Kaspersky Security Bulletin 2009. Statystyki
- Kaspersky Security Bulletin 2009. Ewolucja szkodliwego oprogramowania
- Kaspersky Security Bulletin 2009. Statystyki
- Kaspersky Security Bulletin 2009: Ewolucja spamu
Statystyki wykorzystane w tym raporcie zosta艂y wygenerowane przez Kaspersky Security Network (KSN), innowacyjn膮 technologi臋 zaimplementowan膮 w produktach firmy Kaspersky Lab przeznaczonych dla u偶ytkownik贸w indywidualnych. Obecnie system ten jest dostosowywany do implementacji w produktach korporacyjnych firmy Kaspersky Lab.
KSN pozwala naszym analitykom wykrywa膰 w czasie rzeczywistym nowe szkodliwe programy, dla kt贸rych nie istnieje jeszcze metody wykrywanie oparte na sygnaturach lub heurystyczne. KNS potrafi r贸wnie偶 zidentyfikowa膰 藕r贸d艂a, z kt贸rych szkodliwe oprogramowanie jest rozprzestrzeniane w Internecie, oraz uniemo偶liwi膰 u偶ytkownikom uzyskanie dost臋pu do tych 藕r贸de艂.
KSN zwi臋ksza pr臋dko艣膰 reakcji na nowe zagro偶enia (obecnie mo偶emy zablokowa膰 uruchomienie nowych szkodliwych program贸w na komputerach wykorzystuj膮cych KNS ju偶 w przeci膮gu dziesi臋tnych sekundy po zidentyfikowaniu programu jako szkodliwy) bez konieczno艣ci aktualizowania antywirusowych baz danych w tradycyjny spos贸b.
Szkodliwe programy w Internecie (ataki za po艣rednictwem Sieci)
Problem Gumblara zosta艂 do艣膰 szczeg贸艂owo opisany w innej sekcji tego raportu. W rzeczywisto艣ci, epidemia Gumblara to zaledwie wierzcho艂ek g贸ry lodowej, jak膮 stanowi膮 infekcje za po艣rednictwem sieci; w ci膮gu ostatnich lat infekowanie poprzez Sie膰 sta艂o si臋 g艂贸wn膮 metod膮 infekowania komputer贸w.
Cyberprzest臋pcy szybko wykorzystali nadarzaj膮ce si臋 mo偶liwo艣ci i stworzyli w pe艂ni funkcjonalne, samoczynnie rozrastaj膮ce si臋 botnety przy pomocy zainfekowanych stron internetowych. R贸wnie skwapliwie skorzystali z okazji, jakie oferuj膮 portale spo艂eczno艣ciowe oraz wysoki stopie艅 zaufania w艣r贸d u偶ytkownik贸w portali spo艂eczno艣ciowych. Prawdopodobie艅stwo, 偶e u偶ytkownik portalu spo艂eczno艣ciowego uruchomi plik lub kliknie odsy艂acz przes艂any mu przez "przyjaciela" jest 艣rednio 10 razy wi臋ksze ni偶 gdyby plik lub odsy艂acz "przyszed艂" w e-mailu. Cyberprzest臋pcy aktywnie wykorzystuj膮 takie zaufanie, aby rozprzestrzenia膰 szkodliwe oprogramowanie i spam.
W przesz艂o艣ci wielokrotnie pisali艣my o atakach drive-by download - technice wykorzystywanej do ukradkowego infekowania komputer贸w u偶ytkownik贸w podczas surfowania przez nich po Internecie. W 2009 roku liczba takich atak贸w zwi臋kszy艂a si臋 trzykrotnie - przy czym ca艂kowita liczba takich atak贸w wynosi dziesi膮tki milion贸w.
KSN by艂 wykorzystywany do okre艣lania liczby atak贸w i analizowania pr贸b infekcji komputer贸w z KSN.
W 2009 roku zidentyfikowali艣my 73 619 767 atak贸w na u偶ytkownik贸w KSN. Dla por贸wnania, w 2008 roku by艂o ich 23 680 646. Opr贸cz pr贸b pobrania szkodliwych lub potencjalnie niechcianych program贸w na komputery u偶ytkownik贸w ca艂kowita liczba incydent贸w obejmuje r贸wnie偶 14 899 238 pr贸b uzyskania dost臋pu do zainfekowanych stron, kt贸re zosta艂y zablokowane przez nasz produkt antywirusowy.
