1. Kaspersky Security Bulletin 2009. Ewolucja szkodliwego oprogramowania
2. Kaspersky Security Bulletin 2009. Statystyki
   • Szkodliwe programy w Internecie (ataki za pośrednictwem Sieci)
     • 20 najpopularniejszych szkodliwych programów w Internecie w 2009 roku
     • 20 państw, z których pochodziło najwięcej szkodliwego oprogramowania w 2009 roku
     • 20 najbardziej atakowanych państw w 2009 roku
   • Ataki sieciowe
   • Lokalne infekcje
   • Luki
3. Kaspersky Security Bulletin 2009: Ewolucja spamu

Statystyki wykorzystane w tym raporcie zostały wygenerowane przez Kaspersky Security Network (KSN), innowacyjną technologię zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych. Obecnie system ten jest dostosowywany do implementacji w produktach korporacyjnych firmy Kaspersky Lab.

KSN pozwala naszym analitykom wykrywać w czasie rzeczywistym nowe szkodliwe programy, dla których nie istnieje jeszcze metody wykrywanie oparte na sygnaturach lub heurystyczne. KNS potrafi również zidentyfikować źródła, z których szkodliwe oprogramowanie jest rozprzestrzeniane w Internecie, oraz uniemożliwić użytkownikom uzyskanie dostępu do tych źródeł.

KSN zwiększa prędkość reakcji na nowe zagrożenia (obecnie możemy zablokować uruchomienie nowych szkodliwych programów na komputerach wykorzystujących KNS już w przeciągu dziesiętnych sekundy po zidentyfikowaniu programu jako szkodliwy) bez konieczności aktualizowania antywirusowych baz danych w tradycyjny sposób.

Szkodliwe programy w Internecie (ataki za pośrednictwem Sieci)

Problem Gumblara został dość szczegółowo opisany w innej sekcji tego raportu. W rzeczywistości, epidemia Gumblara to zaledwie wierzchołek góry lodowej, jaką stanowią infekcje za pośrednictwem sieci; w ciągu ostatnich lat infekowanie poprzez Sieć stało się główną metodą infekowania komputerów.

Cyberprzestępcy szybko wykorzystali nadarzające się możliwości i stworzyli w pełni funkcjonalne, samoczynnie rozrastające się botnety przy pomocy zainfekowanych stron internetowych. Równie skwapliwie skorzystali z okazji, jakie oferują portale społecznościowe oraz wysoki stopień zaufania wśród użytkowników portali społecznościowych. Prawdopodobieństwo, że użytkownik portalu społecznościowego uruchomi plik lub kliknie odsyłacz przesłany mu przez "przyjaciela" jest średnio 10 razy większe niż gdyby plik lub odsyłacz "przyszedł" w e-mailu. Cyberprzestępcy aktywnie wykorzystują takie zaufanie, aby rozprzestrzeniać szkodliwe oprogramowanie i spam.

W przeszłości wielokrotnie pisaliśmy o atakach drive-by download - technice wykorzystywanej do ukradkowego infekowania komputerów użytkowników podczas surfowania przez nich po Internecie. W 2009 roku liczba takich ataków zwiększyła się trzykrotnie - przy czym całkowita liczba takich ataków wynosi dziesiątki milionów.

KSN był wykorzystywany do określania liczby ataków i analizowania prób infekcji komputerów z KSN.

W 2009 roku zidentyfikowaliśmy 73 619 767 ataków na użytkowników KSN. Dla porównania, w 2008 roku było ich 23 680 646. Oprócz prób pobrania szkodliwych lub potencjalnie niechcianych programów na komputery użytkowników całkowita liczba incydentów obejmuje również 14 899 238 prób uzyskania dostępu do zainfekowanych stron, które zostały zablokowane przez nasz produkt antywirusowy.

20 najpopularniejszych szkodliwych programów w Internecie w 2009 roku

Poniżej znajduje się lista dwudziestu szkodliwych programów najczęściej wykorzystywanych w atakach internetowych. Każdy program został zidentyfikowany ponad 170 000 razy, a wszystkie razem brały udział w ponad 37% (27 268 356) wszystkich zidentyfikowanych incydentów.

