Записи с меткой «мобильные»

https://i2.wp.com/www.blackberrys.ru/upload/2011/02/KasperskyLab_logo10.jpg

новости от «Лаборатории Касперского»

«Лаборатория Касперского» третий раз подряд получает статус «Лидера» в Магическом квадранте компании Gartner в категории Endpoint Protection Platforms (решения для защиты конечных устройств)*. Этот факт, а также улучшение позиций компании в категории «стратегическое видение» (“completeness of vision”) подтверждают значимое положение «Лаборатории Касперского» на мировом рынке в качестве одного из ведущих производителей защитного ПО.

Магический квадрант аналитической компании Gartner строится на основе ежегодного исследования рынка защитного ПО для конечных устройств и комплексного анализа продуктов 18 различных вендоров, работающих в этом сегменте. Магический квадрант — один из наиболее авторитетных источников информации для компаний, желающих оценить производителей и решения в области корпоративной IT-безопасности. Данные из ежегодного отчета Gartner могут сыграть существенную роль при принятии организацией решения о покупке защитного ПО.

Аналитики Gartner оценивают вендоров по двум категориям: «стратегическое видение» (“completeness of vision”) и «эффективность реализации» (“ability to execute”). «Стратегическое видение» предусматривает 8 оценочных критериев: понимание рынка, маркетинговая стратегия, стратегия продаж, стратегия предложения, бизнес-модель, стратегия в индустрии, инновации и геостратегия. «Эффективность реализации» учитывает такие факторы, как общая рентабельность производителя, гибкость реагирования на требования рынка, бизнес-операции, осуществление продаж и ценообразование, реализация маркетинговой стратегии и взаимодействие с клиентами.

По итогам анализа вендоры-участники Магического квадранта Gartner попадают в одну из четырех групп: «Лидеры» (“Leaders”), «Претенденты» (“Challengers”), «Визионеры» (“Visionaries”) или «Нишевые игроки» (“Niche Players”). Статус «Лидера» свидетельствует о том, что производитель демонстрирует стабильный прогресс как в стратегии, так и в ее реализации. Более того, достижения такого вендора в защите от вредоносного ПО, сохранности данных и разработке инструментов для управления информационной безопасностью поднимают стандарты качества для других производителей и задают направление для развития всей индустрии.

«Создавая комплексные защитные решения для наших клиентов, мы стремимся сделать киберпространство безопасным. И статус «Лидера» в Магическом квадранте Gartner говорит о том, что мы на верном пути. Это достижение, которым мы гордимся, служит подтверждением того, что наша долгосрочная стратегия по инвестированию в технологии и экспертизу продолжает приносить свои плоды», — комментирует результаты аналитического отчета Gartner Николай Гребенников, директор по исследованиям и разработке «Лаборатории Касперского».

Флагманский продукт «Лаборатории Касперского» для защиты корпоративной сети — Kaspersky Security для бизнеса — получил высокую оценку со стороны клиентов и IT-лидеров как решение, которое не только быстро распознает угрозы и обеспечивает надежную защиту от них, но также содержит многочисленные инструменты для контроля за безопасностью корпоративной IT-инфраструктуры. Среди них — инструменты для выявления уязвимостей и управления обновлениями ПО, средства управления и контроля за приложениями, мобильными устройствами и функция шифрования дисков и файлов с интерфейсом аутентификации до загрузки операционной системы (preboot authentification).

С отчетом Gartner и Магическим квадрантом в категории Endpoint Protection Platforms можно ознакомиться на сайте аналитической компании: www.gartner.com/technology/reprints.do?id=1-1PJIOBM&ct=140114&st=sb.


*Gartner, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, John Girard, Neil MacDonald, January 8, 2014.


О Магическом квадранте Gartner

Данные, публикуемые компанией Gartner, не являются рекомендацией в отношении каких бы то ни было производителей, продуктов или услуг и не могут рассматриваться в качестве совета выбирать поставщиков с наибольшим рейтингом. Аналитические публикации Gartner основаны на мнениях экспертов компании и не могут считаться констатацией фактов. Gartner не дает никаких гарантий, выраженных в явной или подразумеваемой форме, в отношении публикуемых данных, в том числе гарантий коммерческого качества или пригодности для определенных целей.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.


*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenue by Vendor) за 2012 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2013-2017 гг. и доли вендоров в 2012 г.» (Worldwide Endpoint Security 2013—2017 Forecast and 2012 Vendor Shares), опубликованный в августе 2013 года (IDC #242618). В основу рейтинга легли данные о выручке от продаж решений класса Endpoint Security в 2012 году.

Специалисты компании «Доктор Веб» — российского производителя антивирусных средств защиты информации — обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав. Основной источник заражения в этом случае – принадлежащие злоумышленникам или взломанные интернет-ресурсы. Наибольшее число инфицированных устройств принадлежит российским пользователям, на втором месте по данному показателю располагается Украина, далее следуют Казахстан и Белорусь. По предварительным оценкам ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов.

Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них новый троянец Android.SmsSend.754.origin, а также вредоносные программы Android.SmsSend.412.origin (известна с марта 2013 года, распространяется под видом мобильного браузера), Android.SmsSend.468.origin (известна с апреля 2013 года) и маскирующийся под мобильный клиент для социальной сети «Одноклассники» троянец Android.SmsSend.585.origin, известный антивирусному ПО Dr.Web с июня 2013 года. Наиболее ранняя версия троянца, замеченного в ходе расследования данного инцидента — Android.SmsSend.233.origin — была добавлена в базы Dr.Web еще в ноябре 2012 года. В большинстве случаев источниками заражения являются принадлежащие злоумышленникам, а также взломанные сайты, распространяющие вредоносные программы.

Троянец Android.SmsSend.754.origin представляет собой apk-приложение с именем Flow_Player.apk. Устанавливаясь в операционной системе, он просит пользователя запустить данную программу с привилегиями администратора устройства — это позволит вредоносному приложению осуществлять управление блокировкой дисплея. Кроме того, Android.SmsSend.754.origin в дальнейшем скрывает свой значок с главного экрана мобильного устройства.

Троянец Android.SmsSend.754 Троянец Android.SmsSend.754 Троянец Android.SmsSend.754После завершения процедуры установки троянец отправляет злоумышленникам информацию об инфицированном устройстве, включая уникальный идентификатор IMEI, сведения о балансе, код страны, номер телефона жертвы, код оператора, модель мобильного телефона и версию ОС. Затем Android.SmsSend.754.origin ожидает поступления от злоумышленников соответствующей команды, по которой он может отправить СМС-сообщение с определённым текстом на заданный номер, выполнить СМС-рассылку по списку контактов, открыть заданный URL в браузере или продемонстрировать на экране мобильного устройства сообщение с определённым заголовком и текстом.

