Ewolucja zagro偶e艅 IT: III kwarta艂 2012 r.

Jurij Namiestnikow
Ekspert z Kaspersky Lab

Spis tre艣ci

III kwarta艂 w liczbach

  • Wed艂ug danych KSN, w trzecim kwartale 2012 r. produkty firmy Kaspersky Lab wykry艂y i zneutralizowa艂y 1 347 231 728 zagro偶e艅.
  • 28% wszystkich zaatakowanych urz膮dze艅 mobilnych dzia艂a艂o pod kontrol膮 systemu Android w wersji 2.3.6, kt贸ry zosta艂 wprowadzony do sprzeda偶y we wrze艣niu 2011 r.
  • 56% exploit贸w zablokowanych w trzecim kwartale wykorzystuje luki w Javie.
  • 艁膮cznie wykryto 91,9 milion贸w adres贸w URL rozprzestrzeniaj膮cych szkodliwy kod, co stanowi 3% wzrost w por贸wnaniu z II kwarta艂em 2012.

Przegl膮d

Mobilne szkodliwe oprogramowanie i systemy operacyjne

W trzecim kwartale 2012 r. do naszej kolekcji szkodliwego oprogramowania dodanych zosta艂o ponad 9 000 nowych szkodliwych plik贸w .dex. Jest to o 5 000 plik贸w mniej ni偶 w II kwartale, ale o 3 500 wi臋cej ni偶 w pierwszym kwartale 2012 r.

Wynika to z tego, 偶e w drugim kwartale do naszej kolekcji zosta艂y dodane pliki, kt贸re od jakiego艣 czasu by艂y wykrywane heurystycznie (nale偶y zauwa偶y膰, 偶e jedna definicja heurystyczna jest wykorzystywana do wykrywania du偶ej liczby r贸偶nych program贸w). W trzecim kwartale sytuacja wygl膮da艂a standardowo, a liczba nowych plik贸w dodanych do naszej kolekcji by艂a zgodna z trendem obserwowanym od pocz膮tku roku.


Liczba modyfikacji szkodliwego oprogramowania atakuj膮cego system operacyjny Android

Warto przyjrze膰 si臋, kt贸re wersje Androida najcz臋艣ciej staj膮 si臋 celem cyber-atak贸w.


Rozk艂ad wykrywanego szkodliwego oprogramowania wed艂ug wersji Androida, III kwarta艂 2012 r.

Najcz臋艣ciej atakowan膮 wersj膮 by艂 Android 2.3.6 "Gingerbread", kt贸ry odpowiada za 28% wszystkich zablokowanych pr贸b zainstalowania szkodliwego oprogramowania. Nie jest to 偶adn膮 nowo艣ci膮: wersja ta zosta艂a wypuszczona we wrze艣niu 2011 r., jednak ze wzgl臋du na znaczn膮 segmentacj臋 rynku urz膮dze艅 z Androidem pozostaje jedn膮 z najpopularniejszych wersji.

Aby sprawdzi膰, czy istnieje korelacja mi臋dzy rozk艂adem wersji systemu Android na urz膮dzeniach mobilnych a rozk艂adem wersji systemu operacyjnego na urz膮dzeniach atakowanych przez cyberprzest臋pc贸w, musimy por贸wna膰 nasze dane z oficjalnymi liczbami dotycz膮cymi rozk艂adu wersji systemu Android z developer.android.com. Poni偶ej przedstawiamy rozk艂ad procentowy wersji tego systemu operacyjnego obejmuj膮cy dwa ostatnie tygodnie wrze艣nia.

殴r贸d艂o: http://developer.android.com/about/dashboards/index.html

Por贸wnujemy go z naszymi danymi dla tego samego okresu:


Rozk艂ad szkodliwego oprogramowania wykrytego w ci膮gu ostatnich 14 dni wrze艣nia 2012 r. wed艂ug wersji systemu Android

Jak mo偶na zauwa偶y膰, mi臋dzy wykresami istniej膮 znaczne r贸偶nice: w 48% wszystkich przypadk贸w ofiary cyberprzest臋pc贸w wykorzystywa艂y Gingerbread, kt贸ry zosta艂 zainstalowany na 55% wszystkich urz膮dze艅, podczas gdy w 43% wszystkich przypadk贸w ofiary posiada艂y Ice Cream Sandwich, jedn膮 z nowszych wersji Androida, kt贸ra jest zainstalowana na 23,7% wszystkich urz膮dze艅.

Bez w膮tpienia urz膮dzenia, na kt贸rych zainstalowane zosta艂y p贸藕niejsze wersje system贸w operacyjnych, s膮 lepiej dostosowane do aktywnej pracy online. Niestety, aktywniejsze surfowanie po Sieci cz臋sto prowadzi do tego, 偶e u偶ytkownicy trafiaj膮 na strony zawieraj膮ce szkodliw膮 zawarto艣膰. Poni偶ej zamie艣cili艣my statystyki KSN dla urz膮dze艅 mobilnych, aby pokaza膰, jakie rodzaje program贸w najcz臋艣ciej atakuj膮 urz膮dzenia u偶ytkownik贸w.


Rozk艂ad szkodliwego oprogramowania atakuj膮cego system Android wykrytego na urz膮dzeniach u偶ytkownika wed艂ug zachowania, III kwarta艂 2012 r.*

Ponad po艂owa wszystkich szkodliwych program贸w wykrytych na smartfonach u偶ytkownik贸w okaza艂a si臋 trojanami SMS, tj. szkodliwymi programami, kt贸re kradn膮 pieni膮dze z kont mobilnych ofiar poprzez wysy艂anie wiadomo艣ci SMS na numery o podwy偶szonej op艂acie.


