14 638
16 Virus.Win32.VB.bu 14 452
17 Trojan-Downloader.HTML.IFrame.sz 14 247
18 not-a-virus:AdWare.Win32.Agent.cp 14 001
19 Email-Worm.Win32.Brontok.q 13 142
20 Worm.Win32.AutoRun.eee 12 386

Nale偶y podkre艣li膰, 偶e statystyki te dotycz膮 tylko incydent贸w zidentyfikowanych na komputerach wchodz膮cych w sk艂ad systemu Kaspersky Security Network.

W 2008 roku wirus Sality.aa zosta艂 wykryty na wi臋kszej liczbie komputer贸w ni偶 inne szkodliwe programy. Po raz pierwszy w ci膮gu sze艣ciu ostatnich lat tytu艂 "zagro偶enie roku" przypad艂 klasycznemu wirusowi plikowemu, a nie robakowi pocztowemu czy sieciowemu.

Sality.aa spowodowa艂 globaln膮 epidemi臋 w 2008 roku. Doniesienia o tej epidemii otrzymali艣my z Rosji, Europy, Ameryki oraz Azji.

Istotnym trendem, kt贸ry obserwowali艣my w ci膮gu minionych kilku lat i o kt贸rym wspominali艣my przy licznych okazjach, jest szybki wzrost popularno艣ci no艣nik贸w wymiennych, 艂膮cznie z dyskami USB, wykorzystywanych jako medium dystrybucji szkodliwych program贸w. Funkcja systemu Windows, kt贸ra automatycznie uruchamia pliki autorun, aktywuje szkodliwy program na no艣niku USB. Jest to praktycznie ta sama metoda infekcji, jak膮 obserwowali艣my 15 lat temu, gdy klasyczne wirusy sektora startowego by艂y uruchamiane podczas pr贸by uruchomienia komputera z dyskietki.

W艂a艣nie t臋 procedur臋 infekcji stosuje Sality.aa. Szkodnik ten kopiuje infekowane przez siebie pliki na dyski flash i tworzy plik autorun.inf w celu ich uruchomienia.

Poni偶ej znajduje si臋 przyk艂ad takiego pliku autorun:

[AutoRun]
;sgEFA
;uloN hbXYcKOjfOmfO
sHelLoPenDEfAult=1
;ajdsvAswgioTfv
sheLlopenCOmmAnD= qwail.cmd
;
sheLlexPLoRecommANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElLAUtOplaycommANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu

Wykonywane polecenia zaznaczono na zielono. Pozosta艂e linie w pliku s膮 dodawane przez autora wirusa w celu uniemo偶liwienia wykrycia go przez produkty antywirusowe.

Podobn膮 procedur臋 infekcji stosowa艂o pi臋膰 innych program贸w z pierwszej dwudziestki: Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q oraz Worm.Win32.AutoRun.eee.

Liczba komputer贸w zainfekowanych tymi sze艣cioma automatycznie uruchamiaj膮cymi si臋 szkodnikami stanowi 30,77% wszystkich komputer贸w zainfekowanych przez szkodliwe programy z listy 20 najpopularniejszych szkodliwych program贸w (Top 20) oraz ponad 18% wszystkich komputer贸w zainfekowanych przez szkodniki z listy "Top 100".

Obecnie jest to najpopularniejsza metoda rozprzestrzeniania szkodliwych program贸w w艣r贸d tw贸rc贸w wirus贸w i niemal zawsze jest 艂膮czona z innymi funkcjami, takimi jak infekowanie plik贸w, kradzie偶 danych, tworzenie botnet贸w itd. Rozprzestrzenianie program贸w za po艣rednictwem no艣nik贸w przeno艣nych jest charakterystyczne dla pewnych rodzin trojan贸w, np. Trojan-GameThief.