По сведениям, собранным специалистами компании «Доктор Веб», в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем — Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей. Более подробная картина распространения угроз показана на следующей иллюстрации.

Троянец Android.SmsSend.754Распределение инфицированных мобильных устройств по операторам мобильной связи, к которым они подключены, продемонстрировано на представленной ниже диаграмме.

Троянец Android.SmsSend.754Это — один из наиболее массовых случаев заражения Android-совместимых мобильных устройств, зафиксированных в текущем полугодии. По предварительным оценкам специалистов «Доктор Веб» ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов.

В настоящий момент все описанные выше угрозы детектируются и удаляются антивирусным ПО Dr.Web. Пользователям мобильных Android-устройств во избежание заражения рекомендуется не загружать и не устанавливать ПО с подозрительных веб-сайтов. Специалисты компании «Доктор Веб» следят за дальнейшим развитием ситуации.

Источник

Сегодня уже никого не удивишь таким способом кражи денег у владельцев
Android-смартфонов, как отправка коротких сообщений на платные номера.
Многие пользователи хорошо проинформированы о таких угрозах и привыкли
следить за своим мобильным счетом. Однако специалисты ‘Лаборатории
Касперского обнаружили принципиально новую схему работы мобильных
зловредов, которая позволяет злоумышленникам быстро и незаметно украсть
у ничего не подозревающей жертвы значительную сумму денег.

Особенность текущей схемы работы SMS-троянцев, рассылающих сообщения на
премиум-номера, заключается в том, что при монетизации украденных
средств, значительная часть денег уходит ‘посредникам’, зачастую ни о
чем не подозревающим: оператору сотовой связи, контент-провайдеру и
организаторам партнерской программы. Поэтому чаще всего зловред
старается отправить сразу 2-3 дорогих сообщения на весомую сумму,
например, 1000 рублей, что привлекает внимание жертвы. В такой ситуации
появление новых способов отъема денег у населения было лишь вопросом
времени.

В июле эксперты ‘Лаборатории Касперского обнаружили троянец, задачей
которого было выполнение инструкций, поступающих с удаленного командного
сервера. Это характерное поведение для вредоносов такого класса, однако,
дальнейшее расследование показало, что новый SMS-зловред предоставлял
своим владельцам возможность хищения денег не с мобильного, а c
банковского счета жертвы.

Данный троянец лишен самостоятельности и, связываясь с управляющим
сервером, только транслирует команды злоумышленника, пересылая обратно
результат. Специалистам ‘Лаборатории Касперского’ удалось перехватить
несколько поступивших команд. В ходе выполнения одной из них троянец
отправил SMS со словом ‘BALANCE’ на номер сервиса ‘Мобильного Банка’
Сбербанка России. Получив ответ от банка с информацией о подключенном
счете и его балансе, зловред передавал его преступникам. Ответ
мобильного банка на запрос троянца

Такое поведение троянца позволяет предположить, что следующим шагом
будет перевод любой доступной в ‘Мобильном банке’ суммы на мобильный
номер злоумышленников. Далее украденные деньги могут быть использованы
или обналичены. Например, большая тройка операторов сотовой связи
позволяет переводить деньги с мобильного счета на QIWI кошелек, откуда
впоследствии их можно вывести на банковскую карту и обналичить. А для
того чтобы жертва как можно дольше оставалась в неведении, троянец
тщательно заметает следы своей деятельности, перехватывая SMS и звонки
со стороны банка.

‘Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют,
реализовывая принципиально новые схемы атак, — комментирует появление
новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный
эксперт ‘Лаборатории Касперского’. — Быть готовым к новым угрозам можно
только в случае если ваше Android-устройство защищено антивирусным
приложением с регулярно обновляемыми базами — таким, как Kaspersky
Internet Security для Android’.

Ознакомиться с полной версией статьи можно по адресу
www.securelist.com/ru/blog/207768886/Grabitel_s_ruchnym_upravleniem.

Развитие информационных угроз в первом квартале 2013 года

Posted: 16 июня, 2013 in Антивирус, Вконтакте, Касперский, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Цифры квартала

  • По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
  • Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
  • 40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
  • Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

  • Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.
  • Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.
  • В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года.
  • И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

Место Название % от всех атак
1 Trojan-SMS.AndroidOS.FakeInst.a 29,45%
2 Trojan.AndroidOS.Plangton.a 18,78%
3 Trojan-SMS.AndroidOS.Opfake.a 12,23%
4 Trojan-SMS.AndroidOS.Opfake.bo 11,49%
5 Trojan-SMS.AndroidOS.Agent.a 3,43%
6 Trojan-SMS.AndroidOS.Agent.u 2,54%
7 RiskTool.AndroidOS.AveaSMS.a 1,79%
8 Monitor.AndroidOS.Walien.a 1,60%
9 Trojan-SMS.AndroidOS.FakeInst.ei 1,24%
10 Trojan-SMS.AndroidOS.Agent.aq 1,10%
11 Trojan-SMS.AndroidOS.Agent.ay 1,08%
12 Trojan.AndroidOS.Fakerun.a 0,78%
13 Monitor.AndroidOS.Trackplus.a 0,75%
14 Adware.AndroidOS.Copycat.a 0,69%
15 Trojan-Downloader.AndroidOS.Fav.a 0,66%
16 Trojan-SMS.AndroidOS.FakeInst.ee 0,55%
17 HackTool.AndroidOS.Penetho.a 0,54%
18 RiskTool.AndroidOS.SMSreg.b 0,52%
19 Trojan-SMS.AndroidOS.Agent.aa 0,48%
20 HackTool.AndroidOS.FaceNiff.a 0,43%

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

  • новый зловред под названием Perkele или Perkel, охотящийся за mTAN,
  • ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

  1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.
  2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 91,44%
2 Trojan.Script.Generic 2,79%
3 AdWare.Win32.Bromngr.b 1,91%
4 Trojan.Script.Iframer 0,73%
5 Exploit.Script.Blocker 0,70%
6 Trojan.JS.Redirector.xa 0,33%
7 Hoax.SWF.FakeAntivirus.i 0,22%
8 Trojan.Win32.Generic 0,17%
9 AdWare.Win32.MegaSearch.am 0,13%
10 Trojan-Downloader.Win32.Generic 0,09%
11 Exploit.Script.Blocker.u 0,07%
12 AdWare.Win32.IBryte.heur 0,05%
13 Exploit.JS.Retkid.a 0,05%
14 Exploit.Script.Generic 0,05%
15 Hoax.HTML.FraudLoad.i 0,04%
16 Exploit.Win32.CVE-2011-3402.c 0,04%
17 Packed.Multi.MultiPacked.gen 0,04%
18 Trojan-Clicker.HTML.Agent.bt 0,04%
19 WebToolbar.Win32.BetterInstaller.gen 0,03%
20 Trojan.JS.Redirector.xb 0,03%

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

 
Распределение по странам веб-ресурсов, на которых размещены
вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

 
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

  1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.
  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).
  3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).
  4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).


Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 DangerousObject.Multi.Generic 18,51%
2 Trojan.Win32.Generic 16,04%
3 Trojan.Win32.AutoRun.gen 13,60%
4 Virus.Win32.Sality.gen 8,43%
5 Exploit.Win32.CVE-2010-2568.gen 6,93%
6 Trojan.Win32.Starter.yy 5,11%
7 Net-Worm.Win32.Kido.ih 3,46%
8 HiddenObject.Multi.Generic 3,25%
9 Trojan.Win32.Hosts2.gen 3,17%
10 Virus.Win32.Nimnul.a 3,13%
11 Virus.Win32.Generic 3,09%
12 Net-Worm.Win32.Kido.ir 2,85%
13 Trojan.Script.Generic 2,54%
14 AdWare.Win32.Bromngr.b 2,51%
15 Exploit.Java.CVE-2012-1723.gen 2,38%
16 Trojan.Win32.Starter.lgb 2,38%
17 Trojan-Downloader.Win32.Generic 2,13%
18 AdWare.Win32.Bromngr.h 2,11%
19 Hoax.Win32.ArchSMS.gen 2,09%
20 Trojan-Dropper.VBS.Agent.bp 1,97%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

 
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).
  2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).
  3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).
  4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).


Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

Япония 9,10%
Дания 12,10%
Финляндия 13,60%
Швеция 14,60%
Чехия 14,80%
Швейцария 15,10%
Ирландия 15,20%
Нидерланды 16,20%
Новая Зеландия 16,60%
Норвегия 16,80%

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

Secunia ID Название Последствия эксплуатации Процент пользова-телей, у которых обнаружена уязвимость* Дата публикации Уровень опасности
1 SA 50949 Oracle Java Multiple Vulnerabilities DoS-атака Доступ к системе Раскрытие конфиденциальных данных Манипулирование данными 45,26% 17.10.2012 Highly Critical
2 SA 51771 Adobe Flash Player / AIR Integer Overflow Vulnerability Доступ к системе 22,77% 08.01.2013 Highly Critical
3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Доступ к системе 18,19% 24.10.2012 Highly Critical
4 SA 51280 Oracle Java Two Code Execution Vulnerabilities Доступ к системе 17,15% 10.01.2013 Extremely Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Доступ к системе 16,32% 07.12.2011 Extremely Critical
6 SA 51692 VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities Доступ к системе 14,58% 28.12.2012 Highly Critical
7 SA 51226 Apple QuickTime Multiple Vulnerabilities Доступ к системе 14,16% 08.11.2012 Highly Critical
8 SA 43853 Google Picasa Insecure Library Loading Vulnerability Доступ к системе 12,85% 25.03.2011 Highly Critical
9 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Доступ к системе 11,30% 03.08.2012 Highly Critical
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities «Доступ к системе Раскрытие конфиденциальных данных
Обход системы безопасности «
11,21% 28.10.2010 Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.


Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.


Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

Источник

Эксперты «Лаборатории Касперского» зафиксировали
целенаправленную атаку на пользователей мобильных устройств, работающих
под управлением операционной системы Android. Она была нацелена на
тибетских, уйгурских китайских и монгольских активистов, с телефонов
которых киберпреступники крали списки контактов, историю сообщений и
звонков, геолокационные данные и информацию о самих телефонах.

Атака проводилась в конце марта 2013 года и организационно была очень
похожа на предыдущие, направленные на уйгурских и тибетских активистов.
Основное отличие состояло в том, что на этот раз злоумышленники
использовали не уязвимости в DOC, XLS и PDF-документах для взлома
компьютеров под управлением ОС Windows и Mac OS, а сосредоточили свои
усилия на мобильных устройствах. Взломав почтовый аккаунт известного
тибетского активиста, они распространили фишинговые письма по всему
списку его контактов. Все подобные сообщения имели вложенный файл,
предназначенный для Android-устройств, внутри которого находилась
вредоносная программа. После ее исследования специалисты
«Лаборатории Касперского» пришли к выводу, что написана она
была китайскоговорящими хакерами — об этом свидетельствуют
комментарии в программном коде и определённые характеристики командного
сервера злоумышленников.

«До недавнего времени целенаправленные атаки на мобильные
устройства не применялись на практике, хотя злоумышленники определённо
интересовались этой возможностью и даже пытались экспериментировать. Для
осуществления атаки киберпреступники использовали троянца,
предназначенного для кражи конфиденциальных данных сразу у группы жертв.
Сейчас хакеры всё ещё применяют методы социальной инженерии, вынуждая
пользователей самостоятельно устанавливать вредоносные приложения, но мы
не исключаем, что в будущем они начнут использовать уязвимости в
мобильном ПО или целые комбинации сложных технологий атак»,
— поясняет Костин Райю, руководитель центра глобальных
исследований и анализа угроз «Лаборатории Касперского».

Подробный отчёт об исследовании первой масштабной атаки на
Android-системы читайте на сайте www.securelist.com/ru.

Цифры квартала

  • По данным KSN, во втором квартале 2012 года продукты «Лаборатории Касперского» обнаружили и обезвредили более 1 млрд вредоносных объектов.
  • Зафиксировано распространение вредоносных программ с 89,5  миллионов URL.
  • Обнаружено 14 900 файлов вредоносных программ под Android.
  • Обзор ситуации

Вредоносное ПО для мобильных устройств

Во втором квартале 2012 г. по сравнению с показателями первого квартала практически втрое увеличилось количество Android-троянцев. За три месяца в нашу коллекцию было добавлено более 14 900 вредоносных программ.


Количество обнаруженных модификаций вредоносного ПО для Android OS

Столь активное развитие Android-зловредов говорит о том, что все больше вирусописателей переключаются на разработку вредоносных программ под мобильные устройства. Как и в случае с windows-зловредами, развитие мобильных вредоносных программ привело к формированию черного рынка услуг по их распространению. Основными каналами распространения являются неофициальные магазины приложений и партнерские программы. Нельзя не отметить, что мобильные вредоносные программы становятся все сложнее: злоумышленники активно развивают технологию обфускации и защиты кода, усложняющие анализ зловредов.