Rozk艂ad szkodliwego oprogramowania atakuj膮cego system Android wykrywanego na urz膮dzeniach u偶ytkownik贸w wed艂ug rodziny w III kwartale 20012 r.*

* Werdykty wykrycia dostarczone przez modu艂 skanowania plik贸w Kaspersky Mobile Security. Informacje zosta艂y dostarczone przez u偶ytkownik贸w produkt贸w Kaspersky Lab, kt贸rzy wyra藕nie zgodzili si臋 na udost臋pnienie informacji o zagro偶eniach wykrywanych na ich komputerach.

W艣r贸d wszystkich rodzin mobilnego szkodliwego oprogramowania najbardziej rozpowszechnion膮 by艂a rodzina OpFake (38,3% wszystkich wykrytych szkodliwych program贸w dla Androida po艣r贸d wszystkich rodzin mobilnego szkodliwego oprogramowania). Wszystkie programy w tej rodzinie maskuj膮 si臋 pod postaci膮 przegl膮darki Opera Mini. Trzecie miejsce w rankingu zaj臋艂a rodzina FakeInst, kt贸rej cz艂onkowie podszywaj膮 si臋 pod instalatory popularnych program贸w (17%). Te dwa rodzaje szkodliwego oprogramowania s膮 najcz臋艣ciej dystrybuowane za po艣rednictwem tak zwanych alternatywnych sklep贸w z aplikacjami stworzonych przez cyberprzest臋pc贸w.

Pi膮tym pod wzgl臋dem popularno艣ci szkodliwym oprogramowaniem wykrywanym na urz膮dzeniach u偶ytkownik贸w s膮 wszechstronne trojany, z kt贸rych wi臋kszo艣膰 nale偶y do rodziny Plangton. Po zainstalowaniu si臋 na urz膮dzeniu trojany te gromadz膮 dane serwisowe z telefonu, wysy艂aj膮 je do serwera kontroli i czekaj膮 na polecenia cyberprzest臋pc贸w. W szczeg贸lno艣ci, szkodliwe programy z tej rodziny potrafi膮 potajemnie zmienia膰 zak艂adki i stron臋 g艂贸wn膮.

5% szkodnik贸w stanowi艂 not-a-virus:RiskTool.AndroidOS.SMSreg, kt贸ry rejestruje u偶ytkownik贸w na drogich serwisach. Programy z tej rodziny atakuj膮 u偶ytkownik贸w z takich kraj贸w jak Stany Zjednoczone, Holandia, Wielka Brytania i Malezja.

4% szkodnik贸w stanowi艂y programy z rodziny Exploit.AndroidOS.Lotoor. W celu uzyskania kontroli nad urz膮dzeniem cyberprzest臋pcy musz膮 przeprowadzi膰 jailbreak (tj. obej艣膰 ochron臋 telefonu, aby uzyska膰 pe艂ny dost臋p do systemu plik贸w). Szkodliwe oprogramowanie nale偶膮ce do tej rodziny jest wykorzystywane do uzyskiwania przywilej贸w administratora, kt贸re zapewniaj膮 praktycznie nieograniczone mo偶liwo艣ci manipulowania systemem.

R贸wnie偶 4% mobilnego szkodliwego oprogramowania stanowi膮 r贸偶ne programy wy艣wietlaj膮ce reklamy, wykrywane wsp贸lnie jako AdWare. "Najpopularniejszy" z nich nale偶y do rodziny Hamob i wy艣wietla reklamy wbudowane w aplikacje.

Podsumowuj膮c, w III kwartale ataki cyberprzest臋pc贸w by艂y najcz臋艣ciej skierowane na Androida w wersji 2.3.6 Gingerbread i 4.0.4 Ice Cream Sandwich. Osoby atakuj膮ce posiadaj膮 wystarczaj膮ce umiej臋tno艣ci obchodzenia ogranicze艅 dotycz膮cych instalowania oprogramowania z niezaufanych 藕r贸de艂, g艂贸wnie wykorzystuj膮c metody socjotechniki. Na wolno艣ci najbardziej rozpowszechnione s膮 trojany, kt贸re stosuj膮 r贸偶ne metody w celu kradzie偶y pieni臋dzy z kont mobilnych u偶ytkownik贸w, jednak stopniowo s膮 one zast臋powane bardziej wyrafinowanymi, wszechstronnymi trojanami.

Exploity: luki w Javie s膮 wykorzystywane w ponad po艂owie wszystkich atak贸w

W atakach online zwykle wykorzystywane s膮 r贸偶ne exploity, kt贸re pozwalaj膮 atakuj膮cym pobra膰 szkodliwe oprogramowanie na komputery ofiar podczas atak贸w drive-by bez konieczno艣ci stosowania socjotechniki. Skuteczne wykorzystanie exploit贸w zale偶y od obecno艣ci luk w kodzie popularnych aplikacji zainstalowanych na maszynach u偶ytkownik贸w.

Wykres poni偶ej pokazuje, kt贸re dziurawe aplikacje by艂y atakowane przez exploity w III kwartale. W tym kwartale zmienili艣my metodologi臋 i uwzgl臋dnili艣my w statystykach exploity wykrywane heurystycznie.


Aplikacje posiadaj膮ce luki wykorzystywane przez exploity, III kwarta艂 2012 r.

Luki w Javie by艂y wykorzystywane w ponad 50% wszystkich atak贸w. Wed艂ug Oracle, r贸偶ne wersje tej wirtualnej maszyny s膮 instalowane na ponad 1,1 miliarda komputer贸w. Co istotne, aktualizacje dla tego oprogramowania s膮 instalowane raczej na 偶膮danie ni偶 automatycznie, co zwi臋ksza "okres 偶ycia" luk. Ponadto, exploity dla Javy mo偶na do艣膰 艂atwo wykorzysta膰 w ka偶dej wersji Windowsa i - przy dodatkowym nak艂adzie pracy cyberprzest臋pc贸w - tak jak w przypadku Flashfake'a, mo偶na stworzy膰 exploity wieloplatformowe. To wyja艣nia szczeg贸lne zainteresowanie lukami w Javie ze strony cyberprzest臋pc贸w.