Liderem jest heurystyczne wykrywanie służące do identyfikowania zainfekowanych odsyłaczy wstrzykniętych przez hakerów i szkodliwe oprogramowanie do kodu zainfekowanych stron. Odsyłacze te umożliwiają przeglądarce ukradkowe kontaktowanie się z innymi stronami, które zwykle zawierają zestawy exploitów wykorzystujących luki w zabezpieczeniach przeglądarek lub aplikacji.

Drugie miejsce zajmuje Gumblar; nie jest to żadną niespodzianką biorąc pod uwagę skalę epidemii Gumblara. Produkty firmy Kaspersky Lab wykryły, że maszyny naszych klientów próbowały skontaktować się z serwerami botnetu Gumblara prawie 3 000 000 razy, co w pewien sposób obrazuje skalę problemu.

Na trzecim miejscu znajduje się adware w postaci programu Boran.z. Adware, który wraz ze spamem i treściami pornograficznymi, dawno temu stał się jednym z głównych motorów napędowych cyberprzestępczości.

Prawie wszystkie pozostałe programy z listy w ten czy inny sposób są związane z różnymi modyfikacjami exploitów luk w zabezpieczeniach.

20 państw, z których pochodziło najwięcej szkodliwego oprogramowania w 2009 roku

73 619 767 ataków przeprowadzonych za pośrednictwem Internetu w 2009 roku zostało zapoczątkowanych z zasobów znajdujących się w 174 państwach na całym świecie. Ponad 97% tych ataków pochodziło z dwudziestu państw wyszczególnionych poniżej.

Pierwsza piątka jest dokładnie taka sama jak w 2008 roku.

Mimo że Chiny pozostają liderem, liczba ataków przeprowadzonych z chińskich zasobów spadła z 79% wszystkich ataków do nieco poniżej 53%. Na drugim miejscu pozostają Stany Zjednoczone, jednak liczba zainfekowanych serwerów w Stanach Zjednoczonych znacznie wzrosła: liczba ataków zwiększyła się z 6,8% ataków do 19%. Za liderami uplasowała się Rosja, Niemcy i Holandia. Odsetek ataków dla tych państw zwiększył się nieznacznie.

Obecnie rejestracji nazwy domeny .cn należy dokonać pisemnie. Ponadto rejestracja zostanie dokonana po tym, jak osoba chcąca zarejestrować stronę dostarczy - osobiście - dokument tożsamości oraz licencję komercyjną. Kilka chińskich podmiotów rejestrujących domeny zostało już zamkniętych z powodu nieprzestrzegania tych wymogów.

Restrykcje te zostały wprowadzone pod koniec 2009 roku i niemal od razu spowodowały spadek liczby odsyłaczy do spamu prowadzących do chińskich domen. Miejmy nadzieję, że trend ten utrzyma się również w 2010 roku, a inne metody wykorzystywane do infekowania komputerów i różnego rodzaju oszustw będą miały tak samo zauważalny efekt.

20 najbardziej atakowanych państw w 2009 roku

Celem ponad 86% wszystkich 73 619 767 ataków były maszyny użytkowników w dwudziestu krajach wymienionych poniżej:

Zestawienie znacząco zmieniło się od zeszłego roku. Pod względem liczby potencjalnych ofiar nadal prowadzą Chiny, jednak liczba ataków spadła o 7%. Inne państwa, które w zeszłym roku znajdowały się blisko pierwszego miejsca, takie jak Egipt, Turcja i Wietnam, cieszą się teraz mniejszym zainteresowaniem cyberprzestępców. Jednak liczba ataków na użytkowników mieszkających w Stanach Zjednoczonych, Niemczech, Wielka Brytania i Rosji znacznie wzrosła.

Wydaje się, że zmiany te są kolejną konsekwencją globalnego kryzysu gospodarczego. W Internecie znajduje się teraz mniej pieniędzy, a początkowy wzrost zainteresowania serwisami bankowości online, jaki miał miejsce w wielu państwach, jest teraz wolniejszy. Cyberprzestępcy koncentrują swoje wysiłki na "najbogatszych" rynkach, tj. tych oferujących najwięcej potencjalnych zysków.

