Ewolucja zagro偶e艅 IT: III kwarta艂 2013 r.


III kwarta艂 w liczbach

  • Wed艂ug danych systemu KSN, w trzecim kwartale 2013 r. produkty firmy Kaspersky Lab wykry艂y i zneutralizowa艂y 艂膮cznie 978 628 817 zagro偶e艅.    
  • Rozwi膮zania firmy Kaspersky Lab wykry艂y 500 284 715 atak贸w przeprowadzonych z zasob贸w online zlokalizowanych na ca艂ym 艣wiecie.
  • Programy antywirusowe firmy Kaspersky Lab skutecznie zablokowa艂y 艂膮cznie 476 856 965 pr贸b lokalnej infekcji komputer贸w u偶ytkownika po艂膮czonych z sieci膮 Kaspersky Security Network.
  • 45,2% atak贸w sieciowych zneutralizowanych przez produkty firmy Kaspersky Lab zosta艂o przeprowadzonych przy u偶yciu szkodliwych zasob贸w sieciowych zlokalizowanych w Stanach Zjednoczonych i Rosji. 

Przegl膮d

Ataki ukierunkowane/APT

Nowe sztuczki NetTravelera

Specjali艣ci z Kaspersky Lab wykryli nowy wektor atak贸w wykorzystywany przez zaawansowane d艂ugotrwa艂e zagro偶enie o nazwie NetTraveler, kt贸re zainfekowa艂o ju偶 setki ofiar stanowi膮cych znane osoby mieszkaj膮ce w ponad 40 krajach. Znane cele NetTravelera obejmuj膮 aktywist贸w tybeta艅skich/ujgurskich, firmy z bran偶y naftowej, centra i instytuty naukowo-badawcze, uniwersytety, prywatne firmy, rz膮dy i instytucje rz膮dowe, ambasady i dostawc贸w dla wojska. 

Po tym, jak ich dzia艂alno艣膰 zosta艂a publicznie ujawniona w czerwcu 2013 r., osoby atakuj膮ce natychmiast zamkn臋艂y wszystkie znane systemy kontroli NetTravelera i przenios艂y je na nowe serwery w Chinach, Hong Kongu i Tajwanie, sk膮d kontynuowa艂y nieprzerwanie ataki.

W ostatnich dniach do licznych aktywist贸w ujgurskich wys艂ano kilka e-maili typu spear-phishing. Exploit Javy wykorzystywany do rozprzestrzeniania tej nowej wersji zagro偶enia APT Red Star zosta艂 za艂atany dopiero w czerwcu 2013 r. i posiada znacznie wy偶szy wsp贸艂czynnik skuteczno艣ci. We wcze艣niejszych atakach wykorzystywano exploity Office'a (CVE-2012-0158), kt贸re zosta艂y za艂atane przez firm臋 Microsoft w kwietniu.   

Opr贸cz wykorzystywania e-maili typu  spear-phishing osoby przeprowadzaj膮ce ataki APT zastosowa艂y technik臋 atak贸w znan膮 jako "watering hole" (przekierowania sieciowe i ataki drive-by download na spreparowane domeny) w celu infekowania u偶ytkownik贸w surfuj膮cych po sieci. Kaspersky Lab przechwyci艂 i zablokowa艂 wiele pr贸b infekcji z domeny "weststock[dot]org", o kt贸rej wiadomo, 偶e jest powi膮zana z wcze艣niejszymi atakami NetTravelera. Te przekierowania wydaj膮 si臋 pochodzi膰 z innych stron internetowych zwi膮zanych z kampani膮 ujgursk膮, kt贸re zosta艂y zhakowane i zainfekowane przez osoby wykorzystuj膮ce NetTravelera.

Icefog

Kaspersky Lab zidentyfikowa艂 "Icefog", niewielk膮, ale aktywn膮 grup臋 APT, kt贸ra koncentruje si臋 na celach znajduj膮cych si臋 w Korei Po艂udniowej i Japonii i atakuje 艂a艅cuchy dostaw dla firm zachodnich. Operacja rozpocz臋艂a si臋 w 2011 r. i w ci膮gu ostatnich kilku lat zwi臋kszy艂a swoj膮 skal臋 i zasi臋g. O ile w przypadku wi臋kszo艣ci kampanii APT ofiary infekowane s膮 przez miesi膮ce a nawet lata, a w tym czasie osoby atakuj膮ce regularnie kradn膮 dane, cz艂onkowie grupy Icefog "zajmuj膮 si臋" swoimi ofiarami pojedynczo - lokalizuj膮c i kopiuj膮c tylko konkretne, poszukiwane informacje. Po uzyskaniu po偶膮danych informacji, porzucaj膮 sw贸j cel. Osoby atakuj膮ce przechwytuj膮 poufne dokumenty i plany firmowe, dane uwierzytelniaj膮ce dost臋p do kont e-mail oraz has艂a, aby uzyska膰 dost臋p do r贸偶nych zasob贸w w i poza sieci膮 ofiary. W wi臋kszo艣ci przypadk贸w, atakuj膮cy wydaj膮 si臋 dok艂adnie wiedzie膰, czego chc膮 od swoich ofiar. Szukaj膮 okre艣lonych nazw plik贸w, kt贸re s膮 szybko identyfikowane i przesy艂ane do centrum kontroli (C&C). Na podstawie profili zidentyfikowanych ofiar mo偶na wnioskowa膰, 偶e osoby atakuj膮ce interesuj膮 si臋 nast臋puj膮cymi sektorami: wojskowym, stoczniowym i morskim, komputerowym i rozwoju oprogramowania, mass medi贸w i telewizji, firmami badawczymi, operatorami telekomunikacyjnymi i operatorami satelitarnymi.      

Badacze z firmy Kaspersky Lab przeprowadzili operacj臋 leja na 13 z ponad 70 domen wykorzystywanych przez osoby atakuj膮ce. Pozwoli艂o to uzyska膰 statystyki dotycz膮ce liczby ofiar na ca艂ym 艣wiecie. Ponadto, serwery kontroli grupy Icefog zawieraj膮 zaszyfrowane dzienniki ofiar wraz ze szczeg贸艂owymi informacjami dotycz膮cymi wykonywanych na nich operacjach. Dzienniki te mog膮 niekiedy pom贸c zidentyfikowa膰 cele atak贸w, a w niekt贸rych przypadkach - ofiary. Opr贸cz Japonii i Korei Po艂udniowej, monitorowano wiele po艂膮cze艅 z lejem w innych krajach, w tym w Tajwanie, Hong Kongu, Chinach, Stanach Zjednoczonych, Australii, Kanadzie, Wielkiej Brytanii, we W艂oszech, w Niemczech, Austrii, Singapurze, na Bia艂orusi i w Malezji. 艁膮cznie, Kaspersky Lab zidentyfikowa艂 ponad 4000 unikatowych zainfekowanych adres贸w IP i kilkaset ofiar (kilkadziesi膮t ofiar korzystaj膮cych z systemu Windows i ponad 350 ofiar posiadaj膮cych system Mac OS X).  