W III kwartale wykryto wiele luk, kt贸re cyberprzest臋pcy niezw艂ocznie wykorzystali do przeprowadzenia atak贸w. Luka CVE-2012-1723, wykryta w lipcu, stanowi b艂膮d w komponencie HotSpot, kt贸ry mo偶e by膰 wykorzystany przez osoby atakuj膮ce w celu u偶ycia w艂asnej klasy z obej艣ciem sandboksa oferowanego przez wirtualn膮 maszyn臋 Javy. Kolejna luka, CVE-2012-4681, zosta艂a znaleziona pod koniec sierpnia. Exploity wykorzystuj膮ce t臋 luk臋 zosta艂y po raz pierwszy wykorzystane w atakach ukierunkowanych, szybko jednak zosta艂y w艂膮czone do popularnych pakiet贸w exploit贸w. Produkty firmy Kaspersky Lab skutecznie wykry艂y je przy u偶yciu technologii zaawansowanego wykrywania exploit贸w.

Na drugim miejscu znalaz艂y si臋 ataki przeprowadzane za po艣rednictwem aplikacji Adobe Reader, kt贸re stanowi艂y jedn膮 czwart膮 wszystkich zablokowanych atak贸w. Popularno艣膰 exploit贸w dla Adobe Readera stopniowo s艂abnie z powodu stosunkowo prostego mechanizmu umo偶liwiaj膮cego wykrycie ich jak r贸wnie偶 automatycznych aktualizacji wprowadzonych w ostatnich wersjach Readera.

Exploity wykorzystuj膮ce luki w Windows Help i Support Center, jak r贸wnie偶 r贸偶ne b臋dy w przegl膮darce Internet Explorer, odpowiada艂y za 3% wszystkich atak贸w. W szczeg贸lno艣ci, w III kwartale zosta艂a wykryta nowa luka (CVE-2012-1876) w przegl膮darce IE w wersjach 6-9. Podatna na ataki przegl膮darka nie obs艂uguje poprawnie obiekt贸w w pami臋ci, co pozwala zdalnym osobom atakuj膮cym podj膮膰 pr贸b臋 uzyskania dost臋pu do nieistniej膮cego obiektu, powoduj膮c przepe艂nienie sterty. Co ciekawe, luka ta zosta艂a wykorzystana w marcu podczas zawod贸w hakerskich Pwn2Own na konferencji CanSecWest 2012.

Nasza rada dla u偶ytkownik贸w brzmi: instalujcie uaktualnienia popularnych program贸w, jak tylko zostan膮 udost臋pnione, i korzystajcie z aktualnej ochrony przed exploitami. Ponadto, firmy powinny r贸wnie偶 wykorzystywa膰 technologie zarz膮dzania 艂atami.

Cyber-szpiegostwo: Gauss, Madi i inni

W III kwartale mia艂o miejsce wiele incydent贸w szpiegowskich. Najistotniejsze z nich by艂y zwi膮zane z aktywno艣ci膮 takich szkodnik贸w jak Madi, Gauss oraz Flame, kt贸re by艂y rozprzestrzeniane g艂贸wnie na Bliskim Wschodzie.

Jedna kampania, kt贸rej celem by艂o wnikni臋cie do system贸w komputerowych, trwa艂a niemal rok i by艂a wymierzona g艂贸wnie przeciwko u偶ytkownikom w Iranie, Izraelu i Afganistanie. Przeprowadzili艣my szczeg贸艂owe badanie tego szkodliwego oprogramowania wraz z naszym partnerem, izraelsk膮 firm膮 Seculert. Szkodnik ten zosta艂 nazwany "Madi" na podstawie ci膮g贸w i identyfikator贸w wykorzystanych przez cyberprzest臋pc贸w w swoim szkodliwym oprogramowaniu. Szkodliwe komponenty by艂y rozprzestrzeniane za po艣rednictwem atak贸w, kt贸re wykorzystywa艂y zestaw dobrze znanych niewyrafinowanych technologii. 艢wiadczy to o tym, 偶e 艣wiadomo艣膰 bezpiecze艅stwa internetowego ofiar pozostawia wiele do 偶yczenia.

Ataki te obejmowa艂y instalowanie na maszynach ofiar backdoor贸w napisanych w Delphi. Szkodniki te mog艂y zosta膰 stworzone przez programist臋 amatora lub przez profesjonalist臋, kt贸ry znajdowa艂 si臋 pod du偶膮 presj膮 czasu. Kampania wymierzona by艂a w infrastruktur臋 firm in偶ynieryjnych o krytycznym znaczeniu, organizacje rz膮dowe oraz banki i uniwersytety na Bliskim Wschodzie. Ofiary zosta艂y wyselekcjonowane spo艣r贸d u偶ytkownik贸w organizacji, kt贸rych komunikacja przez d艂u偶szy okres czasu znajdowa艂a si臋 pod 艣cis艂ym nadzorem.

Gauss zosta艂 wykryty podczas dochodzenia zainicjowanego przez International Telecommunication Union (ITU) po odkryciu Flame'a. Zasadniczo, Gauss to sponsorowany przez rz膮d trojan "bankowy". Opr贸cz kradzie偶y r贸偶nych danych z zainfekowanych maszyn dzia艂aj膮cych pod kontrol膮 Windowsa program ten zawiera szkodliw膮 funkcj臋, kt贸ra jest zaszyfrowana a jej cel - jak dot膮d nieznany. Szkodnik ten aktywuje si臋 tylko na systemach o okre艣lonej konfiguracji. Gauss opiera si臋 na platformie Flame'a i posiada kilka cech wsp贸lnych z tym szkodnikiem, takich jak procedury infekcji sterownik贸w USB.

