Вірусні підсумки року, що минає і тенденції на 2010 рік

Компанія "Доктор Веб" представляє огляд основних вірусних подій 2009 року. За східним календарем рік, що завершується вважається роком бика. Для кіберзлочинців «червоною ганчіркою» стали гроші користувачів - легка здобич в умовах, коли людина довірливо клацає по посиланнях, надісланим нібито від друзів, і викачує програми, «необхідні» для вирішення тих чи інших завдань.

Створення руйнівних шкідливих програм при цьому залишилося в минулому. Вимоги про переведення грошей зловмисникам виводилися як у вікнах різних інтернет-браузерів, так і на робочому столі або поверх всіх вікон в системі. В якості транспорту для поширення вірусів використовувалися як класичні канали - електронна пошта, системи миттєвого обміну повідомленнями, так і нові - соціальні мережі і блоги. Розглянемо найбільш помітні типи шкідливих програм, які становили основну частину шкідливого трафіку 2009 року, а також намічені тенденції майбутніх років.

руткіти

Найбільше загадок розробникам антивірусних технологій у 2009 році поставили автори нових руткітів. Ці шкідливі програми приховують свою присутність в системі, а також дозволяють працювати в прихованому від очей користувача і більшості антивірусів режимі іншим шкідливим програмам, які вони завантажують з шкідливих інтернет-сайтів. Нерідкі випадки, коли компоненти руткита вже додані в вірусну базу будь-якого антивіруса, але він, тим не менш, не помічає присутності шкідливого об`єкта в системі.

фальшивий антивірус

В останні місяці року, що минає істотно збільшилася активність розповсюдження фальшивий антивірус. Ці програми при запуску зовні схожі на справжні антивірусні програми, але не є такими. Мета творців фальшивий антивірус - заманити користувача на спеціально підготовлений шкідливий сайт, на якому він повинен придбати нібито повну версію продукту.

Відео: Задорнов - підсумки року, що минає. Концерт Задорнова в Санкт-Петербурзі

Як правило, фальшивий антивірус поширюються в вигляді додатків до спам-листів або через спеціально підготовлені шкідливі сайти. При цьому найчастіше таким чином передається завантажувач фальшивий антивірус, який при запуску завантажує з сервера зловмисників компоненти, що становлять основний функціонал.

Упор у шкідливі програми цього типу робиться на візуальну частину - програма відображає системні вікна Windows, які повідомляють про те, що даний антивірус нібито інтегрований в систему. Основне вікно програми показує процес сканування комп`ютера і імітує виявлення вірусів.

Після того, як користувач заплатить гроші за нібито повну версію такого антивіруса, його біди аж ніяк не закінчуються - він залишається "на гачку", і в систему можуть бути завантажені будь-які інші шкідливі об`єкти.

З вересня 2009 року спостерігається сплеск активності даних загроз - в жовтні і листопаді було зафіксовано по кілька десятків мільйонів визначень програм даного типу. До вересня загальна кількість виявлених на місяць фальшивий антивірус на комп`ютерах користувачів було аж на 4 порядки менше.

блокувальники Windows

Багато бід в 2009 році принесли користувачам і блокувальники Windows. Ці шкідливі програми при старті Windows виводять поверх всіх вікон повідомлення про те, що доступ до системи заблокований, і для того, щоб це вікно зникло, необхідно надіслати платне СМС-повідомлення.

В якості причини блокування програма могла інформувати про те, що на комп`ютері встановлена нібито неліцензійна операційна система або інше програмне забезпечення (рідше використовуються інші «приводи»). Відомі випадки поширення конструкторів даних шкідливих програм за певну суму - придбати їх міг кожен охочий.

Кілька років тому шкідливі програми даного сімейства були набагато нешкідливі: на відміну від сучасних екземплярів вони автоматично віддалялися з комп`ютера через кілька годин після установки, якщо користувач не здійснював ніяких дій-не запускати в безпечному режимі Windows- система дійсно розблокувати в разі введення правильної рядки, а вартість СМС-повідомлень була невисокою.