Na podstawie listy adres贸w IP wykorzystywanych do monitorowania i kontrolowania infrastruktury eksperci z firmy Kaspersky Lab zak艂adaj膮, 偶e niekt贸rzy gracze stoj膮cy za t膮 operacj膮 mieszkaj膮 w co najmniej trzech pa艅stwach: Chinach, Korei Po艂udniowej i Japonii.

Kimsuky

We wrze艣niu zesp贸艂 badawczy z firmy Kaspersky Lab opublikowa艂 raport, w kt贸rym analizowano aktywn膮 kampani臋 cyberszpiegowsk膮, kt贸rej g艂贸wnym celem by艂y grupy doradcze z Korei Po艂udniowej. 

Kampania ta, nosz膮ca nazw臋 Kimsuky, ma ograniczony zasi臋g i jest wysoce ukierunkowana. Z analizy technicznej wynika, 偶e osoby atakuj膮ce by艂y zainteresowane 11 organizacjami zlokalizowanymi w Korei Po艂udniowej i dwoma podmiotami w Chinach, w艂膮czaj膮c Instytut Sejong, Korea艅ski Instytut Analiz Obronnych, Po艂udniowokorea艅skie Ministerstwo Unifikacji, Hyundai Merchant Marine i Zwolennik贸w Zjednoczenia Korei.      

Najwcze艣niejsze oznaki aktywno艣ci Kimsuky odnotowano 3 kwietnia 2013 r., a pierwsze pr贸bki trojana Kimsuky pojawi艂y si臋 5 maja 2013 r. Ten niewyrafinowany program szpiegowski zawiera kilka podstawowych b艂臋d贸w w kodowaniu i obs艂uguje komunikacj臋 do i z zainfekowanych maszyn za po艣rednictwem bu艂garskiego, darmowego sieciowego serwera poczty.   

Chocia偶 pierwotny mechanizm rozprzestrzeniania szkodliwego oprogramowania pozostaje nieznany, specjali艣ci z Kaspersky Lab uwa偶aj膮, 偶e szkodliwe oprogramowanie Kimsuky jest najprawdopodobniej dostarczane za po艣rednictwem e-maili typu spear-phishing i potrafi wykonywa膰 nast臋puj膮ce funkcje szpieguj膮ce: rejestrowanie uderze艅 klawiszy, dost臋p do zdalnej kontroli oraz kradzie偶 dokument贸w HWP (zwi膮zanych z po艂udniowokorea艅skim edytorem tekstu z pakietu Hancom Office, powszechnie wykorzystywanym przez lokalny rz膮d). Osoby atakuj膮ce wykorzystuj膮 zmodyfikowan膮 wersj臋 aplikacji umo偶liwiaj膮cej zdalny dost臋p, TeamViewer, kt贸ra pe艂ni funkcj臋 backdoora s艂u偶膮cego do przechwytywania plik贸w z zainfekowanych maszyn.     

Szkodliwe oprogramowanie Kimsuky zawiera wyspecjalizowany szkodliwy program, kt贸rego celem jest kradzie偶 plik贸w HWP, co sugeruje, 偶e dokumenty te stanowi膮 jeden z g艂贸wnych cel贸w tej grupy.

Wskaz贸wki znalezione przez ekspert贸w z Kaspersky Lab sugeruj膮, 偶e osoby atakuj膮ce pochodz膮 z Korei P贸艂nocnej. Ju偶 same profile cel贸w m贸wi膮 za siebie - po艂udniowokorea艅skie uniwersytety prowadz膮ce badania w dziedzinie spraw mi臋dzynarodowych i kszta艂tuj膮ce polityk臋 obronn膮 rz膮du, krajowa firma spedycyjna oraz zwolennicy zjednoczenia Korei.

Po drugie, ci膮g 艣cie偶ki kompilacji zawieraja korea艅skie s艂owa (niekt贸re z nich mo偶na by przet艂umaczy膰 jako angielskie polecenia "atak" i "wykonanie").

Po trzecie, dwa adresy e-mail, na kt贸re boty wysy艂aj膮 raporty dotycz膮ce stanu oraz informacje dotycz膮ce zainfekowanego systemu za po艣rednictwem za艂膮cznik贸w - iop110112@hotmail.com i rsh1213@hotmail.com - zosta艂y zarejestrowane przy u偶yciu nast臋puj膮cych nazw "kim": "kimsukyang" i "Kim asdfa". Chocia偶 te dane rejestracyjne nie zawieraj膮 jednoznacznych informacji identyfikuj膮cych sprawc贸w, 藕r贸d艂owe adresy IP os贸b atakuj膮cych pasuj膮 do profilu: istnieje 10 adres贸w IP i wszystkie z nich znajduj膮 si臋 w sieci prowincji Jilin i sieci prowincji Liaoning w Chinach. Dostawcy us艂ug internetowych w tych prowincjach podobno dostarczaj膮 艂膮cze tak偶e do niekt贸rych cz臋艣ci Korei P贸艂nocnej.

Historie zwi膮zane z niekt贸rymi szkodnikami

Aresztowanie autora zestawu exploit贸w Blackhole

Na pocz膮tku pa藕dziernika w Rosji aresztowano autora Blackhole, znanego jako Paunch, oraz jego partner贸w. Blackhole to prawdopodobnie najskuteczniejszy zestaw exploit贸w w ostatnich latach. Jest wydzier偶awiany cyberprzest臋pcom, kt贸rzy chc膮 rozprzestrzenia膰 szkodliwe oprogramowanie za po艣rednictwem atak贸w drive-by download - obecnie najpopularniejszego wektora atak贸w. W celu zainfekowania maszyn u偶ytkownik贸w przest臋pcy wykorzystuj膮 szkodliwe odsy艂acze prowadz膮ce do zhakowanych stron internetowych, a nast臋pnie wybierane s膮 odpowiednie exploity z zestawu w zale偶no艣ci od wersji oprogramowania zainstalowanego na maszynie ofiary, np. Flash, Java lub Adobe Reader.     

Ten przypadek aresztowania cyberprzest臋pc贸w jest uznawany za jeden z najwa偶niejszych w ostatnim czasie, zaraz po aresztowaniu cz艂onk贸w gangu Carberp w marcu i kwietniu tego roku. O ile w przypadku grupy Carberp kod 藕r贸d艂owy zosta艂 udost臋pniony publicznie, nadal nie wiadomo, jaki los spotka Blackhole: by膰 mo偶e zniknie, a by膰 mo偶e zostanie przej臋ty przez innych cyberprzest臋pc贸w lub zast膮piony konkurencyjnymi zestawami exploit贸w.

Pojawienie si臋 nowego botnetu router贸w

We wrze艣niu tego roku Heise poinformowa艂 o wykryciu nowego botnetu sk艂adaj膮cego si臋 z router贸w. Routery stanowi膮 podstaw臋 ka偶dej sieci domowej, a ich infekcja ma wp艂yw na wszystkie pod艂膮czone do nich urz膮dzenia - komputery PC, komputery Mac, tablety, smartfony, a nawet inteligentny telewizor. Bot o nazwie Linux/Flasher.A "wy艂uskuje" wszelkie dane uwierzytelniaj膮ce logowanie przesy艂ane z dowolnego urz膮dzenia. Infekcja nast臋puje poprzez luk臋 w zabezpieczeniach serwera sieciowego router贸w zawieraj膮cego oprogramowanie sprz臋towe dla router贸w DD-WRT. Niew艂a艣ciwie utworzone zapytanie HTTP prowadzi do wykonania dowolnego kodu. "Zdobycz" w postaci przechwyconych danych uwierzytelniaj膮cych logowanie jest nast臋pnie przesy艂ana do zhakowanych serwer贸w sieciowych. 

