Вредоносное ПО. Итоги 2007 года
Окончание. Начало в КГ №10
Думаю, стоит пробежаться немного по официальной статистике. То, что вредоносное программное обеспечение существует не только для win32- платформы, ни для кого не секрет, поэтому, думаю, стоит сказать пару слов о распределении вредоносного ПО между разыми платформами. Операционная система или приложение может подвергнуться нападению вируса, если может запустить на выполнение компонент, не относящийся к системе, а значит, к категории риска относится любой программный комплекс, который имеет встроенный скриптовый язык: ОС, Office, графические редакторы, среды разработки, платформы разработки и т.д.
По заявлению "Лаборатории Касперского", процент вредоносного ПО не для win32 растет, медленно, но верно. А это значит, что потихоньку повальная концентрация вирусописателей на Windows спадает, и появляются другие объекты пристального внимания. Давайте обратим внимание на диаграмму. На ней изображено количество вредоносного ПО для каждой платформа отдельно. Бесспорно, лидером является Win32, для которой предназначалось 228.593 вирусов. Следом идут JavaScript — 3422; Visual Basic Script — 1324 и HTML — 1328. По одному экземпляоу в течение года было выловлено для BeOS, Boot-DOS, FreeBSD, SAP, SQL, Win64. Получается что "серверный чертик" FreeBSD и 64-битная виндовс наиболее безопасны в отношении количества вирусов, ну, естественно, и остальные обладатели одной вредоносной программы за год. А вот количество вирусов для Linux намного больше, чем для FreeBSD и Unix (7) — оно составило 166 экземпляров за 2007 год. Еще немаловажно рассмотреть и частоту антивирусных обновлений с их количеством. "Лаборатория Касперского" сообщает, что в начале года среднемесячное количество сигнатур, добавляемых в антивирусную базу, составляло около 8000. В середине года это значение подскочило до 28000, а под конец немного спало — 23.000. Среднемесячное получилось 19.770 в месяц. Согласитесь, вирусная индустрия работает с полной самоотдачей=).
Ну, и для полного завершения отчета немного прогнозов на будущее. Считают, что вирусная среда эволюционирует от единичных экземпляров к целым комплексам, функционирующим как единая система. Все началось с модуля червя Bagle, продолжилось зловредом Warezov и отлично показавшим себя в 2007 году штормовым червем Zhelatin. Технологии сокрытия вредоносных программ в системе немногочисленны, однако достаточно продуктивны. В дальнейшем прогнозируется, что технология "руткит" будет применяться не только в троянских программах, но и в файловых вирусах — это что-то похожее на резидентные стелс-вирусы, которые изобиловали во времена системы MS-DOS. Как говорится, все новое — хорошо забытое старое. Достаточно предсказуемо желание сохранить контроль даже будучи замеченным антивирусной системой. Получит дальнейшее распространение возможность запуска зловреда до загрузки системы и основных компонентов антивируса, а это значит, заражение бут-сектора. Вот это может стать по-настоящему проблемой нового года, да и будущего. Файловые вирусы продолжат свое возвращение. На первом месте по-прежнему будут китайские вирусописатели, и нацелены вирусы будут на пользователей онлайн-игр. Не исключено, что заражение файлов возьмут на вооружение авторы Zhelatin или Warezov — ведь это даст этим вредоносным программам еще один серьезный способ распространения.
В 2008 году нас ожидает множество инцидентов с зараженными дистрибутивами игр и программ, размещенных на популярных сайтах и в файлообменных сетях. Вирусы будут стремиться заразить те файлы, которые пользователь предоставляет для общего пользования. Во многих случаях такой способ распространения может оказаться даже более эффективным, чем рассылка вредоносного файла по электронной почте. Пользователи социальных сетей станут основной мишенью фишинга. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, будут пользоваться повышенным спросом у злоумышленников. Это станет важной альтернативой методике размещения вредоносных программ на взломанных сайтах. В 2008 году множество троянских программ будут распространяться именно через аккаунты пользователей социальных сетей, через их блоги и профили. Еще одной связанной с социальными сетями проблемой останутся XSS\PHP\SQL-атаки. В отличие от фишинга, в основе которого исключительно мошеннические методы и методы социальной инженерии, эти атаки используют ошибки и уязвимости самих Web 2.0 сервисов и могут затронуть даже весьма грамотных пользователей. Под прицелом, как всегда, будут частные данные, которые нужны для создания некоторых баз/списков для проведения последующих атак "традиционными" способами.
Вот таким образом развивались дела в вирус-антивирусной индустрии, и пока проблема безопасности меньше не стала, несмотря на все старания антивирусных компаний. Поэтому следует не зевать. Что касается моих столкновений с вредоносным ПО в сети, так оно свелось к минимуму. Правильная настройка системы позволяет избежать любых попыток проникновения. В почтовом трафике моего the Bat! вирусов не встречалось, чего нельзя сказать о прошлых годах. Намного чаще, а вернее, периодически, приходилось сталкиваться с авторанами, которые активно распространялись через съемные накопители. Наиболее часто встречался kasha.exe. Поэтому будьте внимательны. Обезвредить его можно достаточно просто: достаточно отключить в диспетчере процессов один из двух explorer.exe, который вирусом и является, после этого в msconfig.exe необходимо убрать новый и подозрительный (а что самое главное — незнакомый) объект из автозагрузки, проследить его адрес (это тело вируса) и удалить с концами.
Немного отвлекся. На этом все. Надеюсь, картина немного прояснилась. Удачи, и осторожнее в сети.
Евгений Кучук, SASecurity gr.