Nasi eksperci zdo艂ali r贸wnie偶 uzyska膰 nowe informacje dotycz膮ce serwer贸w kontroli Flame'a (C&C). Badanie przeprowadzone przez ekspert贸w Kaspersky Lab we wsp贸艂pracy z naszymi partnerami - firm膮 Symantec, ITU-IMPACT i CERT-Bund/BSI - pozwoli艂o nam wyci膮gn膮膰 kilka istotnych wniosk贸w. Po pierwsze, kod dla serwer贸w kontroli opartych na tej platformie zacz膮艂 by膰 rozwijany jeszcze w grudniu 2006 roku. S膮dz膮c po komentarzach pozostawionych w kodzie 藕r贸d艂owym, nad projektem pracowa艂o przynajmniej czterech programist贸w. Kod C&C obs艂uguje trzy protoko艂y komunikacyjne. G艂贸wne ustalenie jest takie, 偶e obs艂uguje on 偶膮dania od szkodliwych program贸w o nazwach kodowych SP, SPE, FL oraz IP.

Z tych czterech szkodliwych program贸w obecnie znane s膮 tylko dwa: Flame i SPE (znany r贸wnie偶 jako miniFlame).

Na podstawie danych zgromadzonych w badaniu mo偶na stwierdzi膰, 偶e wed艂ug wszelkich oznak z cyberszpiegostwem b臋dziemy mieli do czynienia r贸wnie偶 w przysz艂o艣ci. Celem pracy wykonanej przez Kaspersky Lab jest z艂agodzenie ryzyka zwi膮zanego z pojawieniem si臋 cyberbroni.

Statystyki

W tej sekcji zajmiemy si臋 analiz膮 danych statystycznych dostarczonych przez r贸偶ne komponenty ochrony przed szkodliwym oprogramowaniem. Wszystkie dane statystyczne uwzgl臋dnione w tym raporcie zosta艂y uzyskane przy pomocy Kaspersky Security Network (KSN). Pochodz膮 od u偶ytkownik贸w systemu KSN, kt贸rzy zgodzili si臋 udost臋pni膰 informacje o zagro偶eniach wykrywanych na ich komputerach. Miliony u偶ytkownik贸w produkt贸w firmy Kaspersky Lab w 213 krajach uczestniczy w globalnej wymianie informacji dotycz膮cych szkodliwej aktywno艣ci.

Zagro偶enia online

Statystyki w tej sekcji s膮 dostarczana przez modu艂y ochrony WWW, kt贸re chroni膮 u偶ytkownik贸w, jak tylko szkodliwy kod zostanie za艂adowany z zainfekowanej strony internetowej. Szkodliwa zawarto艣膰 mo偶e si臋 znajdowa膰 na stronach internetowych, na kt贸rych u偶ytkownicy mog膮 tworzy膰 w艂asne tre艣ci (np. forach), a nawet na legalnych stronach, na kt贸re w艂amali si臋 hakerzy.

Wykrywalne obiekty online

W III kwartale 2012 r. zneutralizowano 511 269 302 atak贸w. Zosta艂y one przeprowadzone z zasob贸w online zlokalizowanych w r贸偶nych pa艅stwach na ca艂ym 艣wiecie. W incydentach tych wykryto w sumie 165 732 unikatowych modyfikacji i potencjalnie niechcianych program贸w.

TOP 20 szkodliwych program贸w wykrytych w Internecie

Pozycja Nazwa* % wszystkich atak贸w**
1 Malicious URL 90,70%
2 Trojan.Script.Generic 2,30%
3 Trojan.Script.Iframer 1,60%
4 Trojan-Downloader.SWF.Voleydaytor.h 0,40%
5 Trojan.Win32.Generic 0,40%
6 Exploit.Script.Blocker 0,30%
7 AdWare.Win32.IBryte.x 0,20%
8 Trojan-Downloader.JS.Iframe.cyq 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.JS.Agent.gsv 0,20%
11 Trojan-Downloader.JS.JScript.bp 0,20%
12 Hoax.HTML.FraudLoad.i 0,20%
13 Trojan-Downloader.Script.Generic 0,10%
14 Trojan.HTML.Redirector.am 0,10%
15 Trojan-Downloader.Win32.Generic 0,10%
16 Trojan-Downloader.JS.Iframe.czo 0,10%
17 AdWare.Win32.ScreenSaver.e 0,10%
18 Backdoor.MSIL.Agent.gtx 0,10%
19 Trojan.JS.Popupper.aw 0,10%
20 Exploit.Java.CVE-2012-4681.gen 0,10%

*Statystyki te stanowi膮 werdykty wykrywania dostarczone przez modu艂 ochrony WWW i pochodz膮 od u偶ytkownik贸w produkt贸w firmy Kaspersky Lab, kt贸rzy zgodzili si臋 udost臋pni膰 informacje o zagro偶eniach wykrywanych na icgh komputerach.
**艁膮czna liczba unikatowych incydent贸w zarejestrowanych przez modu艂 ochrony WWW na komputerach u偶ytkownik贸w.

Na pierwszym miejscu rankingu nadal znajduj膮 si臋 szkodliwe odsy艂acze z naszej czarnej listy. Obecnie wywo艂uj膮 one 90% wszystkich alarm贸w antywirusowych, o 5 procent wi臋cej ni偶 w poprzednim kwartale. Spo艣r贸d nich 4% szkodliwych odsy艂aczy zosta艂o zablokowanych w wyniku natychmiastowych aktualizacji w chmurze; odsy艂acze prowadz膮 do stron, do kt贸rych niedawno w艂amali si臋 hakerzy, lub 艣wie偶o stworzonych stron cyberprzest臋pczych. U偶ytkownicy bez zainstalowanej ochrony antywirusowej s膮 nara偶eni na atak drive-by w momencie odwiedzenia takich stron.