Практически половина (49%) обработанных «Лабораторией Касперского» во втором квартале 2012 вредоносных файлов — это различные многофункциональные троянцы, которые крадут с телефона данные (имена контактов, почтовые адреса, телефоны и т.д.), а также могут загружать дополнительные модули с серверов злоумышленников.

Четверть обнаруженных вредоносных программ для Android OS приходится на SMS-троянцев. Эти зловреды выкачивают деньги со счетов жертв, отправляя без ведома хозяев мобильных устройств SMS на платные номера. Пару лет назад такие программы можно было встретить лишь в республиках бывшего СССР, в  Юго-Восточной Азии и Китае. Сейчас же они расползаются по всему миру: во втором квартале 2012 г. мы защитили от SMS-зловредов пользователей в 47 странах.

18% обнаруженных во втором квартале Android-зловредов — бэкдоры, дающие злоумышленникам возможность полного контроля над зараженным устройством. На основе таких программ создаются мобильные ботнеты.


Распределение обнаруженных в Q2 вредоносных программ под Android OS по поведениям

Пока что среди вредоносных программ под Android доля Trojan-Spy невелика – лишь два процента. Однако именно эти программы представляют наибольшую опасность для пользователей. Ведь они охотятся за самой ценной информацией, открывающей злоумышленникам доступ к банковским счетам пользователей.

В июне эксперты «Лаборатории Касперского» обнаружили новую версию мобильной вредоносной программы, занимающейся кражей входящих SMS. Программа маскировалась под Android Security Suite Premium. Однако примечателен этот троянец по другой причине: все серверы управления этой вредоносной программой были зарегистрированы на одного человека. Конечно, это были фальшивые данные, но точно такие же данные были использованы и для регистрации ряда управляющих доменов Zbot (ZeuS). Отсюда можно сделать вывод, что кража SMS нацелена именно на получение кодов авторизации банковских транзакций и зловред относится к семейству Trojan-Spy.AndroidOS.Zitmo.

Мас-зловреды

Количество обнаруженных Mac-зловредов по сравнению с первым кварталом 2012 г. уменьшилось: в наши антивирусные базы были добавлены записи, детектирующие 50 вредоносных программ для Mac OS X.

После обнаружения в прошлом квартале ботнета FlashFake, состоявшего более чем из 700 000 Mаc-компьютеров, компания Apple активнее занялась вопросами безопасности своей операционной системы. Примерами могут служить и выпуски критических патчей для Oracle Java одновременно с их windows-версиями, и анонсированные функции защиты следующей версии Mac OS X: настроенная по умолчанию установка программ только из официального магазина плюс использование песочницы для программ, загруженных из магазина, автоматическая установка обновлений и т.д.


Количество новых записей для платформы Mac OS X, добавленных в антивирусные базы ЛК.
Второй квартал 2012

Прогноз, согласно которому атаки на Mac-пользователей продолжатся во втором квартале, оправдался. В конце июня 2012 года наши антивирусные радары зафиксировали новую целевую атаку, направленную против уйгурских Mac-пользователей в Китае. В отличие от предыдущей атаки злоумышленники не использовали для доставки зловреда на атакуемые компьютеры никаких эксплойтов. На этот раз определенному кругу лиц были разосланы письма с zip-архивом. Архив содержал jpg-файл и приложение для Mac, имеющее иконку текстового документа. Это классический пример социальной инженерии. Основным компонентом атаки стал исполняемый файл, замаскированный под текстовый документ, — бэкдор для Mac OS Х, работающий как на архитектуре i386, так и на PowerPC, и детектируемый нашими продуктами как Backdoor.OSX.MaControl.b. Был обнаружен также Windows-бэкдор, который использовался в этой же атаке.

Бэкдор выполняет множество функций, в частности позволяет получать файлы с зараженной машины. Данные с конфигурацией серверов управления зашифрованы достаточно простым способом, поэтому удалось установить, что сервер управления находится в Китае.

Продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов, и информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории злоумышленников. Это означает, что APT-атаки, нацеленные на Mac-пользователей, продолжатся. Эволюция целевых атак может пойти по пути развития кроссплатформенных зловредов, которые будут иметь похожий код и работать под несколькими наиболее распространенными операционными системами.

Утечка данных LinkedIn и пароли

Во втором квартале в заголовки новостей в связи с утечкой базы хешей паролей попали несколько популярных онлайн-сервисов. Одной из самых громких стала новость о том, что часть базы (6,5 миллионов хешей паролей) популярной социальной сети LinkedIn, попала в открытый доступ. 6 июня, через день после публикации этой информации, компания подтвердила утечку и сообщила, что в результате быстро принятых мер опубликованные пароли от учетных записей были аннулированы и пользователи должны были создать новые пароли.

К сожалению, к моменту публикации этого заявления больше половины паролей уже были извлечены из базы хешей. Почему так быстро? Все дело в том, что LinkedIn почему-то хранила хеши без так называемой соли – строки случайных символов, добавляемой к исходному паролю перед хешированием. Так как эта технология не использовалась, то SHA-1 хеши были очень быстро подобраны с помощью перебора по предварительно посчитанным хешам популярных паролей из словарей. Столь быстрый подбор паролей стал возможен еще и потому, что пароли более половины пользователей были очень простыми, и подобрать их не составило большого труда. После инцидента LinkedIn сообщила, что теперь для хранения паролей используется хеш и соль.

Для того чтобы не стать жертвой подобной атаки, пользователям в первую очередь стоит использовать действительно длинные и сложные пароли, которые затруднительно подобрать по словарю. И нельзя забывать, использование одного и того же пароля для разных сервисов резко увеличивает возможный ущерб при его краже.

Администраторам сайтов мы советуем для хранения паролей использовать как минимум хеш и соль. Однако использование быстрого алгоритма хеширования (например, SHA-1 или MD5) и соли при тех мощностях, которые сейчас при подборе паролей дают GPU, может не спасти от легкого взлома. Более эффективным решением будет использование таких алгоритмов, как PBKDF2 (Password-Based Key Derivation Function 2) или bcrypt, которые не только используют соль по умолчанию, но и позволяют замедлить процесс подбора паролей.

Flame – продолжение истории о кибершпионаже

Наиболее заметным событием, связанным с кибершпионажем, стало обнаружение червя Flame.

«Лаборатория Касперского» проводила исследование по запросу Международного союза электросвязи (МСЭ) о содействии в поиске неизвестной вредоносной программы, которая удаляла конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока. В процессе поиска мы и обнаружили новый образец вредоносного ПО, который был назван нами Worm.Win32.Flame.