20 najpopularniejszych szkodliwych program贸w w Internecie w 2009 roku
Poni偶ej znajduje si臋 lista dwudziestu szkodliwych program贸w najcz臋艣ciej wykorzystywanych w atakach internetowych. Ka偶dy program zosta艂 zidentyfikowany ponad 170 000 razy, a wszystkie razem bra艂y udzia艂 w ponad 37% (27 268 356) wszystkich zidentyfikowanych incydent贸w.
Nazwa | Liczba atak贸w | % atak贸w | |
1 | HEUR:Trojan.Script.Iframer | 9 858 304 | 13,39 |
2 | Trojan-Downloader.JS.Gumblar.x | 2 940 448 | 3,99 |
3 | not-a-virus:AdWare.Win32.Boran.z | 2 875 110 | 3,91 |
4 | HEUR:Exploit.Script.Generic | 2 571 443 | 3,49 |
5 | HEUR:Trojan-Downloader.Script.Generic | 1 512 262 | 2,05 |
6 | HEUR:Trojan.Win32.Generic | 1 396 496 | 1,9 |
7 | Worm.VBS.Autorun.hf | 1131293 | 1,54 |
8 | Trojan-Downloader.HTML.IFrame.sz | 935 231 | 1,27 |
9 | HEUR:Exploit.Script.Generic | 752 690 | 1,02 |
10 | Trojan.JS.Redirector.l | 705 627 | 0,96 |
11 | Packed.JS.Agent.bd | 546 184 | 0,74 |
12 | Trojan-Clicker.HTML.Agent.aq | 379 872 | 0,52 |
13 | HEUR:Trojan-Downloader.Win32.Generic | 322 166 | 0,44 |
14 | Trojan.JS.Agent.aat | 271 448 | 0,37 |
15 | Trojan-Downloader.Win32.Small.aacq | 265 172 | 0,36 |
16 | Trojan-Clicker.HTML.IFrame.ani | 224 657 | 0,31 |
17 | Trojan-Clicker.JS.Iframe.be | 216 738 | 0,3 |
18 | Trojan-Downloader.JS.Zapchast.m | 193 130 | 0,27 |
19 | Trojan.JS.Iframe.ez | 175 401 | 0,24 |
20 | not-a-virus:AdWare.Win32.GamezTar.a | 170 085 | 0,23 |
W sumie: | 27 443 757 | 37,3 |
Liderem jest heurystyczne wykrywanie s艂u偶膮ce do identyfikowania zainfekowanych odsy艂aczy wstrzykni臋tych przez haker贸w i szkodliwe oprogramowanie do kodu zainfekowanych stron. Odsy艂acze te umo偶liwiaj膮 przegl膮darce ukradkowe kontaktowanie si臋 z innymi stronami, kt贸re zwykle zawieraj膮 zestawy exploit贸w wykorzystuj膮cych luki w zabezpieczeniach przegl膮darek lub aplikacji.
Drugie miejsce zajmuje Gumblar; nie jest to 偶adn膮 niespodziank膮 bior膮c pod uwag臋 skal臋 epidemii Gumblara. Produkty firmy Kaspersky Lab wykry艂y, 偶e maszyny naszych klient贸w pr贸bowa艂y skontaktowa膰 si臋 z serwerami botnetu Gumblara prawie 3 000 000 razy, co w pewien spos贸b obrazuje skal臋 problemu.
Na trzecim miejscu znajduje si臋 adware w postaci programu Boran.z. Adware, kt贸ry wraz ze spamem i tre艣ciami pornograficznymi, dawno temu sta艂 si臋 jednym z g艂贸wnych motor贸w nap臋dowych cyberprzest臋pczo艣ci.
Prawie wszystkie pozosta艂e programy z listy w ten czy inny spos贸b s膮 zwi膮zane z r贸偶nymi modyfikacjami exploit贸w luk w zabezpieczeniach.
20 pa艅stw, z kt贸rych pochodzi艂o najwi臋cej szkodliwego oprogramowania w 2009 roku
73 619 767 atak贸w przeprowadzonych za po艣rednictwem Internetu w 2009 roku zosta艂o zapocz膮tkowanych z zasob贸w znajduj膮cych si臋 w 174 pa艅stwach na ca艂ym 艣wiecie. Ponad 97% tych atak贸w pochodzi艂o z dwudziestu pa艅stw wyszczeg贸lnionych poni偶ej.