Na trzecim miejscu znajduje si臋 Trojan-Downloader.SWF.Voleydaytor.h. Szkodnik ten jest wykrywany na r贸偶nych stronach dla doros艂ych. Na komputery u偶ytkownik贸w dostarczane s膮 r贸偶ne szkodliwe programy, kt贸re "twierdz膮", 偶e aktualizuj膮 program do odtwarzania film贸w.

Na si贸dmym miejscu znajduje si臋 oprogramowanie AdWare.Win32.IBryte.x, kt贸re rozprzestrzenia si臋 jako downloader popularnego oprogramowania freeware. Po uruchomieniu pobiera on 偶膮dany przez u偶ytkownika program freeware i jednocze艣nie instaluje modu艂 adware. Warto pami臋tac, 偶e r贸wnie 艂atwo mo偶na pobra膰 potrzebne programy z oficjalnych stron, oszcz臋dzaj膮c sobie k艂opotu p贸藕niejszego usuwania oprogramowania adware. Przeprowadzone niedawno badanie sugeruje, 偶e problem ten w najwi臋kszym stopniu dotyka u偶ytkownik贸w Internet Explorera.

Ciekawy jest program Hoax.HTML.FraudLoad.i (na 12 miejscu). Na zagro偶enie to najbardziej nara偶eni s膮 u偶ytkownicy, kt贸rzy lubi膮 pobiera膰 filmy i oprogramowanie za darmo. Ze stron internetowych wykrywanych pod t膮 nazw膮 u偶ytkownicy rzekomo mog膮 pobiera膰 zawarto艣膰, wcze艣niej jednak musz膮 wys艂a膰 p艂atn膮 wiadomo艣膰. Jednak u偶ytkownicy, kt贸rzy zrobi膮 to, nie otrzymaj膮 偶膮danego pliku, ale plik TXT zawieraj膮cy porady na temat tego, jak korzysta膰 z wyszukiwarek, lub szkodliwy program.

List臋 Top 20 zamyka Exploit.Java.CVE-2012-4681.gen, exploit wykryty pod koniec sierpnia, kt贸ry jednocze艣nie wykorzystuje dwie luki w Javie. Exploity w Javie s膮 szczeg贸lnie popularne w艣r贸d cyberprzest臋pc贸w, poniewa偶 na 艣wiecie istniej膮 ponad trzy miliardy urz膮dze艅, na kt贸rych zainstalowane s膮 wirtualne maszyny. Exploit ten jest interesuj膮cy z tego wzgl臋du, 偶e by艂 wykorzystywany w atakach ukierunkowanych oraz w ramach zestaw贸w exploit贸w do masowej infekcji.

12 miejsce w rankingu zajmuj膮 szkodliwe programy i komponenty, kt贸re dostarczaj膮 trojany na komputer u偶ytkownika w po艂膮czeniu z exploitami.

Pa艅stwa, w kt贸rych w zasobach www zaszyte jest szkodliwe oprogramowanie

Dane te pokazuj膮, gdzie zlokalizowane s膮 fizycznie strony zawieraj膮ce szkodliwe programy. Geograficzne 藕r贸d艂a atak贸w sieciowych s膮 okre艣lane poprzez por贸wnywanie nazwy domeny z rzeczywistym adresem IP, pod kt贸rym zlokalizowana jest okre艣lona domena i okre艣lanie lokalizacji tego adresu IP (GEOIP).

Zaledwie 10 pa艅stw na ca艂ym 艣wiecie hostuje 86% zasob贸w sieciowych wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania. Drugi kwarta艂 z rz臋du odsetek ten zwi臋kszy艂 si臋 o jeden punkt procentowy.


Rozk艂ad zasob贸w online, w kt贸rych zaszyty jest szkodliwy kod wed艂ug pa艅stwa. III kwarta艂 2012 r.

W艣r贸d pa艅stw hostuj膮cych szkodliw膮 zawarto艣膰 pojawi艂 si臋 nowy lider: Rosja (23,2%) wyprzedzi艂a Stany Zjednoczone (20,3%). W ostatnich trzech miesi膮cach odsetek szkodliwych host贸w w Rosji znacznie wzr贸s艂 (+8,6 punkt贸w procentowych); jednocze艣nie spadek udzia艂u Stan贸w Zjednoczonych (-9,7 punkt贸w procentowych) niemal odzwierciedla wzrost Rosji. Zwi臋kszy艂a si臋 r贸wnie偶 liczba szkodliwych host贸w w Holandii (+5,8 punkt贸w procentowych). 60% ca艂ej szkodliwej zawarto艣ci jest zlokalizowanych w pierwszej tr贸jce pa艅stw - Rosji, Stanach Zjednoczonych i Holandii. Bez skutecznych dzia艂a艅 ze strony organ贸w 艣cigania i dostawc贸w us艂ug hostingowych sytuacja ta b臋dzie utrzymywa艂a si臋 przez kolejne kilka miesi臋cy.

Nie pojawi艂y si臋 偶adne znacz膮ce zmiany w艣r贸d innych pa艅stw z pierwszej dziesi膮tki poza spadkiem udzia艂u Wielkiej Brytanii o 2,6 punkt贸w procentowych.