Luka wykorzystywana przez Flasher.a zosta艂a zidentyfikowana w 2009 roku i mimo 偶e wypuszczono dla niej 艂at臋, ponad 25 000 urz膮dze艅 nadal nie jest bezpiecznych, jak podaje Heise. Wskazuje to na powa偶ne zagro偶enie zwi膮zane z routerami: oprogramowanie sprz臋towe (tzw. firmware) rzadko bywa aktualizowane przez u偶ytkownik贸w, przez co staj膮 si臋 oni 艂atwym celem w przypadku wykrycia nowych luk w zabezpieczeniach.               

Bezpiecze艅stwo sieciowe i incydenty naruszenia ochrony danych

W艂amanie do niemieckiego Vodafone

W po艂owie wrze艣nia Vodafone Germany pad艂a ofiar膮 incydentu naruszenia bezpiecze艅stwa danych, w kt贸rym osoba atakuj膮ca skopiowa艂a dwa miliony rekord贸w zawieraj膮cych dane dotycz膮ce klient贸w. Rekordy te zawiera艂y nie tylko nazwiska i adresy, ale r贸wnie偶 szczeg贸艂y bankowe. Na podstawie zakresu skradzionych danych i pozostawionych 艣lad贸w Vodafone podejrzewa, 偶e by艂a to robota kogo艣 z wewn膮trz. Szybko zidentyfikowano podejrzanego, jednak do ataku przyzna艂o si臋 ugrupowanie hakerskie o nazwie Team_L4w, twierdz膮c, 偶e jeden z ich cz艂onk贸w u偶y艂 zainfekowanego urz膮dzenia USB w celu zainfekowania maszyny pracownika Vodafone.

Vodafone zawiadomi艂 o incydencie wszystkich klient贸w, kt贸rzy ucierpieli na jego skutek. Firma stworzy艂a r贸wnie偶 forum internetowe, za pomoc膮 kt贸rego klienci mog膮 sprawdzi膰, czy zosta艂a naruszona prywatno艣膰 ich danych.  

Atak hakerski na Apple Developer Area

W lipcu Apple na ponad trzy tygodnie "zdj膮艂" z sieci sw贸j portal Apple Developer, po tym jak haker uzyska艂 dost臋p do informacji osobowych zarejestrowanych na nim programist贸w. Sprawca i spos贸b przeprowadzenia ataku nadal pozostaj膮 nieznane i istnieje kilka mo偶liwych wyja艣nie艅. Nied艂ugo po ujawnieniu tego incydentu rzekomy konsultant ds. bezpiecze艅stwa opublikowa艂 film w serwisie YouTube, w kt贸rym przyzna艂 si臋 do przeprowadzenia ataku.

Jak twierdzi, skopiowa艂 ponad 100 000 rekord贸w z baz danych firmy Apple, kt贸re obieca艂 skasowa膰, i wykorzysta艂 b艂膮d cross-site scripting w portalu Apple Developer. Nast臋pnie przekaza艂 19 rekord贸w gazecie Guardian, kt贸ra ustali艂a, 偶e niekt贸re adresy by艂y niewa偶ne, a pozosta艂e wydawa艂y si臋 nieaktywne. To rzuci艂o cie艅 w膮tpliwo艣ci na jego wyznanie.    

Co ciekawe, dwa dni przed tym, jak Apple zdj膮艂 portal dla programist贸w, na forach Apache kto艣 opublikowa艂 wiadomo艣膰 o nowej luce. Opr贸cz podania szczeg贸艂贸w udost臋pni艂 r贸wnie偶 w ca艂o艣ci dzia艂aj膮cego exploita. Wed艂ug chi艅skiej strony internetowej, doprowadzi艂o to do przeprowadzonych na du偶膮 skal臋 atak贸w - w kt贸rych Apple stanowi艂 zaledwie jedn膮 z wielu ofiar.

Porywanie znanych domen

Na pocz膮tku pa藕dziernika zhakowano kilka popularnych domen, w tym whatsapp.com, alexa.com, redtube.com oraz dwie znane firmy z bran偶y bezpiecze艅stwa. Wygl膮da na to, 偶e zamiast w艂ama膰 si臋 do serwer贸w sieciowych osoby atakuj膮ce, grupa o nazwie KDMS, wola艂a porwa膰 organizacje zarz膮dzaj膮ce przydzielaniem nazw domen internetowych (DNS). Wszystkie zhakowane domeny korzysta艂y tej samej organizacji DNS i zosta艂y uaktualnione nied艂ugo przed tym, jak incydent ten ujrza艂 艣wiat艂o dzienne. Wed艂ug Softpedia, dostawca us艂ug internetowych obs艂uguj膮cy zhakowane strony zosta艂 zaatakowany przy u偶yciu metody polegaj膮cej na wys艂aniu fa艂szywych 偶膮da艅 resetowania hase艂 za po艣rednictwem poczty e-mail. Po przej臋ciu kontroli nad domen膮 przy u偶yciu nowych danych uwierzytelniaj膮cych dost臋p osoby atakuj膮ce zmieni艂y wpisy i rozpowszechnia艂y o艣wiadczenia polityczne.         

Mobilne szkodliwe oprogramowanie

W trzecim kwartale 2013 r. wiele si臋 dzia艂o na froncie walki z mobilnym szkodliwym oprogramowaniem, poniewa偶 w arsenale cyberprzest臋pc贸w pojawi艂 si臋 ca艂y zestaw nowych sztuczek.  

Nowe pomys艂y tw贸rc贸w szkodliwego oprogramowania

Trzeci kwarta艂 bez w膮tpienia up艂yn膮艂 pod znakiem mobilnych botnet贸w. Cyberprzest臋pcy stoj膮cy za najbardziej rozpowszechnionymi trojanami SMS pr贸buj膮 przyda膰 nieco interaktywno艣ci do sposobu zarz膮dzania swoimi zasobami. W tym celu zarz膮dzaj膮 swoimi botami przy u偶yciu Google Cloud Messaging (GCM). Serwis ten pozwala im wysy艂a膰 kr贸tkie wiadomo艣ci w formacie JSON na urz膮dzenia mobilne, s艂u偶膮c jako dodatkowy serwer kontroli dla ich trojan贸w.  

Wykrycie tego sposobu interakcji stanowi powa偶ne wyzwanie dla rozwi膮za艅 bezpiecze艅stwa. Polecenia otrzymywane z GCM s膮 obs艂ugiwane przez system, co oznacza, 偶e nie mog膮 zosta膰 po prostu zablokowane na zainfekowanych urz膮dzeniach. Jedynym sposobem, aby uniemo偶liwi膰 tw贸rcom szkodliwego oprogramowania wykorzystywanie tego kana艂u do komunikowania si臋 z ich szkodliwym oprogramowaniem jest zablokowanie kont GCM tw贸rc贸w, kt贸rzy wykorzystuj膮 je do rozprzestrzeniania szkodliwego oprogramowania. 