Kraj | Odsetek wszystkich atak贸w | |
1 | Chiny (Tajlandia) | 52,7% |
2 | USA | 19.02% |
3 | Holandia | 5,86% |
4 | Niemcy | 5,07% |
5 | Rosja | 2,58% |
6 | Wielka Brytania | 2,54% |
7 | Kanada | 2,22% |
8 | Ukraina | 2,17% |
9 | 艁otwa | 1,53% |
10 | Francja | 0,6% |
11 | Hiszpania | 0,49% |
12 | Korea P贸艂nocna | 0,48% |
13 | Brazylia | 0,44% |
14 | Cypr | 0,34% |
15 | Szwecja | 0,32% |
16 | Tajwan | 0,27% |
17 | Norwegia | 0,23% |
18 | Izrael | 0,21% |
19 | Luksemburg | 0,16% |
20 | Estonia | 0,16% |
W sumie: | 97,38% |
Pierwsza pi膮tka jest dok艂adnie taka sama jak w 2008 roku.
Mimo 偶e Chiny pozostaj膮 liderem, liczba atak贸w przeprowadzonych z chi艅skich zasob贸w spad艂a z 79% wszystkich atak贸w do nieco poni偶ej 53%. Na drugim miejscu pozostaj膮 Stany Zjednoczone, jednak liczba zainfekowanych serwer贸w w Stanach Zjednoczonych znacznie wzros艂a: liczba atak贸w zwi臋kszy艂a si臋 z 6,8% atak贸w do 19%. Za liderami uplasowa艂a si臋 Rosja, Niemcy i Holandia. Odsetek atak贸w dla tych pa艅stw zwi臋kszy艂 si臋 nieznacznie.
Obecnie rejestracji nazwy domeny .cn nale偶y dokona膰 pisemnie. Ponadto rejestracja zostanie dokonana po tym, jak osoba chc膮ca zarejestrowa膰 stron臋 dostarczy - osobi艣cie - dokument to偶samo艣ci oraz licencj臋 komercyjn膮. Kilka chi艅skich podmiot贸w rejestruj膮cych domeny zosta艂o ju偶 zamkni臋tych z powodu nieprzestrzegania tych wymog贸w.
Restrykcje te zosta艂y wprowadzone pod koniec 2009 roku i niemal od razu spowodowa艂y spadek liczby odsy艂aczy do spamu prowadz膮cych do chi艅skich domen. Miejmy nadziej臋, 偶e trend ten utrzyma si臋 r贸wnie偶 w 2010 roku, a inne metody wykorzystywane do infekowania komputer贸w i r贸偶nego rodzaju oszustw b臋d膮 mia艂y tak samo zauwa偶alny efekt.
20 najbardziej atakowanych pa艅stw w 2009 roku
Celem ponad 86% wszystkich 73 619 767 atak贸w by艂y maszyny u偶ytkownik贸w w dwudziestu krajach wymienionych poni偶ej:
Pa艅stwo | Odsetek wszystkich atak贸w | |
1 | Chiny | 46,75% |
2 | USA | 6,64% |
3 | Rosja | 5,83% |
4 | Indie | 4,54% |
5 | Niemcy | 2,53% |
6 | Wielka Brytania | 2,25% |
7 | Arabia Saudyjska | 1,81% |
8 | Brazylia | 1,78% |
9 | W艂ochy | 1,74% |
10 | Wietnam | 1,64% |
11 | Meksyk | 1,58% |
12 | Francja | 1,49% |
13 | Egipt | 1,37% |
14 | Turcja | 1,23% |
15 | Hiszpania | 1,2% |
16 | Ukraina | 0,91% |
17 | Kanada | 0,81% |
18 | Malezja | 0,8% |
19 | Tajlandia | 0,76% |
20 | Kazahstan | 0,71% |
W sumie: | 86,37% |
Zestawienie znacz膮co zmieni艂o si臋 od zesz艂ego roku. Pod wzgl臋dem liczby potencjalnych ofiar nadal prowadz膮 Chiny, jednak liczba atak贸w spad艂a o 7%. Inne pa艅stwa, kt贸re w zesz艂ym roku znajdowa艂y si臋 blisko pierwszego miejsca, takie jak Egipt, Turcja i Wietnam, ciesz膮 si臋 teraz mniejszym zainteresowaniem cyberprzest臋pc贸w. Jednak liczba atak贸w na u偶ytkownik贸w mieszkaj膮cych w Stanach Zjednoczonych, Niemczech, Wielka Brytania i Rosji znacznie wzros艂a.
Wydaje si臋, 偶e zmiany te s膮 kolejn膮 konsekwencj膮 globalnego kryzysu gospodarczego. W Internecie znajduje si臋 teraz mniej pieni臋dzy, a pocz膮tkowy wzrost zainteresowania serwisami bankowo艣ci online, jaki mia艂 miejsce w wielu pa艅stwach, jest teraz wolniejszy. Cyberprzest臋pcy koncentruj膮 swoje wysi艂ki na "najbogatszych" rynkach, tj. tych oferuj膮cych najwi臋cej potencjalnych zysk贸w.