Pewną rolę odegrali również chińscy cyberprzestępcy, ponieważ przeprowadzają teraz mniej ataków na współobywateli. W innym artykule pisaliśmy o spadku liczby trojanów atakujących gry. Być może miał on wpływ na ataki przeprowadzane za pośrednictwem Sieci.

Ataki sieciowe

Istotny elementem współczesnego rozwiązania bezpieczeństwa jest zapora sieciowa. Zapory sieciowe blokują szeroki wachlarz ataków na komputery potencjalnych ofiar przeprowadzanych z zewnątrz - ataków, które nie są przeprowadzane za pośrednictwem przeglądarki - jak również zwalcza próby kradzieży poufnych danych.

Kaspersky Internet Security zawiera zaporę sieciową z systemem Intrusion Detection System (IDS), która analizuje przychodzące pakiety. Takie pakiety często obejmują exploity, które mogą zainfekować niezałatany system lub umożliwić cyberprzestępcy pełny dostęp do systemu poprzez wykorzystanie luk w zabezpieczeniach usług sieciowych systemu operacyjnego.

W 2009 roku system IDS w oprogramowaniu Kaspersky Internet Security 2010 odparł 219 899 678 ataków sieciowych. W 2008 roku liczba takich ataków wyniosła nieco ponad 30 milionów.

Na pierwszym miejscu, podobnie jak w zeszłym roku, znajduje się Dos.Generic.SYNFlood; ten szeroko rozpowszechniony i prosty atak, jeżeli powiedzie się, powoduje, że zaatakowany komputer przestaje działać. Jednak większość dzisiejszych rozwiązań bezpieczeństwa skutecznie zwalcza tego typu ataki.

NETAPI.buffer-overflow.exploit, który zajmuje drugą pozycję, jest interesującym zagrożeniem, które stanowi poważne ryzyko; wykorzystuje lukę MS08-067. Tę samą lukę wykorzystuje niesławny robak Kido (Conficker). Został zidentyfikowany pod koniec 2008 roku, a w zeszłym roku zajął czwarte miejsce w naszym rankingu. Kido jest bez wątpienia odpowiedzialny za większość z 32 milionów ataków, których celem jest wykorzystanie luki MS08-067, wykrytych i zablokowanych w 2009 roku.

Helkern (Slammer), mimo że istnieje od 7 lat, nadal pozwala odczuć swoją obecność. Robak ten jest odpowiedzialny za 23 miliony prób infekcji. Exploit RPC-DCOM (MS03-026), który uplasował się w rankingu na czwartym miejscu, charakteryzuje się podobną długowiecznością; właśnie tą lukę wykorzystał robak Lovesan, gdy w sierpniu 2003 roku spowodował globalną epidemię.

Infekcje lokalne

Dane wskazujące liczbę lokalnych infekcji na zaatakowanych komputerach są niezwykle istotne. Mówią nam, ile zagrożeń przeniknęło do komputerów ofiar poprzez wektory inne niż Sieć, poczta elektroniczna czy porty sieciowe.

Produkty firmy Kaspersky Lab skutecznie wykryły 107 370 258 incydentów z udziałem wirusów, w tym 703 700 szkodliwych i potencjalnie niechcianych programów, na komputerach należących do sieci KSN. 100 najbardziej rozpowszechnionych z tych programów spowodowało 28 579 901 z tych incydentów, co stanowi 27%.

Poniżej znajduje się lista dwudziestu najbardziej rozpowszechnionych zagrożeń:

Z pomocą metod heurystycznych zidentyfikowano, a następnie zablokowano, ponad 3 miliony prób infekcji. Większość z nich znalazła się w naszych rankingach: HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic and HEUR:Trojan.Win32.StartPage.