Sze艣膰 spo艣r贸d program贸w, kt贸re wywo艂a艂y najwi臋cej lokalnych epidemii, to trojany downloadery (dwa z nich znajduj膮 si臋 w pierwszej pi膮tce). 艢wiadczy to o tym, 偶e tw贸rcy wirus贸w bardzo cz臋sto najpierw pr贸buj膮 zainfekowa膰 komputer nie g艂贸wnym szkodliwym programem, a downloaderem. Podej艣cie to zapewnia im wi臋ksz膮 elastyczno艣膰 podczas wyboru sposob贸w wykorzystania zainfekowanych komputer贸w i pozwala na zainstalowanie innych trojan贸w, 艂膮cznie z tymi stworzonymi przez inne grupy cyberprzest臋pc贸w, na tym samym komputerze.

W tym miejscu musimy odbiec nieco od tematu i przywo艂a膰 legend臋 greck膮 o koniu troja艅skim. Przypomnijmy: ko艅 troja艅ski by艂 podarunkiem od Grek贸w dla ludno艣ci Troi - miasta obl臋偶onego przez Grek贸w. Trojanie znale藕li pot臋偶nego drewnianego konia u swych bram i wnie艣li go do miasta. W nocy, gdy wszyscy mieszka艅cy spali, z drewnianego pos膮gu wyszli ukrywaj膮cy tam wojownicy greccy i otworzyli bramy, wpuszczaj膮c do 艣rodka armi臋 greck膮 i doprowadzaj膮c do upadku miasta. Wracaj膮c do szkodliwych program贸w, trojany downloadery s膮 obecnie jedynym rodzajem szkodliwych program贸w, kt贸re post臋puj膮 jak mityczny ko艅 troja艅ski na zaatakowanej maszynie.

Luki w zabezpieczeniach

Luki w zabezpieczeniach oprogramowania stanowi膮 najwi臋ksze zagro偶enie dla u偶ytkownik贸w. Pozwalaj膮 one cyberprzest臋pcom obej艣膰 ochron臋 zainstalowan膮 na maszynie i zaatakowa膰 system. Z regu艂y odnosi si臋 to do nowo wykrytych luk, dla kt贸rych nie stworzono jeszcze 艂at - takie luki s膮 celem tzw. atak贸w "zero-day".

W 2008 roku luki "zero-day" by艂y wykorzystywane przez cyberprzest臋pc贸w kilka razy. G艂贸wnym celem by艂y luki w zabezpieczeniach aplikacji Microsoft Office.

We wrze艣niu nieznani chi艅scy hakerzy zacz臋li aktywnie wykorzystywa膰 now膮 luk臋 w us艂udze NetAPI systemu Microsoft Windows. Luka ta, znana jako MS08-063, umo偶liwia艂a infekowanie komputer贸w poprzez przeprowadzanie ataku sieciowego. W rankingu atak贸w na porty atak ten zajmuje czwarte miejsce (zobacz rozdzia艂 Ataki na porty).

Jednak ulubionym wektorem atak贸w pozostaj膮 luki w zabezpieczeniach przegl膮darek i wtyczek do przegl膮darek.

Kaspersky Lab jako pierwszy producent rozwi膮za艅 antywirusowych zaimplementowa艂 w swoich produktach dla u偶ytkownik贸w indywidualnych skaner luk w zabezpieczeniach. Rozwi膮zanie to jest pierwszym krokiem w kierunku stworzenia w pe艂ni funkcjonalnego systemu zarz膮dzania 艂atami. System ten jest niezwykle istotny nie tylko dla bran偶y antywirusowej, ale r贸wnie偶 dla tw贸rc贸w system贸w operacyjnych i aplikacji.

Skaner wykrywa na komputerze u偶ytkownika aplikacje i pliki podatne na ataki i pyta u偶ytkownika o podj臋cie dzia艂a艅 w celu wyeliminowania tych problem贸w. Niezwykle istotne jest, aby艣my u艣wiadomili sobie, 偶e luki w zabezpieczeniach mog膮 zosta膰 wykryte nie tylko w systemie Microsoft Windows, kt贸ry posiada wbudowany system aktualizacji ale r贸wnie偶 w aplikacjach innych firm.