Pewn膮 rol臋 odegrali r贸wnie偶 chi艅scy cyberprzest臋pcy, poniewa偶 przeprowadzaj膮 teraz mniej atak贸w na wsp贸艂obywateli. W innym artykule pisali艣my o spadku liczby trojan贸w atakuj膮cych gry. By膰 mo偶e mia艂 on wp艂yw na ataki przeprowadzane za po艣rednictwem Sieci.
Ataki sieciowe
Istotny elementem wsp贸艂czesnego rozwi膮zania bezpiecze艅stwa jest zapora sieciowa. Zapory sieciowe blokuj膮 szeroki wachlarz atak贸w na komputery potencjalnych ofiar przeprowadzanych z zewn膮trz - atak贸w, kt贸re nie s膮 przeprowadzane za po艣rednictwem przegl膮darki - jak r贸wnie偶 zwalcza pr贸by kradzie偶y poufnych danych.
Kaspersky Internet Security zawiera zapor臋 sieciow膮 z systemem Intrusion Detection System (IDS), kt贸ra analizuje przychodz膮ce pakiety. Takie pakiety cz臋sto obejmuj膮 exploity, kt贸re mog膮 zainfekowa膰 nieza艂atany system lub umo偶liwi膰 cyberprzest臋pcy pe艂ny dost臋p do systemu poprzez wykorzystanie luk w zabezpieczeniach us艂ug sieciowych systemu operacyjnego.
W 2009 roku system IDS w oprogramowaniu Kaspersky Internet Security 2010 odpar艂 219 899 678 atak贸w sieciowych. W 2008 roku liczba takich atak贸w wynios艂a nieco ponad 30 milion贸w.
Nazwa | Liczba atak贸w | % | |
1 | DoS.Generic.SYNFlood | 156 550 484 | 71,192 |
2 | Intrusion.Win.NETAPI.buffer-overflow.exploit | 32 605 798 | 14,828 |
3 | Intrusion.Win.MSSQL.worm.Helkern | 23 263 431 | 10,579 |
4 | Intrusion.Win.DCOM.exploit | 3 245 943 | 1,476 |
5 | Scan.Generic.UDP | 1 799 685 | 0,818 |
6 | Intrusion.Win.LSASS.exploit | 812 775 | 0,37 |
7 | Intrusion.Generic.TCP.Flags.Bad.Combine.attack | 604 621 | 0,275 |
8 | Intrusion.Win.LSASS.ASN1-kill-bill.exploit | 555 107 | 0,252 |
9 | DoS.Generic.ICMPFlood | 131 925 | 0,06 |
10 | Scan.Generic.TCP | 101 737 | 0,046 |
11 | Intrusion.Win.HTTPD.GET.buffer-overflow.exploit | 86 511 | 0,039 |
12 | Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit | 24 375 | 0,011 |
13 | Intrusion.Win.SMB.CVE-2009-3103.exploit | 19 378 | 0,009 |
14 | Intrusion.Win.WINS.heap-overflow.exploit | 15 200 | 0,007 |
15 | Intrusion.Generic.OmniWeb.Alert.format-string.exploit | 14 291 | 0,006 |
16 | Intrusion.Win.Messenger.exploit | 10 296 | 0,005 |
17 | DoS.Win.IGMP.Host-Membership-Query.exploit | 8 976 | 0,004 |
18 | Intrusion.Win.PnP.exploit | 8 783 | 0,004 |
19 | Intrusion.Win.EasyAddressWebServer.format-string.exploit | 6 561 | 0,003 |
20 | DoS.Generic.Land | 3 505 | 0,002 |
Total: | 99,986 |
Na pierwszym miejscu, podobnie jak w zesz艂ym roku, znajduje si臋 Dos.Generic.SYNFlood; ten szeroko rozpowszechniony i prosty atak, je偶eli powiedzie si臋, powoduje, 偶e zaatakowany komputer przestaje dzia艂a膰. Jednak wi臋kszo艣膰 dzisiejszych rozwi膮za艅 bezpiecze艅stwa skutecznie zwalcza tego typu ataki.
NETAPI.buffer-overflow.exploit, kt贸ry zajmuje drug膮 pozycj臋, jest interesuj膮cym zagro偶eniem, kt贸re stanowi powa偶ne ryzyko; wykorzystuje luk臋 MS08-067. T臋 sam膮 luk臋 wykorzystuje nies艂awny robak Kido (Conficker). Zosta艂 zidentyfikowany pod koniec 2008 roku, a w zesz艂ym roku zaj膮艂 czwarte miejsce w naszym rankingu. Kido jest bez w膮tpienia odpowiedzialny za wi臋kszo艣膰 z 32 milion贸w atak贸w, kt贸rych celem jest wykorzystanie luki MS08-067, wykrytych i zablokowanych w 2009 roku.