Думаю, стоит пробежаться немного по официальной статистике. То, что вредоносное программное обеспечение существует не только для win32- платформы, ни для кого не секрет, поэтому, думаю, стоит сказать пару слов о распределении вредоносного ПО между разыми платформами. Операционная система или приложение может подвергнуться нападению вируса, если может запустить на выполнение компонент, не относящийся к системе, а значит, к категории риска относится любой программный комплекс, который имеет встроенный скриптовый язык: ОС, Office, графические редакторы, среды разработки, платформы разработки и т.д.
По заявлению "Лаборатории Касперского", процент вредоносного ПО не для win32 растет, медленно, но верно. А это значит, что потихоньку повальная концентрация вирусописателей на Windows спадает, и появляются другие объекты пристального внимания. Давайте обратим внимание на диаграмму. На ней изображено количество вредоносного ПО для каждой платформа отдельно. Бесспорно, лидером является Win32, для которой предназначалось 228.593 вирусов. Следом идут JavaScript — 3422; Visual Basic Script — 1324 и HTML — 1328. По одному экземпляоу в течение года было выловлено для BeOS, Boot-DOS, FreeBSD, SAP, SQL, Win64. Получается что "серверный чертик" FreeBSD и 64-битная виндовс наиболее безопасны в отношении количества вирусов, ну, естественно, и остальные обладатели одной вредоносной программы за год. А вот количество вирусов для Linux намного больше, чем для FreeBSD и Unix (7) — оно составило 166 экземпляров за 2007 год. Еще немаловажно рассмотреть и частоту антивирусных обновлений с их количеством. "Лаборатория Касперского" сообщает, что в начале года среднемесячное количество сигнатур, добавляемых в антивирусную базу, составляло около 8000. В середине года это значение подскочило до 28000, а под конец немного спало — 23.000. Среднемесячное получилось 19.770 в месяц. Согласитесь, вирусная индустрия работает с полной самоотдачей=).
Ну, и для полного завершения отчета немного прогнозов на будущее. Считают, что вирусная среда эволюционирует от единичных экземпляров к целым комплексам, функционирующим как единая система. Все началось с модуля червя Bagle, продолжилось зловредом Warezov и отлично показавшим себя в 2007 году штормовым червем Zhelatin. Технологии сокрытия вредоносных программ в системе немногочисленны, однако достаточно продуктивны. В дальнейшем прогнозируется, что технология "руткит" будет применяться не только в троянских программах, но и в файловых вирусах — это что-то похожее на резидентные стелс-вирусы, которые изобиловали во времена системы MS-DOS. Как говорится, все новое — хорошо забытое старое. Достаточно предсказуемо желание сохранить контроль даже будучи замеченным антивирусной системой. Получит дальнейшее распространение возможность запуска зловреда до загрузки системы и основных компонентов антивируса, а это значит, заражение бут-сектора. Вот это может стать по-настоящему проблемой нового года, да и будущего. Файловые вирусы продолжат свое возвращение. На первом месте по-прежнему будут китайские вирусописатели, и нацелены вирусы будут на пользователей онлайн-игр. Не исключено, что заражение файлов возьмут на вооружение авторы Zhelatin или Warezov — ведь это даст этим вредоносным программам еще один серьезный способ распространения.
В 2008 году нас ожидает множество инцидентов с зараженными дистрибутивами игр и программ, размещенных на популярных сайтах и в файлообменных сетях. Вирусы будут стремиться заразить те файлы, которые пользователь предоставляет для общего пользования. Во многих случаях такой способ распространения может оказаться даже более эффективным, чем рассылка вредоносного файла по электронной почте. Пользователи социальных сетей станут основной мишенью фишинга. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, будут пользоваться повышенным спросом у злоумышленников. Это станет важной альтернативой методике размещения вредоносных программ на взломанных сайтах. В 2008 году множество троянских программ будут распространяться именно через аккаунты пользователей социальных сетей, через их блоги и профили. Еще одной связанной с социальными сетями проблемой останутся XSS\PHP\SQL-атаки. В отличие от фишинга, в основе которого исключительно мошеннические методы и методы социальной инженерии, эти атаки используют ошибки и уязвимости самих Web 2.0 сервисов и могут затронуть даже весьма грамотных пользователей. Под прицелом, как всегда, будут частные данные, которые нужны для создания некоторых баз/списков для проведения последующих атак "традиционными" способами.
Вот таким образом развивались дела в вирус-антивирусной индустрии, и пока проблема безопасности меньше не стала, несмотря на все старания антивирусных компаний. Поэтому следует не зевать. Что касается моих столкновений с вредоносным ПО в сети, так оно свелось к минимуму. Правильная настройка системы позволяет избежать любых попыток проникновения. В почтовом трафике моего the Bat! вирусов не встречалось, чего нельзя сказать о прошлых годах. Намного чаще, а вернее, периодически, приходилось сталкиваться с авторанами, которые активно распространялись через съемные накопители. Наиболее часто встречался kasha.exe. Поэтому будьте внимательны. Обезвредить его можно достаточно просто: достаточно отключить в диспетчере процессов один из двух explorer.exe, который вирусом и является, после этого в msconfig.exe необходимо убрать новый и подозрительный (а что самое главное — незнакомый) объект из автозагрузки, проследить его адрес (это тело вируса) и удалить с концами.
Немного отвлекся. На этом все. Надеюсь, картина немного прояснилась. Удачи, и осторожнее в сети.
Евгений Кучук, SASecurity gr.
Компьютерная газета. Статья была опубликована в номере 11 за 2008 год в рубрике безопасность