Niewiele mobilnych szkodliwych program贸w potrafi wykorzystywa膰 GCM, ale te, kt贸re potrafi膮, s膮 cz臋sto bardzo popularne.

W po艂owie lipca 2013 r. zidentyfikowali艣my pierwsze botnety os贸b trzecich, tj. mobilne urz膮dzenia zainfekowane innymi szkodliwymi programami i wykorzystywane przez innych cyberprzest臋pc贸w do rozprzestrzeniania mobilnego szkodliwego oprogramowania.

W ten spos贸b rozprzestrzeniany by艂 najbardziej wyrafinowany trojan dla Androida, znany jako Obad - przy u偶yciu urz膮dze艅 przeno艣nych zainfekowanych trojanem Trojan-SMS.AndroidOS.Opfake.a. Po otrzymaniu polecenia z serwera kontroli Opfake zacz膮艂 wysy艂a膰 wiadomo艣ci tekstowe do wszystkich kontakt贸w ofiary, zach臋caj膮c ich do pobrania nowej wiadomo艣ci MMS. Je偶eli u偶ytkownik, kt贸ry otrzyma艂 ten tekst, kliknie zawarty w wiadomo艣ci odsy艂acz, na jego urz膮dzenie zostanie automatycznie pobrany  Backdoor.AndroidOS.Obad.a.  

Mobilne szkodliwe oprogramowanie jest zwykle wykorzystywane do kradzie偶y pieni臋dzy w艂a艣cicieli telefon贸w. W III kwartale pojawi艂 si臋 nowy szkodliwy program, kt贸ry pozwala cyberprzest臋pcom kra艣膰 pieni膮dze z kont bankowych ofiar, jak r贸wnie偶 z ich kont na telefonach kom贸rkowych. W lipcu wykryli艣my trojana o nazwie Trojan-SMS.AndroidOS.Svpeng.a, kt贸ry mo偶e zosta膰 poinstruowany przez swojego tw贸rc臋, aby ustali艂, czy numer telefonu kom贸rkowego jest powi膮zany z serwisami bankowo艣ci online r贸偶nych rosyjskich bank贸w. Druga modyfikacja tego trojana zawiera艂a kod wykonuj膮cy t臋 funkcjonalno艣膰: 

q3malware2013_01.png

Telefon powi膮zany z us艂ug膮 bankowo艣ci mobilnej zazwyczaj daje mo偶liwo艣膰 do艂adowania konta mobilnego poprzez wys艂anie wiadomo艣ci tekstowej stworzonej w oparciu o okre艣lony szablon. Pozwala to osobom atakuj膮cym wykorzysta膰 us艂ug臋 bankowo艣ci mobilnej do przelania dost臋pnych 艣rodk贸w na swoje mobilne numery, a nast臋pnie zamieni膰 je na got贸wk臋, np. poprzez przelewanie pieni臋dzy na konta w systemie p艂atno艣ci elektronicznych, takich jak QIWI Wallet.   

Trojan-SMS.AndroidOS.Svpeng.a uniemo偶liwia ofierze komunikowanie si臋 z bankiem. W szczeg贸lno艣ci, przechwytuje wiadomo艣ci i po艂膮czenia pochodz膮ce z numer贸w bank贸w. W efekcie, ofiary cz臋sto przez d艂ugi czas nie zdaj膮 sobie sprawy, 偶e ich pieni膮dze s膮 kradzione z kont bankowych.  

Trojany te mog膮 narazi膰 u偶ytkownik贸w na straty w wysoko艣ci tysi臋cy dolar贸w.

Wykorzystywanie r贸偶nych luk w systemie Android staje si臋 coraz bardziej rozpowszechnione. Na przyk艂ad, Svpeng.a chroni艂 nieistniej膮ce archiwum przy u偶yciu nieistniej膮cego has艂a i przechwytywa艂 komunikat dotycz膮cy nadania praw administratora urz膮dzenia, przez co u偶ytkownicy nie mogli samodzielnie usun膮膰 aplikacji.

Prawa administratora urz膮dzenia s膮 obecnie wykorzystywane r贸wnie偶 przez inne szkodliwe programy, umo偶liwiaj膮c im efektywne dzia艂anie przez d艂ugi czas na wi臋kszo艣ci wersji Androida.

Luki "Master key": luki w Androidzie pozwalaj膮 aplikacjom unikn膮膰 kontroli integralno艣ci  

Na pocz膮tku trzeciego kwarta艂u zosta艂y wykryte dwie bardzo nieprzyjemne luki w zabezpieczeniach Androida, z kt贸rych dwie s膮 okre艣lane jako luki "Master Key". Luki te pozwalaj膮 zmodyfikowa膰 komponenty aplikacji, obchodz膮c sygnatur臋 kryptograficzn膮 , tak aby Android nadal traktowa艂 je jako ca艂kowicie legalne mimo nowej, potencjalnie szkodliwej zawarto艣ci.

Luki te maj膮 wiele ze sob膮 wsp贸lnego. Pierwsza z nich zosta艂a wykryta jeszcze w lutym przez Bluebox Security Company, a nast臋pnie przedstawiona szczeg贸艂owo przez Jeffa Forristala podczas konferencji BlackHat w Las Vegas. Wed艂ug Bluebox, luka ta wyst臋puje we wszystkich wersjach Androida pocz膮wszy od 1.6 i dlatego mo偶e dotyczy膰 niemal ka偶dego urz膮dzenia wprowadzonego do sprzeda偶y w ci膮gu minionych czterech lat. Aplikacje stanowi膮 pojedyncze pliki z rozszerzeniem .APK (Android Package). Zwykle s膮 to pliki ZIP, w kt贸rych wszystkie zasoby s膮 spakowane w plikach o specjalnych nazwach (kod aplikacji znajduje si臋 zazwyczaj w classes.dex). Ka偶da pr贸ba zmiany zawarto艣ci pliku APK jest zwykle powstrzymywana podczas instalacji aplikacji w systemie Android. Sam format ZIP nie wyklucza zduplikowanych nazw plik贸w i w razie "zduplikowanych" zasob贸w Android wydaje si臋 sprawdza膰 jeden plik, ale uruchamia inny.  

Informacje dotycz膮ce drugiej luki w zabezpieczeniach zosta艂y opublikowane przez chi艅skich ekspert贸w. Problem polega tutaj na jednoczesnym wykorzystywaniu dw贸ch metod odczytu i rozpakowywania plik贸w APK oraz dw贸ch r贸偶nych interpretacji j臋zyk贸w Java i C. Podobnie jak w przypadku pierwszej luki, tu r贸wnie偶 mo偶na wykorzysta膰 r贸偶ne pliki APK o identycznych nazwach w celu "majstrowania" w systemie. Nale偶y zauwa偶y膰, 偶e jednym z warunk贸w udanego ataku jest rozmiar pierwotnego pliku classes.dex - musi by膰 nie mniejszy ni偶 64 kilobajt贸w, a tego nie spotkamy w wi臋kszo艣ci aplikacji dla Androida.         