Helkern (Slammer), mimo 偶e istnieje od 7 lat, nadal pozwala odczu膰 swoj膮 obecno艣膰. Robak ten jest odpowiedzialny za 23 miliony pr贸b infekcji. Exploit RPC-DCOM (MS03-026), kt贸ry uplasowa艂 si臋 w rankingu na czwartym miejscu, charakteryzuje si臋 podobn膮 d艂ugowieczno艣ci膮; w艂a艣nie t膮 luk臋 wykorzysta艂 robak Lovesan, gdy w sierpniu 2003 roku spowodowa艂 globaln膮 epidemi臋.
Infekcje lokalne
Dane wskazuj膮ce liczb臋 lokalnych infekcji na zaatakowanych komputerach s膮 niezwykle istotne. M贸wi膮 nam, ile zagro偶e艅 przenikn臋艂o do komputer贸w ofiar poprzez wektory inne ni偶 Sie膰, poczta elektroniczna czy porty sieciowe.
Produkty firmy Kaspersky Lab skutecznie wykry艂y 107 370 258 incydent贸w z udzia艂em wirus贸w, w tym 703 700 szkodliwych i potencjalnie niechcianych program贸w, na komputerach nale偶膮cych do sieci KSN. 100 najbardziej rozpowszechnionych z tych program贸w spowodowa艂o 28 579 901 z tych incydent贸w, co stanowi 27%.
Poni偶ej znajduje si臋 lista dwudziestu najbardziej rozpowszechnionych zagro偶e艅:
Obiekt | Liczba komputer贸w, na kt贸rych zosta艂 wykryty obiekt | |
1 | HEUR:Trojan.Win32.Generic | 3 050 753 |
2 | Net-Worm.Win32.Kido.ih | 2 924 062 |
3 | Virus.Win32.Sality.aa | 1 407 976 |
4 | Net-Worm.Win32.Kido.ir | 1 176 726 |
5 | UDS:DangerousObject.Multi.Generic | 620 716 |
6 | Packed.Win32.Black.d | 527 718 |
7 | Net-Worm.Win32.Kido.iq | 518 120 |
8 | HEUR:Worm.Win32.Generic | 516 467 |
9 | Virus.Win32.Virut.ce | 488 852 |
10 | not-a-virus:AdWare.Win32.Boran.z | 466 106 |
11 | Virus.Win32.Induc.a | 455 798 |
12 | HEUR:Trojan-Downloader.Win32.Generic | 436 229 |
13 | HEUR:Trojan.Win32.StartPage | 412 245 |
14 | MultiPacked.Multi.Generic | 377 741 |
15 | Trojan-Downloader.Win32.VB.eql | 362 685 |
16 | Worm.Win32.FlyStudio.cu | 361 056 |
17 | Trojan-Dropper.Win32.Flystud.yo | 356 950 |
18 | Packed.Win32.Black.a | 333 705 |
19 | Packed.Win32.Klone.bj | 320 665 |
20 | Trojan.Win32.Chifrax.a | 296 947 |
Z pomoc膮 metod heurystycznych zidentyfikowano, a nast臋pnie zablokowano, ponad 3 miliony pr贸b infekcji. Wi臋kszo艣膰 z nich znalaz艂a si臋 w naszych rankingach: HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic and HEUR:Trojan.Win32.StartPage.
Jak ju偶 wspomnieli艣my wcze艣niej, najwi臋ksza epidemia roku zosta艂a wywo艂ana przez robaka Kido (Conficker), kt贸ry zainfekowa艂 miliony komputer贸w na ca艂ym 艣wiecie. W rankingu znajduj膮 si臋 trzy modyfikacje tego szkodnika: Kido.ir, Kido.ih, and Kido.iq. Razem wzi臋te, te trzy szkodniki pobijaj膮 lidera (HEUR:Trojan.Win32.Generic) - o p贸艂tora miliona zainfekowanych komputer贸w.
Tu偶 za Kido uplasowa艂 si臋 Sality.aa - wirus ten r贸wnie偶 spowodowa艂 globaln膮 epidemi臋 w zesz艂ym roku i znalaz艂 si臋 na czele naszych ranking贸w zawartych w corocznym raporcie. Nale偶y jednak podkre艣li膰, 偶e Sality nie utrzyma艂 tej pozycji d艂ugo i zosta艂 wyparty na najni偶sze pozycje tabeli przez robaki sieciowe.