Хотя Flame имеет иной функционал, чем уже известные образцы кибероружия Duqu и Stuxnet, у этих вредоносных программ много общего: география атак, узкая целевая направленность в сочетании с использованием специфических уязвимостей в ПО. Это ставит Flame в один ряд с ними и другим кибернетическим супероружием, развертываемым на Ближнем Востоке неизвестными злоумышленниками.

Flame значительно превосходит по сложности Duqu и представляет собой весьма хитрый набор инструментов для проведения атак. Размер зловреда — почти 20 мегабайт. Это троянская программа-бэкдор, имеющая также черты, свойственные червям:  она может распространяться по локальной сети и через съемные носители при получении соответствующего приказа хозяина. Самым опасным способом распространения Flame является репликация в уже зараженной локальной сети под видом обновлений Windows. При этом код был подписан сертификатами, которые изначально были выписаны компанией Microsoft. Нелегитимное использование цифровой подписи было обнаружено Microsoft, после чего сертификат был немедленно отозван. Компания сразу же опубликовала информационное сообщение об угрозе (security advisory) и выпустила обновление KB2718704.

С зараженных компьютеров, расположенных на Ближнем Востоке (в Иране, Судане, Сирии и т.д.) Flame крадет различную информацию, в том числе видео- и аудиофайлы, а также чертежи AutoCAD.

На сегодняшний день Flame является одной из самых сложных киберугроз. Программа имеет большой размер и невероятно сложную структуру и очень хорошо показывает, как могут проводиться шпионские операции в XXI веке.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные, рассматриваемые в этой главе, получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

Во втором квартале 2012 года было отражено 434 143 004 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 145 007 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 85,80%
2 Trojan.Script.Iframer 3,90%
3 Trojan.Script.Generic 2,70%
4 Exploit.Script.Blocker 0,60%
5 Trojan.JS.Popupper.aw 0,40%
6 Trojan.Win32.Generic 0,40%
7 Trojan-Downloader.JS.Iframe.cxk 0,30%
8 Trojan-Downloader.JS.Expack.sn 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.Script.Generic 0,20%
11 Trojan-Downloader.JS.Agent.gqu 0,20%
12 Trojan-Downloader.Win32.Generic 0,20%
13 Hoax.HTML.FraudLoad.h 0,10%
14 Trojan-Downloader.SWF.FameGake.a 0,10%
15 Trojan.JS.Iframe.aaw 0,10%
16 Trojan.JS.Agent.bxw 0,10%
17 AdWare.Win32.IBryte.x 0,10%
18 AdWare.Win32.ScreenSaver.i 0,10%
19 Trojan-Downloader.JS.Agent.grd 0,10%
20 Trojan-Downloader.JS.JScript.ag 0,10%

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первую строчку в рейтинге неизменно занимают вредоносные ссылки из черного списка. По сравнению с предыдущим кварталом их доля выросла на 1,5% и в итоге они составляют 85,8% от всех детектов. В список в первую очередь попадают различные сайты, на которые перенаправляются пользователи. Напомним, что чаще всего на вредоносные сайты пользователи попадают со взломанных легитимных ресурсов с внедренными вредоносными скриптами (drive-by атака). Кроме того, пользователи сами переходят по опасным ссылкам, например при поиске различного пиратского контента. Значительная часть обнаруженных Malicious URL по-прежнему приходится на сайты, связанные с эксплойт-паками.

13 позиций в рейтинге занимают вредоносные программы, которые эксплуатируют бреши в программном обеспечении и используются для доставки вредоносных программ на компьютер пользователя, в их числе две программы, обнаруженные эвристиками: Exploit.Script.Blocker и Exploit.Script.Generic.

Продолжает уменьшаться в рейтинге количество рекламных программ, детектируемых как AdWare: во втором квартале таких программ только две. Эти программы работают как расширения для браузеров: добавляют новую поисковую панель и меняют начальную страницу. Сами по себе они являются легальными программами, за установку которых их создатели платят деньги партнерам-распространителям. Однако находятся распространители, которые готовы получать таким образом деньги, не спрашивая разрешения пользователя на установку.

Приложения, в которых злоумышленники используют уязвимости

Большинство атак через интернет осуществляется с помощью эксплойтов, которые используют ошибки в ПО, – для того чтобы запуск вредоносной программы произошел  без ведома пользователя.

Какие же приложения чаще всего используют эксплойты? Ответ представлен на диаграмме: это Adobe Acrobat Reader, Java, Android Root и Adobe Flash Player. Пользователям в первую очередь стоит обновить именно эти программы, а еще лучше — озаботиться их автоматическим обновлением.


Приложения, уязвимости в которых использовали веб-эксплойты
Второй квартал 2012

Страны, на ресурсах которых размещены вредоносные программы

Для определения географического положения источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического положения данного IP-адреса (GEOIP).

85% веб-ресурсов (на 1% больше, чем в прошлом квартале), используемых для распространения вредоносных программ, во втором квартале 2012 года были размещены в десяти странах мира.


Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам.
Второй квартал 2012

Состав TOP 10 не претерпел изменений, в него вошли те же страны, что и в прошлом квартале. За прошедшие три месяца заметно выросла доля хостингов, расположенных в США (+7%). Это произошло в первую очередь за счет уменьшения доли остальных стран десятки: России (-1,5%), Германии (-1,9%), Голландии (-1,2%), Англии (-1%) и Франции (-1,7%). Россия заняла в этом рейтинге второе место (14%), вытеснив на третью позицию Голландию (12%).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи в каждой стране сталкивались со срабатыванием веб-антивируса.


20 стран, где пользователи подвергаются наибольшему риску заражения через интернет*. Второй квартал 2012 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В TOP 20 преобладают страны — республики бывшего СССР, а также страны Африки и Юго-Восточной Азии.

Все страны можно разбить на несколько групп.

  1. Группа повышенного риска. В эту группу с результатом 41-60% вошли 18 стран из TOP 20, в том числе Россия (59,5%), Казахстан (54%), Украина (47,3%), Индия (48%), Индонезия (42,2%) и Малайзия (41,8%).
  2. Группа риска. В эту группу с показателями 21-40% попали 103 страны, в том числе Испания (37,8%), Италия (34,8%), Канада (36%), США (35,7%) и Англия (31,6%).
  3. Группа самых безопасных при серфинге в интернете стран. В эту группу вошли 16 стран с показателями 12,3-20%.

Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, на Тайване (15,2%), в Японии (18,1%), Дании (18,9%), Люксембурге (19,7%) и Чехии (20%). Отметим, что в эту группу входят и страны Южной Африки, однако в них не все благополучно с точки зрения локальных заражений.


Риск заражения через интернет компьютеров пользователей в странах мира.
Второй квартал 2012 г.

В среднем 39,7% компьютеров всех пользователей KSN, т.е. четыре из десяти компьютеров в мире, в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. Отметим, что средний процент атакованных машин по сравнению с предыдущим кварталом увеличился на 11 процентных пунктов.

Локальные угрозы

Здесь мы анализируем статистические данные, полученные на основе работы модуля антивируса, сканирующего файлы на жестком диске в момент их создания или при обращении к ним, и статистику по сканированию различных съемных носителей информации.

Объекты, обнаруженные на компьютерах пользователей

Во втором квартале 2012 года наши антивирусные решения успешно заблокировали 1 041 194 194 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей с помощью on-access scanner было зафиксировано 383 667 уникальных модификаций вредоносных и потенциально нежелательных программ.

Объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 Trojan.Win32.AutoRun.gen 17,80%
2 Trojan.Win32.Generic 17,.40%
3 DangerousObject.Multi.Generic 16,10%
4 Trojan.Win32.Starter.yy 7,40%
5 Virus.Win32.Sality.bh 6,70%
6 Virus.Win32.Virut.ce 5,40%
7 Net-Worm.Win32.Kido.ih 5,10%
8 Virus.Win32.Sality.aa 4,20%
9 HiddenObject.Multi.Generic 3,60%
10 Virus.Win32.Nimnul.a 3,10%
11 Trojan.WinLNK.Runner.bl 2,20%
12 Worm.Win32.AutoRun.hxw 2,00%
13 Trojan.Win32.Hosts2.gen 1,40%
14 Virus.Win32.Sality.ag 1,40%
15 Worm.Win32.Mabezat.b 1,00%
16 AdWare.Win32.GoonSearch.b 0,80%
17 AdWare.Win32.BHO.aqbp 070%
18 Trojan-Dropper.Script.Generic 0,50%
19 AdWare.Win32.HotBar.dh 0,30%
20 Trojan-Downloader.WMA.Wimad.ag 0,30%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODSантивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первую строчку в рейтинге с показателем 17,8% занял обновленный эвристический детект зловредов, распространяющихся через съемные носители информации, чаще всего флешки. Появление этого вердикта на первой строке говорит о том, что количество съемных носителей информации, на которых были обнаружены следы работы вредоносных программ, очень велико.

Вторую строчку рейтинга занимает вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ, — Trojan.Win32.Generic (17,4%).

Вредоносные программы, обнаруженные с помощью «облачных» технологий (16,1%) спустились с первой на третью строчку рейтинга. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic.

16-е, 17-е и 20-е место заняли рекламные программы. Здесь появился один новичок – семейство AdWare.Win32.GoonSearch (0,8%). Эти программы являются надстройкой для IE, однако зафиксированы случаи их появления на компьютерах без согласия пользователей, при этом программы противодействуют антивирусным средствам.

Net-Worm.Win32.Kido (5,1%) продолжает терять свои позиции в рейтинге. В то же время рейтинг пополнился еще одним представителем файловых инфекторов: во втором квартале помимо вирусов Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a и Trojan.Win32.Starter.yy в рейтинг попал и небезызвестный Virus.Win32.Virut.ce (5,4%), создающий из зараженных машин крупный ботнет, через который распространяются другие вредоносные программы.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Полученные цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. На 36,5% компьютеров всех пользователей KSN в мире, предоставляющих нам информацию, хотя бы раз был найден вредоносный файл (на компьютере или на съемном носителе, подключенном к нему) – по сравнению с прошлым кварталом на 5,7% меньше.


TOP 20: процент компьютеров пользователей, на которых были обнаружены вредоносные программы, от общего количества пользователей ЛК в стране*. Второй квартал 2012 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Первая двадцатка практически полностью состоит из стран Африки и Юго-Восточной Азии. В Бангладеш наши продукты столкнулись с вредоносными программами на 98 из 100 компьютеров, на которых они установлены.

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): 20 стран, преимущественно и из азиатского региона (Индия, Вьетнам, Монголия и др.), Ближнего Востока (Ирак, Афганистан) и Африки (Судан, Ангола, Нигерия, Камерун и др.).
  2. Высокий уровень заражения (41-60%): 51 страна, в том числе Индонезия (58,3%), Казахстан (46,1%), Китай(43,9%), Эквадор (43,8%), Россия (42,6%) и ОАЭ (42,3%).
  3. Средний уровень заражения (21-40%): 43 страны, в том числе Турция, Мексика, Израиль, Латвия, Португалия, Италия, США, Австралия, Франция.
  4. Наименьший уровень заражения: 23 страны, среди которых Канада, Новая Зеландия, Пуэрто-Рико, 13 европейских стран (в том числе Норвегия, Финляндия, Голландия, Ирландия, Германия, Эстония), а также Япония и Гонконг.


Риск локального заражения компьютеров в странах мира.
Второй квартал 2012 г.

В десятку стран, самых безопасных по уровню локального заражения, попали:

Место Страна % уникальных пользователей
1 Дания 12%
2 Реюньон 13,4%
3 Чехия 13,6%
4 Япония 14,6%
5 Люксембург 15%
6 Швеция 15%
7 Швейцария 16,2%
8 Финляндия 16,3%
9 Германия 17,2%
10 Голландия 17,7%

Дания, Люксембург, Чехия и Япония одновременно находятся в списке самых безопасных стран при серфинге в интернете. Но даже в Дании мы обнаружили вредоносные объекты на 12 компьютерах из 100.

Уязвимости

Во втором квартале 2012 года на компьютерах пользователей KSN было обнаружено 31 687 277 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 9 различных уязвимостей.

TOP 10 уязвимостей представлена в таблице ниже.