Dane statystyczne

W III kwartale 2013 roku liczba pr贸bek mobilnego szkodliwego oprogramowania stale ros艂a:

q3malware2013_02.png 

Liczba pr贸bek mobilnego szkodliwego oprogramowania w naszej kolekcji

Rozk艂ad pr贸bek mobilnego szkodliwego oprogramowania wykrytych w III kwartale 2013 roku wed艂ug rodzaju by艂 podobny do II kwarta艂u:

q3malware2013_03.png 

Rozk艂ad nowych pr贸bek mobilnego szkodliwego oprogramowania wed艂ug typu zachowania, 
II kwarta艂 2013 r.

Pierwsze miejsce nadal zajmuj膮 backdoory, mimo 偶e ich udzia艂 zmniejszy艂 si臋 o 1,3 punktu procentowego w por贸wnaniu z II kwarta艂em 2013 r. Trojany SMS (30%), kt贸rych odsetek zwi臋kszy艂 si臋 o 2,3 punktu procentowego w stosunku do poprzedniego kwarta艂u, znalaz艂y si臋 na drugiej pozycji. Podobnie jak w II kwartale, tu偶 za nimi uplasowa艂y si臋 trojany (22%) i trojany szpieguj膮ce, kt贸re stanowi膮 5% og贸艂u. Backdoory i trojany SMS stanowi膮 艂膮cznie 61% ca艂ego mobilnego szkodliwego oprogramowania wykrytego w trzecim kwartale - to o 4,5 punktu procentowego wi臋cej ni偶 w II kwartale.      

Mobilne szkodliwe programy zazwyczaj zawieraj膮 kilka szkodliwych komponent贸w, co oznacza, 偶e backdoory cz臋sto posiadaj膮 funkcjonalno艣膰 trojana SMS, a trojany SMS mog膮 zawiera膰 zaawansowan膮 funkcjonalno艣膰 bota.   

TOP 20 mobilnych szkodliwych program贸w

 

Nazwa

% wszystkich atak贸w

1

DangerousObject.Multi.Generic

29,15%

2

Trojan-SMS.AndroidOS.OpFake.bo

17,63%

3

Trojan-SMS.AndroidOS.FakeInst.a

8,40%

4

Trojan-SMS.AndroidOS.Agent.u

5,49%

5

Trojan.AndroidOS.Plangton.a

3,15%

6

Trojan-SMS.AndroidOS.Agent.cm

3,92%

7

Trojan-SMS.AndroidOS.OpFake.a

3,58%

8

Trojan-SMS.AndroidOS.Agent.ao

1,90%

9

Trojan.AndroidOS.MTK.a

1,00%

10

DangerousObject

1,11%

11

Trojan-SMS.AndroidOS.Stealer.a

0,94%

12

Trojan-SMS.AndroidOS.Agent.ay

0,97%

13

Exploit.AndroidOS.Lotoor.g

0,94%

14

Trojan-SMS.AndroidOS.Agent.a

0,92%

15

Trojan-SMS.AndroidOS.FakeInst.ei

0,73%

16

Trojan.AndroidOS.MTK.c

0,60%

17

Trojan-SMS.AndroidOS.Agent.df

0,68%

18

Trojan-SMS.AndroidOS.Agent.dd

0,77%

19

Backdoor.AndroidOS.GinMaster.a

0,80%

20

Trojan-Downloader.AOS.Boqx.a

0,49%

 

Dwana艣cie program贸w z rankingu nale偶y do klasy Trojan-SMS. To sugeruje, 偶e trojany SMS stanowi膮 najpopularniejszy typ szkodliwego oprogramowania wykorzystywanego przez cyberprzest臋pc贸w w atakach, kt贸rych celem jest zarobienie pieni臋dzy na urz膮dzeniach mobilnych.  

Na najwy偶szej pozycji znajduje si臋 werdykt DangerousObject.Multi.Generic - werdykt ten oznacza, 偶e jeste艣my 艣wiadomi szkodliwego charakteru aplikacji, ale z jakich艣 wzgl臋d贸w nie dostarczyli艣my naszym u偶ytkownikom sygnatur umo偶liwiaj膮cych wykrycie jej. W takich wypadkach, wykrywanie jest mo偶liwe za pomoc膮 technologii opartych na chmurze zaimplementowanych w sieci Kaspersky Security Network, kt贸ra umo偶liwia naszemu produktowi zminimalizowanie czasu reakcji na nowe i nieznane zagro偶enia.  

Pr贸bki mobilnego szkodliwego oprogramowania znajduj膮ce si臋 na kolejnych trzech pozycjach to z艂o偶one aplikacje wykorzystywane przez tw贸rc贸w szkodliwego oprogramowania do tworzenia mobilnych botnet贸w.

Na drugim miejscu znajduje si臋 Trojan-SMS.AndroidOS.OpFake.bo - jeden z najbardziej wyrafinowanych trojan贸w SMS. Cechami, kt贸re wyr贸偶niaj膮 ten program, jest dobrze zaprojektowany interfejs oraz chciwo艣膰 jego tw贸rc贸w. Po uruchomieniu trojan kradnie pieni膮dze w艂a艣ciciela urz膮dzenia mobilnego - od 9 dolar贸w po ca艂膮 sum臋 na koncie u偶ytkownika. Istnieje r贸wnie偶 ryzyko zdyskredytowania numeru telefonu u偶ytkownika, poniewa偶 trojan ten potrafi gromadzi膰 numery z listy kontakt贸w i wysy艂a膰 na nie wiadomo艣ci SMS. Celem tego szkodliwego oprogramowania s膮 g艂贸wnie osoby rosyjskoj臋zyczne i u偶ytkownicy z kraj贸w Wsp贸lnoty Niepodleg艂ych Pa艅stw. Kolejny szkodliwy program z tej samej rodziny i z podobn膮 funkcjonalno艣ci膮 uplasowa艂 si臋 na si贸dmym miejscu w rankingu.        

Trzecie miejsce zajmuje Trojan-SMS.AndroidOS.FakeInst.a. Podobnie jak OpFake, szkodnik ten ewoluowa艂 w ci膮gu minionych dw贸ch lat z prostego trojana w ca艂kowicie funkcjonalnego bota kontrolowanego za po艣rednictwem r贸偶nych kana艂贸w (w tym Google Cloud Messaging). Trojan ten potrafi kra艣膰 pieni膮dze z konta u偶ytkownika i wysy艂a膰 wiadomo艣ci na numery z listy kontaktowej ofiary. 

Czwarte miejsce zajmuje Trojan-SMS.AndroidOS.Agent.u. By艂 to pierwszy trojan, kt贸ry wykorzysta艂 luk臋 w systemie Android w celu uzyskania praw administratora urz膮dzenia, utrudniaj膮c tym samym usuwanie go. Ponadto, potrafi odrzuca膰 po艂膮czenia przychodz膮ce i samodzielnie inicjowa膰 po艂膮czenia. Potencjalne szkody: wys艂anie wielu wiadomo艣ci SMS, kt贸rych koszt wynosi co najmniej 9 dolar贸w.  