Opr贸cz Sality, w tabeli znajduj膮 si臋 kolejne dwa wirusy - pierwszym z nich jest klasyczny wirus plikowy, drugim - tw贸r, kt贸ry nie da si臋 艂atwo wpasowa膰 w nasz膮 aktualn膮 klasyfikacj臋 szkodliwego oprogramowania.
Pierwszym jest Virus.Win32.Virut.ce, kt贸ry poza swoj膮 g艂贸wn膮 szkodliw膮 funkcj膮 (infekowanie plik贸w wykonywalnych) infekuje r贸wnie偶 serwery sieciowe i rozprzestrzenia si臋 za po艣rednictwem sieci P2P. Epidemia spowodowana przez Viruta by艂a jednym z g艂贸wnych incydent贸w zwi膮zanych ze szkodliwym oprogramowaniem w 2009 roku.
Drugim jest Virus.Win32.Induc.a - bardzo niestandardowy szkodnik: wykorzystuje on dwuetapowy mechanizm s艂u偶膮cy do tworzenia plik贸w wykonywalnych zaimplementowanych w Delphi. Kod 藕r贸d艂owy aplikacji jest pocz膮tkowo skompilowany w po艣redni modu艂 .dcu, a nast臋pnie w plik wykonywalny Windowsa. Obecnie wirus ten nie posiada 偶adnej innej szkodliwej funkcji poza procedur膮 infekowania, stanowi jednak prezentacj臋 tego nowego potencjalnego wektora infekcji. W ramach wyja艣nienia, zidentyfikowanie Induca (zainfekowane pliki zacz臋艂y pojawia膰 si臋 pod koniec 2008 roku, jednak sam wirus zosta艂 wykryty dopiero w sierpniu 2009 roku) trwa艂o tak d艂ugo, poniewa偶 poza zdolno艣ci膮 samodzielnego rozprzestrzeniania si臋 nie posiada 偶adnej szkodliwej funkcji.
Dzi臋ki Urgent Detection System (UDS), kt贸ry stanowi cz臋艣膰 Kaspersky Security Network, ponad 600 000 komputer贸w by艂o chronionych w czasie rzeczywistym - nowe szkodliwe pliki s膮 szybko wykrywane jako UDS:DangersouObject.Multi.Generic.
Nale偶y r贸wnie偶 zwr贸ci膰 uwag臋 na ogromn膮 liczb臋 szkodliwych program贸w stworzonych przy u偶yciu FlyStudio (j臋zyka skryptowego). W naszym rankingu znajduj膮 si臋 trzy takie programy: Worm.Win32.FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo oraz Packed.Win32.Klone.bj. Zwa偶ywszy na to, 偶e FlyStudio jest g艂贸wnie wykorzystywany przez chi艅skich cyberprzest臋pc贸w, fakt znalezienia si臋 tych program贸w w艣r贸d dwudziestu najbardziej rozpowszechnionych szkodliwych program贸w potwierdza nasze wcze艣niejsze stwierdzenie, 偶e Chiny s膮 jednym z wiod膮cych tw贸rc贸w szkodliwego oprogramowania.
Kolejnym wyra藕nym trendem w 艣wiecie tworzenia wirus贸w w zesz艂ym roku by艂o pakowanie i zaciemnianie szkodliwego oprogramowania przy pomocy specjalnie stworzonych program贸w do pakowania. Celem tego zabiegu jest utrudnienie wykrywania i analizy znanych szkodliwych program贸w. Kilka z takich paker贸w znalaz艂o si臋 w naszych rankingach: Packed.Win32.Black.a, Packed.Win32.Black.d oraz Packed.Win32.Klone.bj.
Luki w zabezpieczeniach
Luki w zabezpieczeniach oprogramowania i system贸w operacyjnych to jeden z najpowa偶niejszych problem贸w bezpiecze艅stwa; umo偶liwiaj膮 cyberprzest臋pcom obej艣cie mechanizm贸w ochrony i atakowanie komputer贸w. Kido, kt贸ry wywo艂a艂 najwi臋ksz膮 epidemi臋 2009 roku, przedosta艂 si臋 na komputery ofiar dzi臋ki krytycznym lukom w zabezpieczeniach systemu operacyjnego Windows.
Podobnie jak rok temu, przegl膮darka pozostaje najpopularniejszym wektorem atak贸w. Nawet je偶eli sama przegl膮darka nie jest podatna na ataki, komputer wci膮偶 mo偶e zosta膰 zainfekowany, je偶eli luki znajduj膮 si臋 we wtyczkach do przegl膮darki i aplikacjach.