W 2008 roku wykorzystali艣my statystyki dostarczone przez system analizy luk w celu przeanalizowania 100 najbardziej rozpowszechnionych luk w zabezpieczeniach. Na komputerach z zainstalowanymi produktami firmy Kaspersky Lab zidentyfikowali艣my 130 518 320 podatnych na ataki plik贸w.

Z tych 100 luk, 20 najcz臋艣ciej wykrywanych dotyczy艂o 125 565 568 plik贸w i aplikacji, tj. ponad 96%.

Lp. Secunia ID Nazwa Luki Liczba plik贸w
i aplikacji podatnych
na ataki
Stopie艅
krytyczno艣ci
Wp艂yw
na bezpiecze艅stwo
Spos贸b
wykorzystania luki
Data publikacji
1 29293 Apple QuickTime Multiple Vulnerabilities 70 849 849 Wysoce krytyczna Dost臋p do systemu Zdalnie 10.06.2008
2 31821 Apple QuickTime Multiple Vulnerabilities 34 655 311 Wysoce krytyczna Dost臋p do systemu Zdalnie 10.09.2008
3 31010 Sun Java JDK / JRE Multiple Vulnerabilities 23 74 038 Wysoce krytyczna Dost臋p do systemu, Nara偶enie systemu, Ujawnienie poufnych danych, DoS, Omini臋cie zabezpiecze艅 Zdalnie 07.09.2008
4 31453 Microsoft Office PowerPoint Multiple Vulnerabilities 2 161 690 Wysoce krytyczna Dost臋p do system Zdalnie 12.08.2008
5 30975 Microsoft Word Smart Tag Invalid Length Processing Vulnerability 1 974 194 Ekstremalnie krytyczna Dost臋p do system Zdalnie 09.07.2008
6 28083 Adobe Flash Player Multiple Vulnerabilities 1 815 437 Wysoce krytyczna Omini臋cie zabezpiecze艅, Cross Site Scripting, Dost臋p do systemu Zdalnie 09.04.2008
7 31454 Microsoft Office Excel Multiple Vulnerabilities 1 681 169 Wysoce krytyczna Ujawnienie poufnych danych, Dost臋p do systemu Zdalnie 12.08.2008
8 32270 Adobe Flash Player Multiple Security Issues and Vulnerabilities 1 260 422 Umiarkowanie krytyczna Omini臋cie zabezpiecze艅, Cross Site Scripting, Manipulacja danymi, Ujawnienie poufnych danych Zdalnie 16.10.2008
9 29321 Microsoft Office Two Code Execution Vulnerabilities 1 155 330 Wysoce krytyczna Dost臋p do systemu Zdalnie 11.03.2008
10 29320 Microsoft Outlook "mailto:" URI Handling Vulnerability 1 102 730 Wysoce krytyczna Dost臋p do systemu Zdalnie 11.03.2008
11 29650 Apple QuickTime Multiple Vulnerabilities 1 078 349 Wysoce krytyczna Ujawnienie poufnych danych, Dost臋p do systemu, DoS Zdalnie 03.04.2008
12 23655 Microsoft XML Core Services Multiple Vulnerabilities 800 058 Wysoce krytyczna Cross Site Scripting, DoS, Dost臋p do systemu Zdalnie 09.01.2007
13 30150 Microsoft Publisher Object Handler Validation Vulnerability 772 520 Wysoce krytyczna Dost臋p do systemu Zdalnie 13.05.2008
14 26027 Adobe Flash Player Multiple Vulnerabilities 765 734 Wysoce krytyczna Ujawnienie poufnych danych, Dost臋p do systemu Zdalnie 11.07.2007
15 27620 RealNetworks RealPlayer Multiple Vulnerabilities 727 995 Wysoce krytyczna Ujawnienie poufnych danych, Dost臋p do systemu Zdalnie 25.07.2008
16 32211 Microsoft Excel Multiple Vulnerabilities 606 341 Wysoce krytyczna Dost臋p do systemu Zdalnie 14.10.2008
17 30143 Microsoft Word Two Code Execution Vulnerabilities 559677 Wysoce krytyczna Dost臋p do systemu Zdalnie 13.05.2008
18 25952 ACDSee Products Image and Archive Plug-ins Buffer Overflows 427 021 Wysoce krytyczna Dost臋p do systemu Zdalnie 02.11.2007
19 31744 Microsoft Office OneNote URI Handling Vulnerability 419 374 Wysoce krytyczna Dost臋p do systemu Zdalnie 09.09.2008
20 31371 Winamp "NowPlaying" Unspecified Vulnerability 378 329 Umiarkowanie krytyczna Brak danych Zdalnie 05.08.2008