Pa艅stwa, w kt贸rych u偶ytkownicy byli najbardziej nara偶eni na ryzyko infekcji przez internet

Aby oceni膰 ryzyko infekcji u偶ytkownika w danym pa艅stwie, Kaspersky Lab obliczy艂 cz臋stotliwo艣膰 wykrytych szkodliwych program贸w przez modu艂 ochrony WWW w r贸偶nych pa艅stwach w ci膮gu kwarta艂u. Dane te s膮 oparte na liczbie alarm贸w oprogramowania antywirusowego na komputerach w ka偶dym pa艅stwie, nie odzwierciedlaj膮 jednak liczby u偶ytkownik贸w KSN w ka偶dym pa艅stwie.


Top 20 pa艅stw* o najwi臋kszym ryzyku infekcji** w III kwartale 2012 r.

*Przy obliczeniach wy艂膮czyli艣my pa艅stwa, w kt贸rych liczba u偶ytkownik贸w produkt贸w firmy Kaspersky Lab jest stosunkowo niewielka (mniej ni偶 10 000).
**Odsetek unikatowych u偶ytkownik贸w w pa艅stwie, w kt贸rych znajduj膮 si臋 komputery z zainstalowanymi produkatami firmy Kaspersky Lab, kt贸re zablokowa艂y zagro偶enia sieciowe.

W poprzednim kwartale w pierwszej 20 znalazy si臋 wy艂膮cznie pa艅stwa z by艂ego Zwi膮zku Socjalistycznych Republik Radzieckich, Afryki i Azji Po艂udniowo-Wschodniej. Tym razem na li艣cie znalaz艂y si臋 r贸wnie偶 dwa pa艅stwa z Europy Po艂udniowej, a mianowicie W艂ochy (36,5%) i Hiszpania (37,4%).

Pa艅stwa te mo偶na podzieli膰 na cztery grupy:

  1. Grupa maksymalnego ryzyka obejmuje pa艅stwa, w kt贸rych ponad 60% u偶ytkownik贸w przynajmniej raz trafi艂o na szkodliwe oprogramowanie b臋d膮c online. W III kwartale do kategorii tej zaklasyfikowa艂 si臋 Tad偶ykistan (61,1%), odbieraj膮c Rosji (58%) pozycj臋 lidera.
  2. Grupa wysokiego ryzyka obejmuje pa艅stwa, w kt贸rych od 41% do 60% u偶ytkownik贸w przynajmniej raz trafi艂o na szkodliwe oprogramowanie b臋d膮c online. W grupie tej znajduje si臋 10 pa艅stw z listy Top 20, o osiem pa艅stw mniej ni偶 w ostatnim kwartale. Opr贸cz Rosji (58%) w grupie tej znajduje si臋 Kazachstan (54,9%), Bia艂oru艣 (49,6%) oraz Ukraina (46,1%).
  3. Grupa umiarkowanego ryzyka (21-40%) obejmuje 99 pa艅stw, w tym Indie (38,4%), Hiszpani臋 (37,4%), W艂ochy (36,5%), Litw臋 (33,5%), Chiny (33,4%), Turcj臋 (33,3%), Stany Zjednoczone (32,4%), Brazyli臋 (32,9%), Wielk膮 Brytani臋 (30,2%), Belgi臋 (28,3%) i Francj臋 (28,2%).
  4. Grupa niskiego ryzyka obejmuje 27 pa艅stw, w kt贸rych od 10,6% do 21% u偶ytkownik贸w trafi艂o online na szkodliwe oprogramowanie. Najbezpieczniej mo偶na by艂o surfowa膰 w Japonii (13,6%), Danii (17,7%), Tajwanie (15,4%), Hong Kongu (19,3%), Luksemburgu (19,7%), na S艂owacji (20,7%) i w Singapurze (20,9%).


Ryzyko infekcji online na 艣wiecie, III kwarta艂 2012 r.

Nale偶y zauwa偶y膰, 偶e pa艅stwa afryka艅skie znajduj膮 si臋 w grupie charakteryzuj膮cej si臋 najwy偶szym bezpiecze艅stwem podczas surfowania po internecie. W naszej opinii niski poziom atak贸w online wynika z tego, 偶e wykorzystywanie internetu nie jest szczeg贸lnie zaawansowane w tych pa艅stwach. Potwierdzeniem tej hipotezy jest fakt, 偶e sytuacja dotycz膮ca lokalnych infekcji w tych pa艅stwach z pewno艣ci膮 nie jest zdrowa (zobacz poni偶ej).

W III kwartale 2012 r. 艣rednio 36,7% komputer贸w u偶ytkownik贸w systemu KSN zosta艂o przynajmniej raz zaatakowanych podczas surfowania online. 艢rednia ta jest o 3 punkty procentowe ni偶sza ni偶 w poprzednim kwartale.

Zagro偶enia lokalne

Sekcja ta zawiera analiz臋 statystyk opartych na danych uzyskanych ze skanera on-access oraz statystykach skanowania dla r贸偶nych dysk贸w, 艂膮cznie z no艣nikami wymiennymi (skaner on-demand).

Szkodliwe obiekty wykryte na komputerach u偶ytkownik贸w

W III kwartale 2012 r. rozwi膮zania bezpiecze艅stwa firmy Kaspersky Lab skutecznie zablokowa艂y 882 545 490 pr贸b infekcji lokalnych wykrytych na komputerach nale偶膮cych do sieci Kaspersky Security Network.

Skanery on-access zablokowa艂y w sumie 328 804 unikatowych modyfikacji szkodliwych oraz potencjalnie niechcianych program贸w, gdy pr贸bowa艂y uruchomi膰 si臋 na komputerach u偶ytkownik贸w.

