Вірусні підсумки року і тенденції на 2010 рік, Безпека ПЗ, Security & Hack, статті

Компанія представляє огляд основних вірусних подій 2009 року. За східним календарем завершується рік вважається роком бика. Для кіберзлочинців “червоною ганчіркою” стали гроші користувачів – легка видобуток в умовах, коли людина довірливо клацає по посиланнях, надісланим нібито від друзів, і завантажує програми, “необхідні” для вирішення тих чи інших завдань.


Створення руйнівних шкідливих програм при цьому залишилося в минулому. Вимоги про переведення грошей зловмисникам виводилися як у вікнах різних інтернет-браузерів, так і на робочому столі або поверх всіх вікон в системі. В якості транспорту для поширення вірусів використовувалися як класичні канали – електронна пошта, системи миттєвого обміну повідомленнями, так і нові – соціальні мережі та блоги. Розглянемо найбільш помітні типи шкідливих програм, які становили основну частину шкідливого трафіку 2009 року, а також намічені тенденції майбутніх років.


Руткіти


Найбільше загадок розробникам антивірусних технологій у 2009 році було задано автори нових руткітів. Ці шкідливі програми приховують свою присутність в системі, а також дозволяють працювати в прихованому від очей користувача і більшості антивірусів режимі іншим шкідливим програмам, які вони завантажують з шкідливих інтернет-сайтів. Нерідкі випадки, коли компоненти руткіта вже додано у вірусну базу будь-якого антивіруса, але він, тим не менш, не помічає присутності шкідливого об’єкта в системі.


Лжеантівіруси


В останні місяці року, що минає істотно збільшилася активність розповсюдження лжеантівірусов. Ці програми при запуску зовні схожі на справжні антивірусні програми, але не є такими. Мета творців лжеантівірусов – затягти користувача на спеціально підготовлений шкідливий сайт, на якому він повинен придбати нібито повну версію продукту.


Як правило, лжеантівіруси поширюються у вигляді додатків до спам-листів або через спеціально підготовлені шкідливі сайти. При цьому найчастіше таким чином передається завантажувач лжеантівіруса, який при запуску завантажує з сервера зловмисників компоненти, що становлять основний функціонал.


Упор під шкідливі програми цього типу робиться на візуальну частину – програма відображає системні вікна Windows, які повідомляють про те, що даний антивірус нібито інтегрований в систему. Основне вікно програми показує процес сканування комп’ютера й імітує виявлення вірусів.


Після того, як користувач заплатить гроші за нібито повну версію такого антивіруса, його біди аж ніяк не закінчуються – він залишається “на гачку”, і в систему можуть бути завантажені будь-які інші шкідливі об’єкти.


З вересня 2009 року спостерігається сплеск активності даних загроз – в жовтні і листопаді було зафіксовано по кілька десятків мільйонів визначень програм даного типу. До вересня загальна кількість виявлених на місяць лжеантівірусов на комп’ютерах користувачів було аж на 4 порядки менше.


Блокувальники Windows


Багато лиха в 2009 році принесли користувачам і блокувальники Windows. Ці шкідливі програми при старті Windows виводять поверх всіх вікон повідомлення про те, що доступ до системи заблокований, і для того, щоб це вікно зникло, необхідно надіслати платне СМС-повідомлення.


Як причину блокування програма могла інформувати про те, що на комп’ютері встановлена ​​неліцензійна нібито операційна система або інше програмне забезпечення (рідше використовуються інші “приводи”). Відомі випадки поширення конструкторів даних зловмисних програм за певну суму – придбати їх міг кожен охочий.


Кілька років тому шкідливі програми даного сімейства були набагато нешкідливі: на відміну від сучасних екземплярів вони автоматично віддалялися з комп’ютера через кілька годин після установки, якщо користувач не здійснював ніяких дій; не запускалися в Безпечному режимі Windows; система дійсно розблокована разі введення правильної рядки, а вартість СМС-повідомлень була невисокою.