W 2009 roku system analizy luk w zabezpieczeniach zidentyfikowa艂 404 r贸偶ne luki, a na komputerach u偶ytkownik贸w wykryto w sumie 461 828 538 podatnych na ataki plik贸w i aplikacji.
Przeanalizowali艣my 20 najcz臋艣ciej wyst臋puj膮cych luk w zabezpieczeniach, kt贸re stanowi艂y 90% (415 608 137) wszystkich podatnych na ataki plik贸w i aplikacji zidentyfikowanych na komputerach z zainstalowanym oprogramowaniem antywirusowym.
Identyfikator | Luka | Liczba podatnych plik贸w i aplikacji | % wszystkich podatnych plik贸w i aplikacji | Klasyfikacja | Dzia艂anie | Data wykrycia | |
1 | 33632 | Apple QuickTime Multiple Vulnerabilities | 165 658 505 | 35,87 | Wysoce krytyczna | Dost臋p do systemu | 22.01.2009 |
2 | 35091 | Apple QuickTime Multiple Vulnerabilities | 68 645 338 | 14.86 | Wysoce krytyczna | Dost臋p do systemu | 22.05.2009 |
3 | 31821 | Apple QuickTime Multiple Vulnerabilities | 58 141 113 | 12,59 | Wysoce krytyczna | Dost臋p do systemu | 10.09.2008 |
4 | 29293 | Apple QuickTime Multiple Vulnerabilities | 38 368 954 | 8,31 | Wysoce krytyczna | Dost臋p do systemu | 10.06.2008 |
5 | 23655 | Microsoft XML Core Services Multiple Vulnerabilities | 8 906 277 | 1,93 | Wysoce krytyczna | Cross Site Scripting, DoS, Dost臋p do systemu | 09.01.2007 |
6 | 34012 | Adobe Flash Player Multiple Vulnerabilities | 7 728 963 | 1,67 | Wysoce krytyczna | Obej艣cie zabezpiecze艅, Ujawnienie poufnych informacji, Zwi臋kszenie uprawnie艅, Dost臋p do systemu | 25.02.2009 |
7 | 34451 | Sun Java JDK / JRE Multiple Vulnerabilities | 6 783 414 | 1,47 | Wysoce krytyczna | Obej艣cie zabezpiecze艅, DoS, Dost臋p do systemu | 26.03.2009 |
8 | 29320 | Microsoft Outlook "mailto:" URI Handling Vulnerability | 6 336 962 | 1,37 | Wysoce krytyczna | Dost臋p do systemu | 11.03.2008 |
9 | 35364 | Microsoft Excel Multiple Vulnerabilities | 6 290 278 | 1,36 | Wysoce krytyczna | Dost臋p do systemu | 09.06.2009 |
10 | 35377 | Microsoft Office Word Two Vulnerabilities | 6 088 207 | 1,32 | Wysoce krytyczna | Dost臋p do systemu | 09.06.2009 |
11 | 34572 | Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability | 5 704 617 | 1,24 | Ekstremalnie krytyczna | Dost臋p do systemu | 03.04.2009 |
12 | 31744 | Microsoft Office OneNote URI Handling Vulnerability | 5 652 570 | 1,22 | Wysoce krytyczna | Dost臋p do systemu | 09.09.2008 |
13 | 32270 | Adobe Flash Player Multiple Security Issues and Vulnerabilities | 5 078 221 | 1,1 | Umiarkowanie krytyczna | Dost臋p do systemu, Cross Site Scripting, Manipulacja danymi, Ujawnianie poufnych informacji | 16.10.2008 |
14 | 35948 | Adobe Flash Player Multiple Vulnerabilities | 5 073 297 | 1,1 | Wysoce krytyczna | Obej艣cie bezpiecze艅stwa, Ujawnienie poufnych informacji, Dost臋p do systemu | 23.07.2009 |
15 | 30285 | Microsoft Office Word Multiple Vulnerabilities | 4 984 582 | 1,08 | Wysoce krytyczna | Dost臋p do systemu | 09.12.2008 |
16 | 31453 | Microsoft Office PowerPoint Multiple Vulnerabilities | 4 203 122 | 0,91 | Wysoce krytyczna | Dost臋p do systemu | 12.08.2008 |
17 | 30150 | Microsoft Publisher Object Handler Validation Vulnerability | 3 965 019 | 0,86 | Wysoce krytyczna | Dost臋p do systemu | 13.05.2008 |
18 | 32991 | Sun Java JDK / JRE Multiple Vulnerabilities | 2 980 650 | 0,65 | Wysoce krytyczna | Obej艣cie zabezpiecze艅, Ujawnienie systemowych informacji, Ujawnienie poufnych informacji, DoS, Dost臋p do systemu | 04.12.2008 |
19 | 31593 | Microsoft Excel Multiple Vulnerabilities | 2 604 816 | 0,56 | Wysoce krytyczna | Dost臋p do systemu | 09.12.2008 |
20 | 26027 | Adobe Flash Player Multiple Vulnerabilities | 2 413 232 | 0,52 | Wysoce krytyczna | Ujawnienie poufnych informacji, Dost臋p do systemu | 11.07.2007 |
艁膮cznie | 415 608 137 | 89,99 |
Na pi臋膰 najcz臋艣ciej wyst臋puj膮cych luk w zabezpieczeniach dwie pierwsze zosta艂y zidentyfikowane w 2009 roku, trzecia i czwarta pod wzgl臋dem rozpowszechnienia luka - w 2008 roku, natomiast zajmuj膮ce pi膮te miejsce Microsoft XML Core Services Multiple Vulnerabilities, zosta艂y zidentyfikowane w 2007 roku.