Secunia
ID
уникальный
идентификатор
уязвимости
Название
и ссылка
на описание
уязвимости
Возможности,
которые
дает
использование
уязвимости
злоумышленникам
Процент
пользо-
вателей,
у которых
была
обнаружена
уязвимость*
Дата
публи-
кации
Уро-
вень
опас-
ности
уязви-
мости
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. Манипулирование данными. DoS-атака « 31,40% 4/10/2012 Highly Critical
2 SA 48281 Adobe Flash Player Two Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. « 20,90% 4/10/2012 Highly Critical
3 SA 48500 VLC Media Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 19,30% 3/21/2012 Highly Critical
4 SA 49472 Oracle Java Multiple Vulnerabilities «DoS-атака. Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Cross-Site Scripting. Получение доступа к конфиденциальным данным. Манипулирование данными. « 16,50% 7/18/2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 14,40% 1/11/2012 Extremely Critical
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. DoS –атака (отказ в обслуживании). XSS. « 13,50% 7/13/2011 Highly Critical
7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,40% 5/10/2012 Highly Critical
8 SA 47447 Apple QuickTime Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,30% 6/29/2012 Highly Critical
9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 9,80% 2/15/2012 Highly Critical
10 SA 49388 Adobe Flash Player Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Обход системы защиты. « 9,20% 6/18/2012 Highly Critical

*За 100% взяты пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость

На первом месте, как и в прошлом квартале, находится уязвимость в продукте Java от компании Oracle. Она была обнаружена на 31% уязвимых компьютеров. Всего же в нашем рейтинге присутствуют 2 уязвимости в Java.

Пять из 10 позиций рейтинга по-прежнему занимают продукты компании Adobe: проигрыватели Flash Playerи Shockwave и популярное приложение для чтения pdf-документов Reader.

Единственным новичком рейтинга стала уязвимость в бесплатном медиаплеере VLC.


Производители уязвимых продуктов из TOP 10 уязвимостей.
Второй квартал 2012

Все уязвимости из TOP10 дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Три уязвимости позволяют проводить атаки типа «отказ в обслуживании», а также предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. В рейтинг также попали уязвимости, которые дают возможность манипулировать данными, обходить систему защиты и проводить XSS-атаки.


Распределение уязвимостей из TOP 10 по типу воздействия на систему.
Второй квартал 2012 г.

Заключение

Во втором квартале 2012 года продолжился стремительный рост количества Android-зловредов. За три месяца в нашу коллекцию было добавлено почти 15 тысяч вредоносных dex-файлов. Зловреды для Andoid OS эволюционируют и на качественном уровне: вирусописатели придумывают различные приемы, чтобы усложнить их анализ и детектирование. Это говорит о росте числа вирусописателей, которые переключаются на разработку вредоносных программ для мобильных устройств. К тому же развивается черный рынок услуг по распространению мобильных вредоносных программ, что в ближайшем будущем приведет к увеличению числа атак на пользователей мобильных устройств,  при этом атаки станут более изощренными.

Утечки данных крупных сервисов, которые в результате деятельности различных хактивистов стали регулярными, в прошедшем квартале привели к раскрытию паролей миллионов пользователей. К сожалению, огромное количество пользователей использует одну и ту же комбинацию логина и пароля ко многим сайтам, что увеличивает риск потери ценных данных. Однако стоит заметить, что в быстрой расшифровке хранящихся в базах паролей при таких атаках повинны как сами пользователи, которые любят простые пароли, так и администраторы сайтов, использующие простые техники шифрования. Проблема не нова, и существует несколько способов ее решения. Хочется надеяться, что из-за  регулярных взломов администраторы все же станут использовать более надежные алгоритмы хранения паролей.

В следующем квартале нас ждут две крупные хакерские конференции — BlackHat и Defcon, где по традиции демонстрируется ряд новых техник атак, которые достаточно оперативно находят практическое применение в киберпреступном мире. Так что можно ожидать использования злоумышленниками новых техник уже в третьем квартале.

Основной же темой второго квартала 2012 стало обнаружение кибершпионской программы Flame. Помимо огромного размера и широкого спектра инструментов по извлечению информации с зараженных машин, Flame использует интересный способ распространения в локальной сети через создание поддельного сервера обновлений Windows. К тому же код, аналогичный части коду Flame, был обнаружен в одной из версий нашумевшего червя Stuxnet, датированной 2009 годом. Это говорит о том, что разработчики этих программ связаны друг с другом.

Ситуация с кибероружием напоминает ящик пандоры, который уже невозможно закрыть. Многие страны мира официально заявили о том, что будут разрабатывать доктрины, касающиеся действий в киберпространстве, и создавать специальные подразделения. Следовательно, история кибероружия не ограничится Duqu и Flame. Главной же сложностью в этой ситуации является отсутствие какого-либо сдерживающего фактора в виде международного регулирования в этой сфере.

ИСТОЧНИК

-Однажды утром многие люди по всему миру получили электронные письма с заголовком «Я люблю тебя», причём письма приходили с адресов друзей и коллег. За любовным признанием скрывался компьютерный вирус, который нанес ущерб мировой экономике в 10 миллиардов евро. Вирус «I Love You» (именно так он назывался) был занесен в Книгу Рекордов Гиннесса как самый разрушительный компьютерный вирус в мире. Он поразил более 3 миллионов компьютеров на планете, став ещё и самым дорогим за всю историю.

-По статистике, компьютер каждого третьего пользователя Интернета в развитых странах хотя бы раз в течение года подвергается атакам компьютерных вирусов.

-В Израиле действует забавный компьютерный вирус, который создан якобы для справедливости. Он находит в компьютере фильмы, музыку и фотографии, незаконно скачанные из Интернета, и уничтожает их. Что интересно, когда пользователь хочет удалить этот вирус из компьютера, его просят заплатить за эту услугу деньги.

-В 1990 г. произошел интересный случай с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагалась дискета, как оказалось впоследствии, зараженная вирусом. Было продано более 50.000 копий журнала.

-В Интернете появился особый вирус – спам, который умеет воздействовать на подсознание пользователя. Этот спам выглядит обычной рекламой, которая предлагает приобрести определенные товары.Однако, человек видит не только статическое изображение, но также и ряд очень быстро меняющихся картинок, которые содержат слово «покупай». Это слово остаётся на экране монитора всего 10 миллисекунд, но чётко откладывается в мозгах.

-Каждый год проходит чемпионат мира по борьбе с вирусами. Несколько лет назад на этом чемпионате одержала победу россиянка, которая показала лучший результат. Она легко обезвредила 9600 вирусов из 10.000 возможных.

-Многие учёные спорят, можно ли считать компьютерный вирус одной из форм жизни или нельзя. Американцы считают, что вирус это живое существо. А в Российской академии наук недавно был даже создан специальный отдел, занимающийся компьютерными вирусами.

-Афоризм «Главным переносчиком компьютерных вирусов являются компьютерные мыши».

-По данным специалистов, ежегодно компьютерные вирусы наносят мировой экономике ущерб в размере 1,5 триллионов долларов.

-Эпидемия компьютерных вирусов дала жизнь новой отрасли экономики — ежегодно производители антивирусного программного обеспечения зарабатывают до $2 млрд.