Top 20 szkodliwych obiekt贸w wykrytych na komputerach u偶ytkownik贸w

Pozycja Nazwa % indywidualnych u偶ytkownik贸w*
1 Trojan.Win32.Generic 17,1%
2 DangerousObject.Multi.Generic 15,6%
3 Trojan.Win32.AutoRun.gen 14,5%
4 Trojan.Win32.Starter.yy 7,6%
5 Virus.Win32.Virut.ce 5,5%
6 Net-Worm.Win32.Kido.ih 4,8%
7 Virus.Win32.Sality.aa 3,9%
8 HiddenObject.Multi.Generic 3,9%
9 Virus.Win32.Generic 3,7%
10 Virus.Win32.Nimnul.a 3,2%
11 Trojan.WinLNK.Runner.bl 2,5%
12 Worm.Win32.AutoRun.hxw 1,8%
13 Virus.Win32.Sality.ag 1,5%
14 Trojan.Win32.Patched.dj 0,7%
15 Email-Worm.Win32.Runouce.b 0,5%
16 AdWare.Win32.BHO.awvu 0,4%
17 Trojan-Dropper.Script.Generic 0,4%
18 AdWare.Win32.GoonSearch.b 0,4%
19 Backdoor.Win64.Generic 0,3%
20 AdWare.Win32.RelevantKnowledge.a 0,3%

Statystyki te zosta艂y stworzone na podstawie werdykt贸w wykrycia szkodliwego oprogramowania wygenerowanych przez skanery on-access i on-demand na komputerach u偶ytkownik贸w, na kt贸rych zosta艂y zainstalowane produkty firmy Kaspersky Lab, kt贸rzy zgodzili si臋 na udost臋pnienie swoich danych statystycznych.
*Odsetek indywidualnych u偶ytkownik贸w, na komputerach kt贸rych modu艂 antywirusowy wykry艂 dane obiekty jako odsetek indywidualnych u偶ytkownik贸w produkt贸w firmy Kaspersky Lab, na kt贸rych komputerach zosta艂o wykryte szkodliwe oprogramowanie.

Na pierwszym miejscu w rankingu znajduje si臋 Trojan.Win32.Generic (17,1%) - jest to werdykt wydany przez analiz臋 heurystyczn膮 podczas proaktywnego wykrywania r贸偶norodnych szkodliwych program贸w.

Szkodliwe programy wykryte z pomoc膮 technologii chmury (DangerousObject.Multi.Generic, 15,6%) awansowa艂y o jedno miejsce na drug膮 pozycj臋. Technologie chmury s膮 wykorzystywane wtedy, gdy ani metody oparte na sygnaturach ani heurystyczne nie potrafi膮 od razu wykry膰 szkodliwego programu, a jednocze艣nie informacje o obiekcie istniej膮 ju偶 w chmurze. Zasadniczo, jest to werdykt wydawany dla najnowszych szkodliwych program贸w.

16, 18 i 20 miejsce zajmuj膮 programy adware. Nowo艣ci膮 w III kwartale jest rodzina szkodliwego oprogramowania AdWare.Win32.RelevantKnowledge (0,3%). Programy nale偶膮ce do tej rodziny integruj膮 si臋 z przegl膮dark膮 internetow膮 i okresowo wy艣wietlaj膮 okno zapytania.

Pa艅stwa, w kt贸rych u偶ytkownicy s膮 najbardziej nara偶eni na lokaln膮 infekcj臋

Poni偶sze dane pokazuj膮 艣redni wsp贸艂czynnik infekcji komputer贸w w r贸偶nych pa艅stwach. Spo艣r贸d u偶ytkownik贸w systemu KSN, kt贸rzy dostarczaj膮 nam informacje, co najmniej jeden szkodliwy plik zosta艂 wykryty na co trzecim komputerze (32,5%) - na dysku twardym lub pod艂膮czonym do niego no艣niku wymiennym. Jest to o 3,9 punkt贸w procentowych mniej w por贸wnaniu z poprzednim kwarta艂em.


Poziomy infekcji komputer贸w wed艂ug pa艅stwa* - ranking Top 20** III kwarta艂 2012 r.

*Odsetek unikatowych u偶ytkownik贸w w pa艅stwie posiadaj膮cych komputery z zainstalowanymi produktami firmy Kaspersky Lab, kt贸re zablokowa艂y zagro偶enia sieciowe
**Przy obliczeniach wy艂膮czyli艣my pa艅stwa, w kt贸rych znajduje si臋 mniej ni偶 10 000 u偶ytkownik贸w produkt贸w Kaspersky Lab.

Wsp贸艂czynniki lokalnych infekcji mo偶na r贸wnie偶 sklasyfikowa膰 do oddzielnych kategorii wed艂ug poziomu infekcji.

  1. Maksymalny poziom lokalnychj infekcji (ponad 60%): grupa ta obejmuje obecnie o 9 pa艅stw mniej i sk艂ada si臋 z 11 kraj贸w azjatyckich (Indii, Wietnamu, Nepalu itd.) kraj贸w z Bliskiego Wschodu (Afganistan) oraz Afryki (Sudan, Mali, Tanzania itd.).
  2. Wysoki poziom lokalnych infekcji (41-60%): 39 pa艅stw, 艂膮cznie z Indonezj膮 (53,5%), Egiptem (46%), Tajlandi膮 (42,3%), Chinami (41,4%) i Filipinami (44,3%).
  3. Umiarkowany poziom infekcji lokalnych (21-40%): 56 pa艅stw, 艂膮cznie z Turcj膮, Meksykiem, Izraelem, 艁otw膮, Portugali膮, W艂ochami, Rosj膮 i Hiszpani膮.
  4. Najni偶szy poziom infekcji lokalnych (poni偶ej 21%): grupa ta, w kt贸rej znalaz艂y si臋 teraz nowo艣ci, sk艂ada si臋 z 31 pa艅stw, w tym Stany Zjednoczone, Australia, Kanada, Nowa Zelandia, Puerto Rico, 19 pa艅stw europejskich (w tym Norwegia, Estonia i Francja) oraz dwa pa艅stwa azjatyckie: Japonia i Hong Kong.