Android by艂 celem 99,9% wszystkich atak贸w na platformy mobilne w III kwartale 2013 r. Nie jest to 偶adn膮 niespodziank膮: platforma ta nadal cieszy si臋 popularno艣ci膮 i ma otwarty charakter; co wi臋cej, nawet jej najnowsze wersje obs艂uguj膮 instalacj臋 aplikacji z nieznanych 藕r贸de艂.

Nale偶y jednak odda膰 sprawiedliwo艣膰 firmie Google - system ten reaguje teraz na niekt贸re szkodliwe aplikacje:

q3malware2013_04.png

 

To oznacza, 偶e tw贸rcy jednego z najpopularniejszych mobilnych system贸w operacyjnych zdali sobie spraw臋, 偶e Android stanowi obecnie g艂贸wny cel mobilnego szkodliwego oprogramowania, i pr贸buj膮 zapewni膰 u偶ytkownikom systemu przynajmniej cz臋艣ciow膮 ochron臋. 

Dane statystyczne

Wszystkie dane statystyczne wykorzystane w tym raporcie pochodz膮 z opartego na chmurze systemu Kaspersky Security Network (KSN). Dane te zosta艂y dostarczone przez u偶ytkownik贸w systemu KSN, kt贸rzy zgodzili si臋 udost臋pni膰 informacje o szkodliwej aktywno艣ci na ich komputerach. W globalnej wymianie informacji dotycz膮cej szkodliwej aktywno艣ci uczestnicz膮 miliony u偶ytkownik贸w produkt贸w firmy Kaspersky Lab z 213 kraj贸w.

Zagro偶enia online

Dane statystyczne zaprezentowane w tej sekcji pochodz膮 z komponent贸w ochrony WWW, kt贸re chroni膮 u偶ytkownik贸w, w przypadku gdy szkodliwy kod pr贸buje pobra膰 si臋 z zainfekowanych stron internetowych. Zainfekowane strony internetowe mog膮 by膰 tworzone przez szkodliwych u偶ytkownik贸w, mog膮 r贸wnie偶 sk艂ada膰 si臋 na nie tre艣ci dostarczane przez u偶ytkownika (np. fora) lub legalne zasoby, kt贸re zosta艂y zhakowane.   

Wykrywanie zagro偶e艅 online

W trzecim kwartale br. produkty firmy Kaspersky Lab wykry艂y 500 284 715 atak贸w przeprowadzonych z zasob贸w online na ca艂ym 艣wiecie.

 

Top 20 wykrytych zasob贸w online 

Miejsce

Nazwa*

% wszystkich atak贸w**

1

Malicious URL

89,16%

2

Trojan.Script.Generic

3,57%

3

Adware.Win32.MegaSearch.am

2,72%

4

Trojan-Downloader.JS.Psyme.apb

1,19%

5

Trojan.Script.Iframer

1,10%

6

Exploit.Script.Blocker

0,37%

7

Trojan.Win32.Generic

0,35%

8

Trojan-Downloader.Script.Generic

0,28%

9

Trojan.JS.Iframe.aeq

0,15%

10

Adware.Win32.Agent.aeph

0,13%

11

Exploit.Java.Generic

0,11%

12

Trojan-Downloader.Win32.MultiDL.k

0,10%

13

Trojan-Downloader.Win32.Generic

0,10%

14

Exploit.Script.Generic

0,08%

15

Exploit.Script.Blocker.u

0,06%

16

WebToolbar.Win32.MyWebSearch.rh

0,06%

17

Packed.Multi.MultiPacked.gen

0,06%

18

Trojan-SMS.J2ME.Agent.kn

0,05%

19

Adware.Win32.Lyckriks.j

0,05%

20

Exploit.JS.Agent.bnk

0,04%

*Dane te stanowi膮 werdykty wykrywania wygenerowane przez modu艂y ochrony przed zagro偶eniami online i zosta艂y dostarczone przez u偶ytkownik贸w produkt贸w Kaspersky Lab, kt贸rzy wyrazili zgod臋 na udost臋pnienie informacji o szkodliwej aktywno艣ci na ich komputerach.

**Odsetek unikatowych incydent贸w zarejestrowanych przez modu艂y ochrony przed zagro偶eniami online na komputerach u偶ytkownik贸w.

Ranking ten po raz kolejny pokazuje, 偶e wi臋kszo艣膰 wykry膰 szkodliwego oprogramowania ma miejsce na poziomie adresu URL. 89,2% wszystkich wykry膰 dokonanych przez modu艂y ochrony przed zagro偶eniami online dotyczy艂o szkodliwych odsy艂aczy umieszczonych na czarnej li艣cie (Malicious URL, 1 miejsce).   

Po艂ow臋 rankingu tworz膮 r贸偶ne werdykty wskazuj膮ce na szkodliwe obiekty wykorzystywane w atakach drive-by download, kt贸re stanowi膮 obecnie jedn膮 z najbardziej rozpowszechnionych metod wykorzystywanych do infekowania komputer贸w u偶ytkownik贸w. S膮 to zar贸wno werdykty heurystyczne (Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic i Exploit.Script.Generic) jak i nieheurystyczne.

Werdykty nieheurystyczne w tym rankingu obejmuj膮 w wi臋kszo艣ci programy reklamuj膮ce: ich udzia艂 zwi臋kszy艂 si臋 o 2,4 punktu procentowego w stosunku do II kwarta艂u 2013 r.

W III kwartale w rankingu znalaz艂 si臋 niespodziewanie Trojan-SMS.J2ME.Agent.kn, kt贸rego celem jest mobilna platforma Java Platform Micro Edition. Przedstawiciele tej rodziny znajdowali si臋 poza rankingiem od 2011 r. G艂贸wn膮 funkcj膮 tego mobilnego szkodliwego oprogramowania jest wysy艂anie wiadomo艣ci tekstowych na numery premium. Szkodnik jest rozprzestrzeniany za po艣rednictwem wiadomo艣ci spamowych w ICQ, kt贸re zawieraj膮 odsy艂acz do aplikacji Javy jak r贸wnie偶 stron tematycznych, na kt贸rych u偶ytkownik jest zach臋cany do pobrania aplikacji. Po tym, jak u偶ytkownik kliknie odsy艂acz, na stronie sprawdzane jest pole User-Agent w celu zidentyfikowania typu wykorzystywanego przez u偶ytkownika systemu operacyjnego. Je偶eli User-Agent jest zgodny z przegl膮dark膮 opart膮 na Androidzie, zostaje pobrana szkodliwa aplikacja dla Androida. We wszystkich pozosta艂ych przypadkach, 艂膮cznie z wykorzystywaniem przegl膮darki internetowej na standardowym komputerze PC, w艂a艣ciciel szkodnika wola艂 wykorzystywa膰 "domy艣lnie" aplikacj臋 J2ME. W momencie klikni臋cia takich odsy艂aczy zainstalowane na komputerach modu艂y ochrony przed zagro偶eniami online generuj膮 werdykt Trojan-SMS.J2ME.Agent.kn.        