-Некоторые психологи считают, что есть компьютерный вирус, который может повлиять даже на здоровье человека. Вирус называется «666», он выдаёт на экран 25-й кадр, который влияет на работу мозга и приводит к расстройству жизненно важных функций организма. Правда, компьютерщики спешат всех успокоить. Дело в том, что эффект пресловутого «25-го кадра» не срабатывает из-за специфической частоты работы монитора.

-Известен целый ряд вирусов под именами звёзд: «Анна Курникова», «Джулия Робертс», «Шон Конери» и другие. Люди открывают вложенные файлы с этим названием… и заражают свой компьютер. Их подводит любовь к любимым актёрам и порнографии.

-Самая крупная вирусная атака в Германии случилась в 33-тью годовщину строительства Берлинской стены. В этот день многие люди получили электронные письма, открыв которые увидели надпись на экране «Привет от Хони», в следующую секунду вся память на компьютере стиралась. Компьютерные сети многих госучреждений Германии вышли из строя, работа была парализована.

-По прогнозам специалистов Лаборатории Касперского, в этом году будут особенно активны и опасны вирусы, которые содержатся в Интернет — играх. В такие он-лайн игры лучше не играть на рабочем месте, если вам дорого содержание жёсткого диска.

-Как говорит статистика, компьютерный вирус содержится в каждом 200-том электронном письме, которое отправляется в мире.

-Первый компьютерный вирус создали братья из Пакистана. Они продавали собственные компьютерные программы и начали тайно вставлять в свою продукцию программу-вирус, который начинал своё «чёрное дело» при попытке копирования.

-Самый известный любитель вирусов в нашей стране – это студент одного из ВУЗов Воронежа. Он создал в Интернете сайт, на котором разместил для всех желающих целую коллекцию компьютерных вирусов (более 4.000 штук). Этот сайт был обнаружен ФСБ и студент был осужден на два года условно за распространение в интернете компьютерных вирусов. Что интересно, сам студент тоже написал свой вирус, который до сих пор не обнаруживается средствами защиты.

-Самый разрушительный вирус в мире «I love you» причинил ущерб на десятки миллиардов долларов. Одна из причин в том, что вирус было легко изменить. В заголовке письма вместо «I love you» могло содержаться и приглашение на встречу друзей, и счет за билеты от авиакомпании.Но самое изощренное сообщение извещало, что в письме содержится антивирус, спасающий от «I love you».

-Американские специалисты недавно пришли к выводу, что борьба с компьютерными вирусами будет крайне долгой, и, судя по всему, безуспешной. А всё потому, что 40 лет назад Интернет создавался исходя из двух критериев: открытости и гибкости. Но не безопасности.

-Cегодня в мире более 50 компаний-разработчиков антивирусного программного обеспечения. Более 5000 вирусологов по всему миру занимаются проблемами компьютерных вирусов. Изобретено уже более 300 различных антивирусных программ.

-Около 15% вирусов проникают в компьютеры несмотря на установленную антивирусную защиту. Ведь для того чтобы антивирус устарел, в наше время требуется всего 1-2 дня.

-Один из самых знаменитых вирусов называется «Чёрная пятница». Этот зловредный вирус пробирается в компьютер, но срабатывает не сразу. А в тот день, когда пятница выпадает на 13 число.

-Вирусы могут находится в документах, вложениях и даже в аудио и видеофайлах. Сейчас не осталось таких типов файлов, которые невозможно заразить вирусом. Также набирают обороты специальные вирусы, которые путешествуют между мобильными телефонами и другими устройствами, в которых используется программное обеспечение.
Небезопасные компьютерные микробы. 

 1. Commwarrior-A
Привет пользователям iPhone; добро пожаловать в следующий уровень вирусов. Commwarrior-A начал совершать нападения летом 2005, и ударил он по… сотовым телефонам. Интересно, что самый первый вирус для сотового телефона распространялся через текстовые сообщения. Эксперты по безопасности рассматривают Commwarrior-A как начало нового вида вируса, и волнуются, что распространение умных телефонов означает, что Commwarrior-A был просто первым в новом виде вирусов.

2. Welchia
Welchia остается одним из самых необычных червей в истории, поскольку он был разработан для помощи, а не вреда. Интересный факт, что он был разработан для обнаружения вирусной программы Blaster, но повел себя не так как планировалось — заразил все компьютеры убил вирус и само уничтожился.

3. Blaster
Взрыватель не был особенно опасным червем, но получил большое внимание средств массовой информации. Червь нашел брешь в защите Windows XP и выписывал на экране читают “Билли почему это возможно, прекрати делать деньги и проправь свое программное обеспечение!” 18-летний парень по имени Джеффри Ли Парсон был арестован и в конечном счете приговорен к полутора годам тюрьмы за издевательства над Билом Гейтсом.

4. Slammer
Тюрьма — это чрезвычайно быстро распространяющийся компьютерный червь, который за десять минут заразил 75 000 компьютеров. Интересный факт, что создатель червя сумел впихнуть в его код всего лишь в пару сотен байт.

5. Nimda
Nimda был редкой комбинацией червя, вируса и троянского коня. «NIMDA был вирусом Windows, у которого было много различных методов инфекции. Он использовал электронную почту, веб-серверы, все виды контакта. Это позволило ему стать самым распространенным вирусом в мире спустя меньше чем час после того, как это выпустили на волю.

6. Creeper
Написанный в 1971, Побег был первым компьютерным вирусом. Он заразило компьютер PDP-11, Министерства обороны . После заражения компьютер показывал сообщение: “я — побежал, поймай меня, если ты можешь!”

7. Elc Cloner
Написанный в 1982 учеником средней школы, Лось Клонер заражал I компьютеры Apple II через дискету. На каждом 50-ой загрузке вирус заставлял компьютер показывать стихотворение, написанное хакером.

8. Moris Worm
Роберт Морис написал свой вирус когда был студентом, за что и стал первым человеком схлопотав срок за компьютерное мошенничество и злоупотребление. В данный момент Морис преподает информатику в одном из университетов.

9. I love you
Оригинальный почтовый вирус I_LOVE_YOU нанес ущерб миллионам зараженных компьютеров. На электронную почту приходили письма, якобы от возлюбленных, содержащие код вируса. Начиная c 4-ого марта 2000 года, вирус заразил более чем 50 миллионов компьютеров за девять дней, и интересный факт заставил ЦРУ и Пентагон закрывать свои компьютеры.

10 Code Red
Этот червь в июле 2001, заразил 360 000 компьютеров за один день. Червь напал на серверы Microsoft IS и вызвал массу сервисных проблем.

ИСТОЧНИК