Na podstawie liczby plik贸w i aplikacji znalezionych na komputerach u偶ytkownik贸w ustalili艣my, 偶e najbardziej rozpowszechnionymi lukami w zabezpieczeniach w 2008 roku by艂y luki w produkcie firmy Apple - QuickTime 7.x.

Poni偶szy diagram pokazuje rozk艂ad 20 najbardziej rozpowszechnionych luk w zabezpieczeniach wed艂ug producenta:


Rozk艂ad luk wed艂ug producenta

Dziesi臋膰 z dwudziestu najbardziej rozpowszechnionych luk w zabezpieczeniach dotyczy produkt贸w firmy Microsoft. Wszystkie z nich zosta艂y wykryte w aplikacjach wchodz膮cych w sk艂ad pakietu Microsoft Office, takich jak Word, Excel, Outlook, PowerPoint itd. W 2008 roku najcz臋艣ciej identyfikowanymi lukami w zabezpieczeniach na komputerach u偶ytkownik贸w by艂y luki w aplikacji QuickTime oraz Microsoft Office.

Na trzecim miejscu pod wzgl臋dem liczby znalezionych luk znalaz艂 si臋 produkt firmy Adobe - Flash Player. Program ten by艂 r贸wnie偶 najcz臋艣ciej wykorzystywany przez tw贸rc贸w wirus贸w w 2008 roku. Luki w zabezpieczeniach tego produktu dawa艂y tw贸rcom wirus贸w wiele mo偶liwo艣ci: pojawi艂y si臋 tysi膮ce szkodliwych program贸w, z kt贸rych wszystkie by艂y implementowane jako pliki flash i atakowa艂y u偶ytkownik贸w podczas przegl膮dania przez nich takich plik贸w w Internecie. Trojany SWF stanowi艂y g艂贸wny problem dla firm antywirusowych, kt贸re zmuszone by艂y wyposa偶y膰 wszystkie swoje produkty w procedury przetwarzania plik贸w SWF.

Podobnie wygl膮da艂a sytuacja z innym popularnym odtwarzaczem multimedialnym - Real Player. Zidentyfikowana w nim luka by艂a aktywnie wykorzystywana przez cyberprzest臋pc贸w. Odzwierciedlaj膮 to nasze statystyki dotycz膮ce atak贸w przeprowadzanych za po艣rednictwem sieci WWW: ranking "Top 20" zawiera takie programy, jak Exploit.JS.RealPlr.

Mimo 偶e luki wykrywane w innym popularnym produkcie firmy Adobe - Acrobat Reader - nie zaklasyfikowa艂y si臋 do pierwszej dwudziestki, wykorzystywane by艂y przez liczne trojany PDF, przez co firmy antywirusowe musia艂y si臋 pilnie zaj膮膰 tym problemem.