Pa艅stwa, w kt贸rych znajduje si臋 najwi臋cej szkodliwego oprogramowania w zasobach online 

Poni偶sze statystyki opieraj膮 si臋 na fizycznej lokalizacji zasob贸w online wykorzystanych w atakach zarejestrowanych przez Kaspersky Security Network (strony zawieraj膮ce przekierowania do exploit贸w, strony zawieraj膮ce exploity i inne szkodliwe oprogramowanie, centra kontroli botnet贸w itd.). Odpowiedni udzia艂 procentowy opiera si臋 na liczbie atak贸w sieciowych zarejestrowanych przez KSN. W celu okre艣lenia 藕r贸d艂a geograficznego atak贸w sieciowych wykorzystano metod臋 polegaj膮c膮 na por贸wnywaniu nazw domen z rzeczywistymi adresami IP domen, a nast臋pnie ustalaniu geograficznej lokalizacji okre艣lonego adresu IP (GEOIP). 81,5% zasob贸w online wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania znajduje si臋 w 10 pa艅stwach. Jest to o 1,5 punktu procentowego mniej ni偶 w II kwartale 2013 r.  

q3malware2013_05_auto.png 

Rozk艂ad zasob贸w online, w kt贸rych znajduje si臋 najwi臋cej szkodliwych program贸w 
w III kwartale 2013 r.

Rozk艂ad pa艅stw o najwi臋kszej liczbie szkodliwych serwis贸w hostingowych zmieni艂 si臋 nieznacznie w stosunku do drugiego kwarta艂u tego roku. Na czo艂owych pozycjach utrzyma艂y si臋 Stany Zjednoczone (27,7%), Rosja (18,5%), Niemcy (13,4%) i Holandia (11,6%). Te cztery pa艅stwa stanowi膮 艂膮cznie 70,15% wszystkich szkodliwych host贸w. Z rankingu wypad艂y Chiny i Wietnam, podczas gdy nowo艣ci - Kanada (1,3%) i Wyspy Dziewicze (1,2%), zaj臋艂y odpowiednio 8 i 9 miejsca.      

Pa艅stwa, w kt贸rych u偶ytkownicy s膮 najbardziej nara偶eni na ryzyko infekcji online

W celu oszacowania poziomu ryzyka infekcj膮 online, na jakie nara偶eni s膮 u偶ytkownicy z r贸偶nych kraj贸w, obliczyli艣my, jak cz臋sto nasze produkty zainstalowane na komputerach u偶ytkownik贸w rejestrowa艂y wykrycia przy u偶yciu modu艂贸w ochrony przed zagro偶eniami online w ci膮gu minionych trzech miesi臋cy.

q3malware2013_06_auto.png

Top 20 pa艅stw* o najwy偶szym poziomie ryzyka infekcji** w III kwartale 2013 r.

* Dla cel贸w zwi膮zanych z powy偶szymi obliczeniami wy艂膮czyli艣my pa艅stwa, w kt贸rych liczba u偶ytkownik贸w produkt贸w firmy Kaspersky Lab jest stosunkowo niewielka (poni偶ej 10 000).

** Odsetek unikatowych u偶ytkownik贸w w pa艅stwie, w kt贸rym zlokalizowane s膮 komputery z zainstalowanymi produktami firmy Kaspersky Lab, kt贸re zablokowa艂y zagro偶enia sieciowe.

Lista pa艅stw w rankingu nie zmieni艂a si臋 w stosunku do II kwarta艂u 2013 r. z wyj膮tkiem Niemiec, kt贸re uplasowa艂y si臋 na 12 miejscu (35,78%), i Libii, kt贸ra ca艂kowicie wypad艂a z rankingu. 

Warto zauwa偶y膰, 偶e w III kwartale 2013 roku 偶aden wynik indywidualnego pa艅stwa nie przekroczy艂 50%. Na przyk艂ad udzia艂 procentowy Rosji (1 miejsce w rankingu) wynosi艂 49,66%. To oznacza, 偶e w III kwartale 2013 r. 偶adne pa艅stwo nie zakwalifikowa艂o si臋 do grupy pa艅stw o maksymalnym ryzyku, w kt贸rych ponad 60% u偶ytkownik贸w przynajmniej raz zetkn臋艂o si臋 z zagro偶eniem online.    

Wszystkie pa艅stwa mo偶na podzieli膰 na cztery g艂贸wne grupy:

  1. Wysokie ryzyko. W grupie tej znalaz艂o si臋 osiem pierwszych pa艅stw z rankingu (o dwa mniej ni偶 w II kwartale 2013 r.) z odsetkiem 41 - 60%. Obejmuje ona Wietnam (43,45%) oraz pa艅stwa By艂ego Zwi膮zku Radzieckiego, szczeg贸lnie Rosj臋 (49,66%), Kazachstan (49,22%), Armeni臋 (49,06%), Azerbejd偶an  (48,43%), Tad偶ykistan (45,40%), Bia艂oru艣 (40,36%) oraz Ukrain臋 (40,11%).      
  2. Umiarkowane ryzyko. W grupie tej, kt贸ra w trzecim kwartale tego roku liczy艂a 76 cz艂onk贸w, znajduj膮 si臋 pa艅stwa, w kt贸rych 21-40,99% wszystkich u偶ytkownik贸w napotka艂o przynajmniej jedno zagro偶enie online. Nale偶膮 do niej Niemcy (35,78%), Polska (32,79%), Brazylia (30,25%), Stany Zjednoczone (29,51%), Hiszpania (28,87%), Katar (28,82%), W艂ochy (28,26%), Francja (27,91%), Wielka Brytania (27,11%), Zjednoczone Emiraty Arabskie (26,30%), Szwecja (21,80%), Holandia (21,44%) oraz Argentyna (21,40%).    
  3. Niskie ryzyko. W III kwartale 2013 r. grupa ta liczy艂a 62 pa艅stwa o odsetku w przedziale 10-21%.

q3malware2013_07_auto.png

Najni偶sza liczba atak贸w sieciowych zosta艂a odnotowana w Danii (17,01%), Japonii (17,87%), Afryce Po艂udniowej (18,69%), Republice Czeskiej (19,68%), na S艂owacji (19,97%) i w Finlandii (20,87%).

W okresie minionych trzech miesi臋cy 艣rednio 34,1% komputer贸w po艂膮czonych z KSN zosta艂o poddanych co najmniej jednemu atakowi podczas surfowania u偶ytkownika po internecie - co stanowi spadek o 1,1 punktu procentowego w por贸wnaniu z drugim kwarta艂em tego roku.

Zagro偶enia lokalne

Sekcja ta zawiera analiz臋 statystyk opartych na danych dostarczonych przez skaner online oraz statystyk skanowania r贸偶nych dysk贸w, w tym no艣nik贸w wymiennych.

Zagro偶enia wykrywane na komputerach u偶ytkownik贸w

W III kwartale 2013 r. rozwi膮zania antywirusowe Kaspersky Lab skutecznie zablokowa艂y 476 856 965 pr贸b lokalnych infekcji na komputerach u偶ytkownik贸w nale偶膮cych do sieci Kaspersky Security Network.