Останні модифікації стали більш агресивними. СМС-повідомлення для розблокування істотно подорожчали. Деякі модифікації можуть і не містити в собі правильного коду для розблокування, і, відповідно, користувач після відправки грошей зловмисникам залишається ні з чим. Дані програми не видаляються автоматично з системи після деякого часу. Вони навчилися перешкоджати запуску безлічі програм, здатних спростити дослідження блокувальника на зараженій системі або просто завершальних роботу системи при спробі запуску такого ПО.

У разі зараження системи черговою модифікацією блокувальників не слід передавати гроші зловмисникам. Замість цього необхідно звернутися в техпідтримку використовуваного антивіруса або пошукати рішення по форумам. Воно з`являється, як правило, протягом доби-двох, після появи нового блокувальника Windows в Мережі.

браузерні банери

Ще однією модифікацією троянців-вимагачів є сімейство шкідливих програм, що встановлюються в якості доповнення до використовуваного інтернет-браузеру. В результаті установки з`являється вікно, яке може займати до половини корисної площі вікна браузера. Для видалення цього вікна потрібно відправити СМС-повідомлення.

Такий троянець-вимагач може встановлюватися в кілька різних популярних браузерів - Internet Explorer, Mozilla Firefox і Opera. Для цього на шкідливих сайтах, з яких поширюється дана шкідлива програма, зловмисники створюють скрипт, який дозволяє визначати використовуваний браузер і після цього завантажувати призначену для нього модифікацію шкідливої програми.

У березні 2009 року був помічений сплеск активності поширення шкідливих програм даного типу. Тоді було зафіксовано близько 3 млн. Визначень на комп`ютерах користувачів. В середньому ж протягом року кількість визначень шкідливих браузерних банерів трималося на рівні 5 000 - 10 000 в місяць.

шифрувальники документів

Черговий проблемою, з якою зіткнулися багато користувачів в 2009 році, стали шифрувальники документів. Дана шкідлива програма, проникаючи в систему, шифрує за допомогою певного алгоритму документи користувачів, не зачіпаючи файли, пов`язані з операційній системі. Після цього на робочий стіл виводиться повідомлення про те, що дані користувача зашифровані, а для відновлення необхідно перерахувати зловмисникам певну суму грошей.

Незважаючи на відносно малу поширеність шкідливих програм даного типу, при попаданні в систему вони завдають досить відчутної шкоди - адже документи часто мають високу цінність для користувачів. Постраждалі від шифрувальників завжди можуть звернутися в вірусну лабораторію компанії "Доктор Веб" - в переважній більшості випадків фахівці допоможуть у відновленні зашифрованих документів, причому безкоштовно.

Мережеві черв`яки

Мережеві черв`яки в 2009 році змусили багатьох адміністраторів локальних мереж підприємств згадати про елементарні правила інформаційної безпеки. Найбільш яскравим представником цих шкідливих програм став мережевий черв`як Win32.HLLW.Shadow.based.

Відео: Підсумки року, що минає і шокуючі прогнози на 2016-й

По-перше, даний хробак використовує для свого поширення знімні носії і мережеві диски, нагадуючи про те, що в сучасних умовах необхідно відключати автозапуск програм з таких дисків. По-друге, дана програма може використовувати стандартний для Windows-мереж протокол SMB. При цьому вона по словником перебирає найбільш часто зустрічаються паролі, нагадуючи адміністраторам мереж про те, що подібні паролі повинні бути досить складними - адже від цього залежить функціонування всієї мережі.

Нарешті, Win32.HLLW.Shadow.based використовує кілька відомих вразливостей Windows-систем. При цьому на момент початку активного поширення Win32.HLLW.Shadow.based ці уразливості вже були закриті виробником. Цей факт говорить про те, що автоматична установка оновлень на операційну систему ніколи не буде зайвою втратою інтернет-трафіку.