Wed艂ug nas, lista aplikacji stanowi膮cych najwi臋ksze zagro偶enie w 2008 roku powinna wygl膮da膰 nast臋puj膮co:

  1. Adobe Flash Player
  2. Real Player
  3. Adobe Acrobat Reader
  4. Microsoft Office

Warto podkre艣li膰, 偶e wszystkie dwadzie艣cia najcz臋艣ciej wykrywanych luk w zabezpieczeniach mo偶e by膰 wykorzystanych przez cyberprzest臋pc贸w zdalnie, co oznacza, 偶e osoby te wcale nie musz膮 posiada膰 fizycznego dost臋pu do komputera.

Wykorzystanie ka偶dej z tych luk mo偶e mie膰 r贸偶ne konsekwencje dla atakowanego systemu. Najbardziej niebezpieczn膮 z nich jest pe艂ny dost臋p do komputera.

W poni偶szym diagramie dwadzie艣cia najpowszechniejszych luk w zabezpieczeniach zosta艂o pogrupowanych wed艂ug wp艂ywu na bezpiecze艅stwo:


Liczba luk ze wzgl臋du na wp艂yw na bezpiecze艅stwo

Jak pokazuje powy偶szy diagram, osiemna艣cie luk w zabezpieczeniach umo偶liwia uzyskanie dost臋pu do systemu, podczas gdy sze艣膰 luk mo偶e prowadzi膰 do wycieku poufnych danych.

Wyniki tego badania pokazuj膮, jak powa偶nym problemem s膮 luki w zabezpieczeniach. Brak wsp贸lnego podej艣cia producent贸w do kwestii 艂atania luk w zabezpieczeniach oraz niezrozumienie przez u偶ytkownik贸w wagi aktualizacji system贸w i aplikacji to g艂贸wne przyczyny popularno艣ci w艣r贸d tw贸rc贸w wirus贸w szkodliwego oprogramowania wykorzystuj膮cego luki zabezpieczeniach.

Potrzeba by艂o wielu lat i dziesi膮tek epidemii wirus贸w, zanim firma Microsoft, a potem u偶ytkownicy nauczyli si臋 regularnie aktualizowa膰 system Windows. Ile czasu minie i jak wiele pojawi si臋 incydent贸w, zanim inni producenci zaimplementuj膮 podobne 艣rodki bezpiecze艅stwa, a u偶ytkownicy naucz膮 si臋 je wykorzystywa膰.

Platformy i systemy operacyjne

Systemy operacyjne lub aplikacje mog膮 pa艣膰 ofiar膮 atak贸w szkodliwego oprogramowania, je偶eli potrafi膮 uruchamia膰 programy, kt贸re nie s膮 cz臋艣ci膮 systemu. Kryterium to spe艂niaj膮 wszystkie systemy operacyjne, wiele aplikacji biurowych, edytor贸w graficznych, wspomaganych komputerowo system贸w projektowania oraz innych pakiet贸w oprogramowania posiadaj膮cych wbudowane j臋zyki skryptowe.

W 2008 roku Kaspersky Lab wykrywa艂 szkodliwe programy dla 46 r贸偶nych platform i system贸w operacyjnych. Naturalnie wi臋kszo艣膰 takich program贸w jest pisanych dla 艣rodowiska Windows i s膮 to wykonywalne pliki binarne.

Najwi臋kszy wzrost wykaza艂y szkodliwe programy dla nast臋puj膮cych platform: Win32, SWF, MSIL, NSIS, MSOffice, WMA.

WMA by艂a jedn膮 z platform najcz臋艣ciej wykorzystywanych do przeprowadzania atak贸w "drive-by download". W艣r贸d 20 najbardziej rozpowszechnionych lokalnych zagro偶e艅 zwi膮zanych z infekcjami znalaz艂y si臋 trojany downloadery z rodziny Wimad, kt贸re wykorzystuj膮 luk臋 w zabezpieczeniach oprogramowania Windows Media Player.