    Ryzyko infekcji lokalnych na 艣wiecie, III kwarta艂 2012 r.

    10 pa艅stw, w kt贸rych u偶ytkownicy byli najmniej nara偶eni na lokalne infekcje, to:
    Pozycja Kraj % unikatowych u偶ytkownik贸w
    1 Dania 10,5
    2 Japonia 10,6
    3 Luksemburg 13,8
    4 Szwajcaria 14,3
    5 Szwecja 14,7
    6 Niemcy 15
    7 Finlandia 15,1
    8 Holandia 15,1
    9 Republika Czeska 15,2
    10 Irlandia 15,5

    Irlandia, kt贸ra stanowi nowicjusza w tym rankingu, pojawi艂a si臋 na 10 miejscu - w pa艅stwie tym 15,5% komputer贸w zablokowa艂o szkodliwe programy z r贸偶nych no艣nik贸w.

    Luki w zabezpieczeniach

    W III kwartale 2012 r. na komputerach u偶ytkownik贸w nale偶膮cych do sieci KSN wykryto w sumie 30 749 066 dziurawych program贸w i plik贸w - 艣rednia wynosi艂a osiem r贸偶nych luk na ka偶dym komputerze z lukami.

    W tabeli poni偶ej zosta艂o przedstawionych 10 najcz臋艣ciej wykrywnych luk.

    No Identyfikator firmy Secunia - Unikatowy numer luki Nazwa luki i odsy艂acz do opisu Na co luka pozwala szkodliwym u偶ytkownikom Odsetek u偶ytkownik贸w, na kt贸rych komputerach wykryto luk臋* Data ostatniej zmiany Ocena
    1 SA 49472 Oracle Java Multiple Vulnerabilities atak DoS
    uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika
    Cross-Site Scripting
    uzyskanie dost臋pu do poufnych danych
    manipulacja danymi
    35,00% 20.08.2012 wysoce krytyczna
    2 SA 50133 Oracle Java Three Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika 21,70% 31.08.2012 niezwykle krytyczna
    3 SA 50354 Adobe Flash Player Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika
    uzyskanie dost臋pu do poufnych danych
    19,00% 25.09.2012 wysoce krytyczna
    4 SA 49388 Adobe Flash Player Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika
    Obej艣cie system贸w bezpiecze艅stwa
    18,80% 18.06.2012 wysoce krytyczna
    5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika 14,70% 11.01.2012 niezwykle krytyczna
    6 SA 47447 Apple QuickTime Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika 13,80% 23.08.2012 wysoce krytyczna
    7 SA 49489 Apple iTunes Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika 11,70% 10.07.2012 wysoce krytyczna
    8 SA 46624 Winamp AVI / IT File Processing Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika 10,90% 03.08.2012 wysoce krytyczna
    9 SA 50283 Adobe Shockwave Player Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika 10,80% 14.08.2012 wysoce krytyczna
    10 SA 41917 Adobe Flash Player Multiple Vulnerabilities uzyskanie dost臋pu do systemu i wykonanie losowego kodu z lokalnymi przywilejami u偶ytkownika
    Obej艣cie system贸w bezpiecze艅stwa
    Uzyskanie dost臋pu do poufnych danych
    9,70% 09.11.2010 niezwykle krytyczna

    *Odsetek wszystkich u偶ytkownik贸w, na komputerach kt贸rych zosta艂a wykryta co najmniej jedna luka

    Pierwsze dwa miejsca zajmuj膮 luki w Oracle Java, kt贸re zosta艂y znalezione odpowiednio w 35% i 21,7% komputer贸w zawieraj膮cych luki.

    Pi臋膰 popularnych luk w zabezpieczeniach dotyczy艂o produkt贸w Adobe: odtwarzacze Flash Reader i Shockwave oraz Reader, popularny program do czytania dokument贸w PDF.

    W rankingu znalaz艂y si臋 r贸wnie偶 dwa programy firmy Apple - QuickTime player oraz iTunes i popularny odtwarzacz multimedialny Nullsoft Winamp.


    Producenci produkt贸w posiadaj膮cych luki z rankingu Top 10, III kwarta艂 2012 r.

    Ka偶da z najpopularniejszych 10 luk w zabezpieczeniach mo偶e zagrozi膰 bezpiecze艅stwu komputera, poniewa偶 wszystkie z nich pozwalaj膮 cyberprzest臋pcom uzyska膰 pe艂n膮 kontrol臋 systemu przy u偶yciu exploit贸w. Podobne jak w II kwartale, trzy luki umo偶liwiaj膮 osobom atakuj膮cym uzyskanie dost臋pu do poufnych danych. Obie luki we Flash Playerze pozwalaj膮 cyberprzest臋pcom obej艣膰 zintegrowane z aplikacj膮 systemy bezpiecze艅stwa. W pierwszej 10 znajduj膮 si臋 r贸wnie偶 luki, kt贸re umo偶liwiaj膮 osobom atakuj膮cym manipulowanie danymi i przeprowadzanie atak贸w DDoS oraz XSS.


    Rozk艂ad 10 najpopularniejszych luk wed艂ug rodzaju wp艂ywu na system, III kwarta艂 2012 r.

    Produkty firmy Microsoft nie wyst臋puj膮 ju偶 w rankingu Top 10 produkt贸w zawieraj膮cych luki. Wynika to z tego, 偶e mechanizm automatycznych aktualizacji zosta艂 dobrze rozwini臋ty w najnowszych wersjach systemu Windows.

    殴ród艂o:
    Kaspersky Lab