Останні модифікації стали агресивнішими. СМС-повідомлення для розблокування істотно подорожчали. Деякі модифікації можуть і не містити в собі правильного коду для розблокування, і, відповідно, користувач після відправлення грошей зловмисникам залишається ні з чим. Дані програми не видаляються автоматично з системи після деякого часу. Вони навчилися перешкоджати запуску безлічі програм, здатних спростити дослідження блокувальника на зараженій системі або просто завершальних роботу системи при спробі запуску такого ПЗ.


У разі зараження системи черговою модифікацією блокувальників не слід передавати гроші зловмисникам. Замість цього необхідно звернутися в техпідтримку використовуваного антивірусу або пошукати вирішення по форумах. Воно з’являється, як правило, протягом доби-двох, після появи нового блокувальника Windows в Мережі.


Браузерні банери


Ще однією модифікацією троянців-вимагачів є сімейство шкідливих програм, що встановлюються в якості доповнення до використовуваного інтернет-браузеру. У результаті встановлення з’являється вікно, яке може займати до половини корисної площі вікна браузера. Для видалення цього вікна потрібно відправити СМС-повідомлення.


Такий троянець-вимагач може встановлюватися в кілька різних популярних браузерів – Internet Explorer, Mozilla Firefox і Opera. Для цього на шкідливих сайтах, з яких поширюється дана шкідлива програма, зловмисники створюють скрипт, який дозволяє визначати використовуваний браузер і після цього завантажувати призначену для нього модифікацію шкідливої ​​програми.


У березні 2009 року був помічений сплеск активності розповсюдження шкідливих програм даного типу. Тоді було зафіксовано близько 3 млн. визначень на комп’ютерах користувачів. В середньому ж протягом року кількість визначень шкідливих браузерних банерів трималося на рівні 5 000 – 10 000 в місяць.


Шифрувальники документів


Черговий проблемою, з якою зіткнулися багато користувачів в 2009 році, стали шифрувальники документів. Дана шкідлива програма, проникаючи в систему, шифрує за допомогою певного алгоритму документи користувачів, не зачіпаючи файли, пов’язані з операційною системою. Після цього на робочий стіл виводиться повідомлення про те, що дані користувача зашифровані, а для відновлення необхідно перерахувати зловмисникам певну суму грошей.


Незважаючи на відносно малу поширеність шкідливих програм даного типу, при попаданні в систему вони завдають досить відчутної шкоди, – адже документи часто мають високу цінність для користувачів. Постраждалі від шифрувальників завжди можуть звернутися у вірусну лабораторію компанії “Доктор Веб” – у переважній більшості випадків фахівці допоможуть у відновленні зашифрованих документів, причому безкоштовно.


Мережеві черв’яки


Мережеві черв’яки в 2009 році змусили багатьох адміністраторів локальних мереж підприємств згадати про елементарні правила інформаційної безпеки. Найбільш яскравим представником цих шкідливих програм став мережевий черв’як Win32.HLLW.Shadow.based.


По-перше, даний хробак використовує для свого поширення знімні носії і мережеві диски, нагадуючи про те, що в сучасних умовах необхідно відключати автозапуск програм з таких дисків. По-друге, дана програма може використовувати стандартний для Windows-мереж протокол SMB. При цьому вона за словником перебирає найбільш часто зустрічаються паролі, нагадуючи адміністраторам мереж про те, що подібні паролі повинні бути досить складними – адже від цього залежить функціонування всієї мережі.


Нарешті, Win32.HLLW.Shadow.based використовує кілька відомих вразливостей Windows-систем. При цьому на момент початку активного поширення Win32.HLLW.Shadow.based ці уразливості вже були закриті виробником. Цей факт говорить про те, що автоматична установка оновлень на операційну систему ніколи не буде зайвою втратою інтернет-трафіку.