Szczeg贸ln膮 uwag臋 nale偶y zwr贸ci膰 na szkodliwe programy dla platform MSIL, NSIS oraz SWF. Ju偶 od d艂u偶szego czasu przewidywali艣my wzrost liczby szkodliwego oprogramowania dla MSIL: by艂o to logiczne nast臋pstwo ci膮g艂ego rozwoju tego 艣rodowiska programistycznego przez Microsoft, jego rosn膮cej popularno艣ci w艣r贸d programist贸w, nauczania MSIL w wielu instytucjach edukacyjnych oraz optymalizacji system贸w Windows i Windows Mobile dla aplikacji napisanych przy u偶yciu tej platformy.

Tw贸rcy wirus贸w skoncentrowali si臋 na NSIS, poniewa偶 jest to instalator z pot臋偶nym j臋zykiem skryptowym. Dzi臋ki temu cyberprzest臋pcy mog膮 wykorzysta膰 go do tworzenia szeregu r贸偶nych trojan贸w downloader贸w. Wykorzystywanie legalnych instalator贸w przez tw贸rc贸w wirus贸w mo偶e stanowi膰 jeden z powa偶niejszych problem贸w 2009 roku. Nie wszystkie produkty antywirusowe potrafi膮 rozpakowywa膰 takie pliki. Opr贸cz tego, pliki te maj膮 zwykle do艣膰 du偶y rozmiar, co utrudnia emulacj臋.

SWF by艂 niemi艂膮 niespodziank膮 roku. W艣r贸d 20 najbardziej rozpowszechnionych atak贸w przeprowadzanych za po艣rednictwem Sieci znalaz艂y si臋 trojany wykorzystuj膮ce kilka exploit贸w na luki w programie Macromedia Flash Player. Luki te znalaz艂y si臋 r贸wnie偶 w艣r贸d 20 najcz臋艣ciej wykrywanych na komputerach u偶ytkownik贸w (pozycje 6, 8 i 14).

Trojany SWF, jak r贸wnie偶 exploity PDF, sta艂y si臋 najbardziej pal膮cym problemem zwi膮zanym ze szkodliwymi programami w 2008 roku: wcze艣niej nie by艂o 偶adnych incydent贸w zwi膮zanych z tymi formatami (niewielka liczba wirus贸w PDF typu “proof-of-concept" nie liczy si臋) i nikt nie podejrzewa艂, 偶e mog艂yby stanowi膰 zagro偶enie. Dlatego te偶 niekt贸re firmy antywirusowe nie mog艂y szybko zareagowa膰 na te ataki. Luki w SWF podda艂y tw贸rcom wirus贸w inny pomys艂: osoby odwiedzaj膮ce fa艂szywe strony internetowe, kt贸re rzekomo zawiera艂y pliki wideo, dowiadywa艂y si臋, 偶e nie posiadaj膮 odpowiedniego kodeku lub musz膮 uaktualni膰 posiadany przez siebie kodek (z powodu luk w zabezpieczeniach jego wcze艣niejszych wersji). Jednak odsy艂acz do strony, na kt贸rej mo偶na by艂o pobra膰 kodek, zawsze kry艂 trojana.k.

Mimo rosn膮cej popularno艣ci system贸w Linux i Mac OS liczba szkodliwych program贸w dla tych system贸w wzrasta w niewielkim stopniu. Wynika to g艂贸wnie z faktu, 偶e w Chinach, kt贸re obecnie stanowi膮 globalne centrum tworzenia wirus贸w, systemy te nie s膮 tak popularne jak w Europie czy Stanach Zjednoczonych. Poza tym, gry online, kt贸re sta艂y si臋 jednym z g艂贸wnych cel贸w cyberprzest臋pc贸w, s膮 bardzo s艂abo reprezentowane na platformach innych ni偶 Windows. Mimo to, spodziewamy si臋, 偶e tw贸rcy gier wyka偶膮 wi臋ksze zainteresowanie systemami innymi ni偶 Windows, zw艂aszcza systemami operacyjnymi dla urz膮dze艅 mobilnych. Spowoduje to rozw贸j nowych klient贸w gier dla tych system贸w, a w rezultacie, pojawienie si臋 nowych szkodliwych program贸w.