Різноманіття програмних середовищ

Як ми згадували, деякі шкідливі об`єкти сьогодні вже здатні визначати операційну систему, браузер, версії іншого популярного ПО для того, щоб більш ефективним чином вразити систему. Але для того, щоб дана схема почала працювати, зловмисникам потрібно навчитися створювати шкідливі програми, які зможуть працювати на більшості популярних операційних систем. Як йдуть справи на цьому фронті?

Якщо ми звернемося до статистики поширення шкідливих програм з різних платформ за 2009 рік, то зможемо зробити наступні висновки. Інтерес до альтернативних платформ постійно зростає. Судячи зі статистики, для таких платформ як Mac OS, Linux, Windows CE тенденція не так очевидна, хоча в новинах часто можна почути про шкідливі програми під ці системи.

А ось до таких мобільних платформ як програмне середовище Java (яку підтримують безліч мобільних пристроїв) і Symbian інтерес збільшується з кожним місяцем. Навіть незважаючи на те, що частка визначень шкідливих програм в загальному шкідливий трафік як і раніше дуже мала.

Прогнозовані тенденції 2010 року

У 2010 році можна очікувати продовження тенденції до одномоментного охопленням зловмисниками користувачів якомога більшого числа операційних систем і браузерів. Можна припустити, що збільшиться кількість шкідливих сайтів, на яких будуть працювати скрипти, здатні визначати використовувану програмне середовище і в залежності від цього робити завантаження відповідної шкідливої програми. Ринок операційних систем поступово розшаровується - з`являються нові ОС, нові мобільні пристрої, все більше користувачів цікавляться вільним або альтернативним програмним забезпеченням, і вирусописатели реагуватимуть на ці тенденції, щоб не упустити свою вигоду.

Слід очікувати, що в наступні роки зловмисники будуть більше часу приділяти обходу не тільки класичних сигнатурних і евристичних технологій, але і протидії різним поведінковим аналізатора, приклади чого ми бачимо вже сьогодні.

Напевно триватиме розробка нових руткіт-технологій, і боротьба з ними буде такою ж гострою, як і в останні роки. Ймовірно, вже в 2010 році будуть здійснені перші спроби створити руткіт для 64-бітної платформи Windows. Багато експертів стверджують, що це лише питання часу.

Досить імовірно більш активне використання поліморфних технологій, які можуть з легкістю перешкоджати роботі так званих хмарних антивірусів. Якщо поширення шкідливих програм, унікальних в кожному своєму екземплярі, становитиме значну частину всього шкідливого трафіку, це може зробити використання подібних антивірусних технологій вкрай неефективним.

Кількістю будуть брати і творці шкідливих сайтів. Уже сьогодні антифішинговий технології, використовувані в будь-якому сучасному браузері і покликані вберегти користувачів від відвідування шкідливих сайтів, частенько не справляються з поставленим завданням. Зловмисники швидко створюють занадто багато копій одного і того ж сайту, і антифішинговий системи просто не встигають спрацювати на кожен з них.

Відео: Підсумки року, що минає і плани на майбутній рік

На закінчення наведемо кілька рекомендацій, які допоможуть істотно знизити ризик зараження системи. Для зменшення ймовірності зараження рекомендуємо користувачам організовувати інформаційний захист своїх комп`ютерів відразу на декількох рівнях.

По-перше, необхідно налаштувати автоматичне оновлення операційної системи та іншого ПО, знизивши тим самим ймовірність використання шкідливими програмами відомих вразливостей цього ПО.

По-друге, необхідно налаштувати автоматичне оновлення антивіруса для того, щоб істотно знизити ймовірність зараження системи новими загрозами.

По-третє, необхідно налаштувати параметри облікового запису користувача, під якою здійснюється робота в Інтернеті, таким чином, щоб обмежити її можливості по управлінню основними настройками системи.

Також рекомендується відключити автоматичний запуск програм з зовнішніх дисків.

Для корпоративних користувачів крім рекомендації використовувати в умовах підприємства корпоративні антивірусні продукти ми радимо також прийняти політику інформаційної безпеки, а також присвячувати хоча б мінімальний робочий час співробітників навчання в області елементарних правил інформаційної безпеки.