Різноманіття програмних середовищ


Як ми згадували, деякі шкідливі об’єкти сьогодні вже здатні визначати операційну систему, браузер, версією іншого популярного ПО для того, щоб більш ефективним чином вразити систему. Але для того, щоб дана схема почала працювати, зловмисникам потрібно навчитися створювати шкідливі програми, які зможуть працювати на більшості популярних операційних систем. Як ідуть справи на цьому фронті?


Якщо ми звернемося до статистики розповсюдження шкідливих програм з різних платформ за 2009 рік, то зможемо зробити наступні висновки. Інтерес до альтернативних платформ постійно зростає. Судячи з статистикою, для таких платформ як Mac OS, Linux, Windows CE тенденція не так очевидна, хоча в новинах часто можна почути про шкідливі програми під ці системи.


А ось до таких мобільних платформ як програмне середовище Java (яку підтримують безліч мобільних пристроїв) і Symbian інтерес збільшується з кожним місяцем. Навіть незважаючи на те, що частка визначень шкідливих програм у загальному шкідливий трафік, як і раніше дуже мала.


Прогнозовані тенденції 2010 року


У 2010 році можна очікувати продовження тенденції до одномоментного охопленням зловмисниками користувачів як можна більшого числа операційних систем і браузерів. Можна припустити, що збільшиться кількість шкідливих сайтів, на яких працюватимуть скрипти, здатні визначати використовувану програмне середовище і залежно від цього робити завантаження відповідної шкідливої ​​програми. Ринок операційних систем поступово розшаровується – з’являються нові ОС, нові мобільні пристрої, все більше користувачів цікавляться вільним або альтернативним програмним забезпеченням, і Вірусописьменники реагуватимуть на ці тенденції, щоб не упустити свою вигоду.


Слід очікувати, що в наступні роки зловмисники будуть більше часу приділяти обходу не тільки класичних сигнатурних та евристичних технологій, а й протидії різним поведінковим аналізатора, приклади чого ми бачимо вже сьогодні.


Напевно триватиме розробка нових руткіт-технологій, і боротьба з ними буде такою ж гострою, як і в останні роки. Ймовірно, вже в 2010 році будуть здійснені перші спроби створити руткіт для 64-бітної платформи Windows. Багато експертів стверджують, що це лише питання часу.


Досить імовірно більш активне використання поліморфних технологій, які можуть з легкістю перешкоджати роботі так званих хмарних антивірусів. Якщо поширення шкідливих програм, унікальних у кожному своєму екземплярі, становитиме значну частину всього шкідливого трафіку, це може зробити використання подібних антивірусних технологій вкрай неефективним.


Кількістю будуть брати і творці шкідливих сайтів. Вже сьогодні антифішинговий технології, використовувані в будь-якому сучасному браузері і покликані вберегти користувачів від відвідування шкідливих сайтів, частенько не справляються з поставленим завданням. Зловмисники швидко створюють занадто багато копій одного і того ж сайту, і антифішинговий системи просто не встигають спрацювати на кожен з них.


На закінчення наведемо кілька рекомендацій, які допоможуть суттєво знизити ризик зараження системи. Для зменшення ймовірності зараження рекомендуємо користувачам організовувати інформаційний захист своїх комп’ютерів відразу на декількох рівнях.


По-перше, необхідно налаштувати автоматичне оновлення операційної системи та іншого ПЗ, знизивши тим самим ймовірність використання шкідливими програмами відомих вразливостей цього ПЗ.


По-друге, необхідно налаштувати автоматичне оновлення антивіруса для того, щоб істотно знизити ймовірність зараження системи новими загрозами.


По-третє, необхідно налаштувати параметри облікового запису користувача, під якою здійснюється робота в Інтернеті, таким чином, щоб обмежити її можливості по управлінню основними настройками системи.


Також рекомендується відключити автоматичний запуск програм із зовнішніх дисків.


Для корпоративних користувачів крім рекомендації використовувати в умовах підприємства корпоративні антивірусні продукти ми радимо також прийняти політику інформаційної безпеки, а також присвячувати хоча б мінімальний робочий час співробітників навчання в області елементарних правил інформаційної безпеки.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*