Jak już wspomnieliśmy wcześniej, największa epidemia roku została wywołana przez robaka Kido (Conficker), który zainfekował miliony komputerów na całym świecie. W rankingu znajdują się trzy modyfikacje tego szkodnika: Kido.ir, Kido.ih, and Kido.iq. Razem wzięte, te trzy szkodniki pobijają lidera (HEUR:Trojan.Win32.Generic) - o półtora miliona zainfekowanych komputerów.

Tuż za Kido uplasował się Sality.aa - wirus ten również spowodował globalną epidemię w zeszłym roku i znalazł się na czele naszych rankingów zawartych w corocznym raporcie. Należy jednak podkreślić, że Sality nie utrzymał tej pozycji długo i został wyparty na najniższe pozycje tabeli przez robaki sieciowe.

Oprócz Sality, w tabeli znajdują się kolejne dwa wirusy - pierwszym z nich jest klasyczny wirus plikowy, drugim - twór, który nie da się łatwo wpasować w naszą aktualną klasyfikację szkodliwego oprogramowania.

Pierwszym jest Virus.Win32.Virut.ce, który poza swoją główną szkodliwą funkcją (infekowanie plików wykonywalnych) infekuje również serwery sieciowe i rozprzestrzenia się za pośrednictwem sieci P2P. Epidemia spowodowana przez Viruta była jednym z głównych incydentów związanych ze szkodliwym oprogramowaniem w 2009 roku.

Drugim jest Virus.Win32.Induc.a - bardzo niestandardowy szkodnik: wykorzystuje on dwuetapowy mechanizm służący do tworzenia plików wykonywalnych zaimplementowanych w Delphi. Kod źródłowy aplikacji jest początkowo skompilowany w pośredni moduł .dcu, a następnie w plik wykonywalny Windowsa. Obecnie wirus ten nie posiada żadnej innej szkodliwej funkcji poza procedurą infekowania, stanowi jednak prezentację tego nowego potencjalnego wektora infekcji. W ramach wyjaśnienia, zidentyfikowanie Induca (zainfekowane pliki zaczęły pojawiać się pod koniec 2008 roku, jednak sam wirus został wykryty dopiero w sierpniu 2009 roku) trwało tak długo, ponieważ poza zdolnością samodzielnego rozprzestrzeniania się nie posiada żadnej szkodliwej funkcji.

Dzięki Urgent Detection System (UDS), który stanowi część Kaspersky Security Network, ponad 600 000 komputerów było chronionych w czasie rzeczywistym - nowe szkodliwe pliki są szybko wykrywane jako UDS:DangersouObject.Multi.Generic.

Należy również zwrócić uwagę na ogromną liczbę szkodliwych programów stworzonych przy użyciu FlyStudio (języka skryptowego). W naszym rankingu znajdują się trzy takie programy: Worm.Win32.FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo oraz Packed.Win32.Klone.bj. Zważywszy na to, że FlyStudio jest głównie wykorzystywany przez chińskich cyberprzestępców, fakt znalezienia się tych programów wśród dwudziestu najbardziej rozpowszechnionych szkodliwych programów potwierdza nasze wcześniejsze stwierdzenie, że Chiny są jednym z wiodących twórców szkodliwego oprogramowania.

Kolejnym wyraźnym trendem w świecie tworzenia wirusów w zeszłym roku było pakowanie i zaciemnianie szkodliwego oprogramowania przy pomocy specjalnie stworzonych programów do pakowania. Celem tego zabiegu jest utrudnienie wykrywania i analizy znanych szkodliwych programów. Kilka z takich pakerów znalazło się w naszych rankingach: Packed.Win32.Black.a, Packed.Win32.Black.d oraz Packed.Win32.Klone.bj.

Luki w zabezpieczeniach

Luki w zabezpieczeniach oprogramowania i systemów operacyjnych to jeden z najpoważniejszych problemów bezpieczeństwa; umożliwiają cyberprzestępcom obejście mechanizmów ochrony i atakowanie komputerów. Kido, który wywołał największą epidemię 2009 roku, przedostał się na komputery ofiar dzięki krytycznym lukom w zabezpieczeniach systemu operacyjnego Windows.