Top 20 zagro偶e艅 wykrytych na komputerach u偶ytkownik贸w

Miejsce 

Nazwa

% indywidualnych u偶ytkownik贸w*

1

Trojan.Win32.Generic

35,51%

2

DangerousObject.Multi.Generic

32,43%

3

Trojan.Win32.AutoRun.gen

13,56%

4

Adware.Win32.DelBar.a

11,80%

5

Virus.Win32.Sality.gen

9,52%

6

Adware.Win32.Bromngr.j

7,81%

7

Exploit.Win32.CVE-2010-2568.gen

7,56%

8

Adware.Win32.Bromngr.i

6,60%

9

Adware.Win32.Agent.aeph

6,55%

10

Worm.Win32.Debris.a

6,24%

11

Trojan.Win32.Starter.lgb

5,59%

12

Adware.Win32.WebCake.a

5,06%

13

Expoit.Script.Generic

4,31%

14

Trojan.WinLNK.Runner.ea

4,17%

15

Adware.Win32.Bandoo.a

4,00%

16

Virus.Win32.Generic

3,71%

17

Virus.Win32.Nimnul.a

3,67%

18

Trojan.Win32.Staser.fv

3,53%

19

Trojan.Script.Generic

3,52%

20

HiddenObject.Multi.Generic

3,36%

Statystyki te zosta艂y stworzone na podstawie werdykt贸w wykrycia szkodliwego oprogramowania wygenerowanych przez skanery on-access i on-demand na komputerach u偶ytkownik贸w z zainstalowanymi produktami firmy Kaspersky Lab, kt贸rzy zgodzili si臋 udost臋pni膰 informacje o szkodliwej aktywno艣ci na ich komputerach.

* Odsetek indywidualnych u偶ytkownik贸w, na komputerach kt贸rych modu艂 antywirusowy wykry艂 te obiekty, jako procent wszystkich indywidualnych u偶ytkownik贸w produkt贸w firmy Kaspersky Lab, na kt贸rych komputerach wykryto szkodliwy program. 

Ranking nadal zawiera trzech wyra藕nych lider贸w.

Na pierwszym miejscu (35,51%) w oparciu o werdykty wygenerowane przez modu艂 analizy heurystycznej w zakresie proaktywnego wykrywania licznych szkodliwych program贸w znalaz艂 si臋 Trojan.Win32.Generic.

Na drugim miejscu (32,43%) znalaz艂y si臋 szkodliwe programy zaklasyfikowane jako DangerousObject.Multi.Generic, wykrywane przy u偶yciu technologii opartych na chmurze. Technologie te s膮 wykorzystywane wtedy, gdy nie ma jeszcze 偶adnych sygnatur w antywirusowych bazach danych oraz nie mo偶na zastosowa膰 heurystyki do wykrywania szkodliwych program贸w, ale chmura Kaspersky Lab zawiera ju偶 dane dotycz膮ce tego zagro偶enia. W ten spos贸b wykrywane s膮 w wi臋kszo艣ci najnowsze szkodliwe programy.    

Na trzecim miejscu uplasowa艂 si臋 Trojan.Win32.AutoRun.gen (13,56%), kt贸ry obejmuje szkodliwe programy wykorzystuj膮ce funkcj臋 autorun.

Pa艅stwa, w kt贸rych u偶ytkownicy s膮 nara偶eni na najwy偶sze ryzyko lokalnej infekcji

Poni偶sze dane pokazuj膮 艣redni wsp贸艂czynnik infekcji komputer贸w u偶ytkownik贸w w r贸偶nych pa艅stwach. W艣r贸d uczestnik贸w sieci KSN, kt贸rzy dostarczaj膮 informacje o szkodliwej aktywno艣ci na ich komputerach, co najmniej jeden szkodliwy plik zosta艂 wykryty na niemal jednej trzeciej (31,9%) maszyn - na dysku twardym lub przeno艣nym pod艂膮czonym do komputera. To o 2 punkty procentowe wi臋cej ni偶 w zesz艂ym kwartale.  

q3malware2013_08_auto.png

Poziom infekcji komputer贸w* wed艂ug pa艅stwa - III kwarta艂 2013 r.  Top 20**

* Odsetek unikatowych u偶ytkownik贸w w pa艅stwie, w kt贸rym znajduj膮 si臋 komputery z zainstalowanymi produktami firmy Kaspersky Lab, kt贸re zablokowa艂y zagro偶enia sieciowe.

** Podczas oblicze艅 wy艂膮czyli艣my pa艅stwa, w kt贸rych znajduje si臋 mniej ni偶 10 000 u偶ytkownik贸w produkt贸w firmy Kaspersky Lab.

Przez ponad rok 20 najwy偶szych pozycji w tej kategorii zajmowa艂y pa艅stwa z Afryki, Bliskiego Wschodu i Po艂udniowo Wschodniej Azji.

Wsp贸艂czynniki lokalnej infekcji mo偶na podzieli膰 na cztery grupy na podstawie poziomu ryzyka:

  1. Maksymalny wsp贸艂czynnik lokalnych infekcji (ponad 60%). Tylko jedno pa艅stwo - Wietnam - zakwalifikowa艂o si臋 do tej kategorii (61,2%).
  2. Wysoki wsp贸艂czynnik lokalnych infekcji (41-60%). W III kwartale 2013 r. do grupy tej nale偶a艂o 29 pa艅stw, w tym Nepal (55,61%), Bangladesz (54,75%), Indie (51,88%), Maroko (42,93%) oraz Filipiny (41,97%).
  3. Umiarkowany wsp贸艂czynnik lokalnych infekcji (21-40,99%). 艁膮cznie 87 pa艅stw, w tym: Zjednoczone Emiraty Arabskie (39,86%), Turcja (38,41%), Brazylia (36,67%), Chiny (36,07%), Meksyk (34,09%), Niemcy (24,31%) i Wielka Brytania (21,91%).
  4. Niski wsp贸艂czynnik lokalnych infekcji (poni偶ej 21%). 艁膮cznie 29 pa艅stw, w tym: Stany Zjednoczone (20,36%), Kanada (19,18%), Holandia (18,39%), Szwecja (16,8%), Japonia (12,9%) i Republika Czeska (12,65%)

 q3malware2013_09_auto.png

 Ryzyko lokalnej infekcji na 艣wiecie - III kwarta艂 2013 r.

 

Top 10 pa艅stw o najni偶szym ryzyku lokalnej infekcji:  

 

Miejsce

Pa艅stwo

%

1

Dania

11,93%

2

Republika Czeska

12,85%

3

Japonia

12,90%

4

Finlandia

14,03%

5

S艂owenia

14,93%

6

Norwegia

15,95%

7

Seszele

16,32%

8

Estonia

16,46%

9

S艂owacja

16,72%

10

Szwecja

16,80%

W III kwartale 2013 r. w rankingu Top 10 znalaz艂y si臋 trzy nowe pa艅stwa - Seszele, Estonia i S艂owacja - wypychaj膮c Irlandi臋, Holandi臋 i Martynik臋.  

殴ród艂o:
Kaspersky Lab