Je偶eli chodzi o pliki i aplikacje podatne na ataki, jakie zosta艂y wykryte na komputerach u偶ytkownik贸w, w 2009 roku najcz臋艣ciej wyst臋puj膮ce luki w zabezpieczeniach dotyczy艂y QuickTime 7.x firmy Apple i stanowi艂y ponad 70% wszystkich luk. Podobnie by艂o w 2008 roku, gdy QuickTime odpowiada艂 za ponad 80% wszystkich luk w zabezpieczeniach i zajmowa艂 pierwsze miejsce w naszych rankingach.
Poni偶szy wykres pokazuje firmy, kt贸rych produkty zawiera艂y najwi臋cej luk w zabezpieczeniach spo艣r贸d tych wymienionych w tabeli powy偶ej.
W 2008 roku podobny wykres zwiera艂 7 firm, obecnie jednak ich liczba zosta艂a zmniejszona do 4. Podobnie jak w zesz艂ym roku, na prowadzeniu znajduje si臋 firma Microsoft, kt贸ra zdoby艂a swoj膮 pozycj臋 dzi臋ki 10 lukom. Nie ma w tym nic dziwnego, zwa偶ywszy na to 偶e rozpatrujemy g艂贸wnie platform臋 Windows. 9 na 10 luk w zabezpieczeniach zosta艂o znalezionych w aplikacjach wchodz膮cych w sk艂ad pakietu Microsoft Office, takich jak Word, Excel, Outlook, PowerPoint itd.
Je偶eli chodzi o produkty firmy Apple, cztery luki w zabezpieczeniach zosta艂y zidentyfikowane w programie QuickTime.
Liczba ta sugeruje, 偶e sytuacja jest taka sama jak w zesz艂ym roku: najbardziej podatnymi na ataki aplikacjami we wsp贸艂czesnych systemach Windows nadal s膮 Microsoft Office i QuickTime.
Jednak Adobe nie znajduje si臋 daleko w tyle pod wzgl臋dem luk w zabezpieczeniach. Wszystkie cztery zidentyfikowane luki dotyczy艂y jednego produktu: Adobe Flash Player. Dwie z tych luk zosta艂y zidentyfikowane w zesz艂ym roku. Niestety sytuacja nie uleg艂a poprawie od poprzedniego roku, a wr臋cz pogorszy艂a si臋.
Poni偶ej znajduje si臋 lista najbardziej niebezpiecznych aplikacji dla 2009 roku:
- QuickTime
- Microsoft Office
- Adobe Flash Player
Poni偶szy wykres pokazuje najbardziej rozpowszechnione luki w zabezpieczeniach wed艂ug rodzaju:
Dwadzie艣cia najbardziej rozpowszechnionych luk w zabezpieczeniach nale偶y do kategorii "zdalne", tj. cyberprzest臋pcy mog膮 wykorzysta膰 je nawet bez posiadania bezpo艣redniego dost臋pu lokalnego do komputera ofiar.
Wykorzystanie jakiejkolwiek z tych luk mo偶e mie膰 wiele r贸偶nych konsekwencji dla komputera. Najgro藕niejsz膮 z nich jest "dost臋p do systemu", poniewa偶 umo偶liwia ona cyberprzest臋pcy pe艂ny dost臋p do systemu. 19 z 20 luk potencjalnie umo偶liwiaj膮 "dost臋p do systemu", a 5 mo偶e spowodowa膰 utrat臋 poufnych danych.
殴r贸d艂o:![]() |