Podobnie jak rok temu, przeglądarka pozostaje najpopularniejszym wektorem ataków. Nawet jeżeli sama przeglądarka nie jest podatna na ataki, komputer wciąż może zostać zainfekowany, jeżeli luki znajdują się we wtyczkach do przeglądarki i aplikacjach.

W 2009 roku system analizy luk w zabezpieczeniach zidentyfikował 404 różne luki, a na komputerach użytkowników wykryto w sumie 461 828 538 podatnych na ataki plików i aplikacji.

Przeanalizowaliśmy 20 najczęściej występujących luk w zabezpieczeniach, które stanowiły 90% (415 608 137) wszystkich podatnych na ataki plików i aplikacji zidentyfikowanych na komputerach z zainstalowanym oprogramowaniem antywirusowym.

Na pięć najczęściej występujących luk w zabezpieczeniach dwie pierwsze zostały zidentyfikowane w 2009 roku, trzecia i czwarta pod względem rozpowszechnienia luka - w 2008 roku, natomiast zajmujące piąte miejsce Microsoft XML Core Services Multiple Vulnerabilities, zostały zidentyfikowane w 2007 roku.

Jeżeli chodzi o pliki i aplikacje podatne na ataki, jakie zostały wykryte na komputerach użytkowników, w 2009 roku najczęściej występujące luki w zabezpieczeniach dotyczyły QuickTime 7.x firmy Apple i stanowiły ponad 70% wszystkich luk. Podobnie było w 2008 roku, gdy QuickTime odpowiadał za ponad 80% wszystkich luk w zabezpieczeniach i zajmował pierwsze miejsce w naszych rankingach.

Poniższy wykres pokazuje firmy, których produkty zawierały najwięcej luk w zabezpieczeniach spośród tych wymienionych w tabeli powyżej.

W 2008 roku podobny wykres zwierał 7 firm, obecnie jednak ich liczba została zmniejszona do 4. Podobnie jak w zeszłym roku, na prowadzeniu znajduje się firma Microsoft, która zdobyła swoją pozycję dzięki 10 lukom. Nie ma w tym nic dziwnego, zważywszy na to że rozpatrujemy głównie platformę Windows. 9 na 10 luk w zabezpieczeniach zostało znalezionych w aplikacjach wchodzących w skład pakietu Microsoft Office, takich jak Word, Excel, Outlook, PowerPoint itd.

Jeżeli chodzi o produkty firmy Apple, cztery luki w zabezpieczeniach zostały zidentyfikowane w programie QuickTime.

Liczba ta sugeruje, że sytuacja jest taka sama jak w zeszłym roku: najbardziej podatnymi na ataki aplikacjami we współczesnych systemach Windows nadal są Microsoft Office i QuickTime.

Jednak Adobe nie znajduje się daleko w tyle pod względem luk w zabezpieczeniach. Wszystkie cztery zidentyfikowane luki dotyczyły jednego produktu: Adobe Flash Player. Dwie z tych luk zostały zidentyfikowane w zeszłym roku. Niestety sytuacja nie uległa poprawie od poprzedniego roku, a wręcz pogorszyła się.

Poniżej znajduje się lista najbardziej niebezpiecznych aplikacji dla 2009 roku:

1. QuickTime
2. Microsoft Office
3. Adobe Flash Player

Poniższy wykres pokazuje najbardziej rozpowszechnione luki w zabezpieczeniach według rodzaju:

 

Dwadzieścia najbardziej rozpowszechnionych luk w zabezpieczeniach należy do kategorii "zdalne", tj. cyberprzestępcy mogą wykorzystać je nawet bez posiadania bezpośredniego dostępu lokalnego do komputera ofiar.

Wykorzystanie jakiejkolwiek z tych luk może mieć wiele różnych konsekwencji dla komputera. Najgroźniejszą z nich jest "dostęp do systemu", ponieważ umożliwia ona cyberprzestępcy pełny dostęp do systemu. 19 z 20 luk potencjalnie umożliwiają "dostęp do systemu", a 5 może spowodować utratę poufnych danych.

Źródło: Kaspersky Lab