«Доктор Веб» обрисовал угрозы за 2009 год

21.12.2009 |

Анна Тумакова.

«Доктор Веб» – российский разработчик средств информационной безопасности. Компания предлагает антивирусные и антиспам-решения как для крупных компаний и государственных организаций, так и для частных пользователей. Антивирусные продукты Dr.Web разрабатываются с 1992 года.

Согласно исследованиям компании «Доктор Веб», больше всего загадок разработчикам антивирусных технологий в 2009 году загадали авторы новых руткитов. Наиболее заметными вредоносными программами данного класса стало семейство BackDoor.Tdss (название приводится по классификации Dr.Web). В марте 2009 года в компании сообщали о том, что очередная модификация BackDoor.Tdss препятствует работе файловых мониторов, входящих в состав некоторых антивирусов, а также обходит антируткиты. В то время распространённость BackDoor.Tdss была относительно невысокой. В ноябре 2009 года новые модификации BackDoor.Tdss распространились значительно шире. Сервер статистики компании «Доктор Веб» в прошедшем месяце зафиксировал около 400 тыс. определений данной вредоносной программы на компьютерах пользователей. До этого момента эта цифра редко поднималась выше 1 тыс. определений в месяц. «Интересно, что новые модификации BackDoor.Tdss злоумышленники стали оснащать инструментами сокрытия в системе. Это, к примеру, специально создаваемый зашифрованный виртуальный диск и механизм обхода некоторых типов поведенческих анализаторов», – отмечают в компании. За 2009 год компания «Доктор Веб» выпустила несколько дополнений сканера с графическим интерфейсом, включающего в себя обновлённый антируткит-модуль Dr.Web Shield для противодействия новым руткит-технологиям.

Активность распространения лжеантивирусов, которые по классификации Dr.Web называются Trojan.Fakealert, в последние месяцы уходящего года существенно увеличилась. Как правило, лжеантивирусы распространяются в виде приложений к спам-письмам или через специально подготовленные вредоносные сайты. При этом чаще всего таким образом передаётся загрузчик лжеантивируса, который при запуске загружает с сервера злоумышленников компоненты, составляющие основной функционал. Упор во вредоносном ПО этого типа делается на визуальную часть – программа отображает системные окна Windows, которые сообщают о том, что данный антивирус якобы интегрирован в систему. Основное окно программы показывает процесс сканирования компьютера и имитирует обнаружение вирусов. После того как пользователь заплатит деньги за якобы полную версию такого антивируса, он остаётся «на крючке» и в систему могут быть загружены другие вредоносные объекты. «С сентября 2009 года наблюдается всплеск активности данных угроз – в октябре и ноябре было зафиксировано по несколько десятков миллионов определений программ данного типа. До сентября общее количество обнаруживаемых в месяц лжеантивирусов на компьютерах пользователей было на 4 порядка меньше», – подчеркивают в компании.

Следующий тип распространенных в 2009 году угроз – блокировщики Windows, вредоносные программы, которые по классификации Dr.Web называются Trojan.Winlock. При старте Windows они выводят поверх всех окон сообщение о том, что доступ в систему заблокирован, и для того, чтобы данное окно исчезло, необходимо отправить платное СМС-сообщение. В качестве причины блокировки программа может информировать о том, что на компьютере установлена якобы нелицензионная операционная система или другое программное обеспечение (реже используются другие «поводы»). Известны случаи распространения конструкторов данных вредоносных программ за определённую сумму – приобрести их мог любой желающий. Несколько лет назад вредоносные программы семейства Trojan.Winlock были безобиднее: в отличие от современных экземпляров они автоматически удалялись с компьютера через несколько часов после установки, если пользователь не совершал никаких действий, не запускались в безопасном режиме Windows, к тому же система действительно разблокировалась в случае ввода правильной строки, а стоимость СМС-сообщений была невысокой. Теперь сообщения для разблокировки существенно подорожали, некоторые модификации могут и не содержать в себе правильного кода для разблокировки, программы не удаляются автоматически из системы. Кроме того, Trojan.Winlock научился препятствовать запуску множества программ, способных упростить исследование блокировщика на заражённой системе или просто завершающих работу системы при попытке запуска такого ПО. «В случае заражения системы очередной модификацией Trojan.Winlock не следует передавать деньги злоумышленникам. Вместо этого необходимо обратиться в техподдержку используемого антивируса или на форум компании «Доктор Веб», – рекомендуют специалисты разработчика.

Ещё одной модификацией троянцев-вымогателей является семейство вредоносных программ, устанавливаемых в качестве дополнения к используемому интернет-браузеру. В результате установки появляется окно, которое может занимать до половины полезной площади окна браузера. Для удаления этого окна требуется отправить СМС-сообщение. По классификации Dr.Web основная часть таких вредоносных программ определяется как одна из модификаций Trojan.Blackmailer или Trojan.BrowseBan. Если Trojan.Blackmailer устанавливается обычно только в браузер Internet Explorer, то Trojan.BrowseBan может устанавливаться также в Mozilla Firefox и Opera. Для этого на вредоносных сайтах, с которых распространяется данная вредоносная программа, злоумышленники создают скрипт, который позволяет определять используемый браузер и после этого загружать предназначенную для него модификацию вредоносной программы. В марте 2009 года в Dr.Web заметили всплеск активности распространения вредоносных программ данного типа. Тогда было зафиксировано около 3 млн определений Trojan.Blackmailer на компьютерах пользователей. В среднем же в течение года количество определений вредоносных браузерных баннеров держалось на уровне 5-10 тыс. в месяц.

Шифровальщики документов – вредоносные программы, которые определяются антивирусом Dr.Web как различные модификации Trojan.Encoder, – проникая в систему, шифруют с помощью определённого алгоритма документы пользователей, не затрагивая файлы, относящиеся к операционной системе. После этого на рабочий стол выводится уведомление о том, что данные пользователя зашифрованы, а для восстановления необходимо перечислить определённую сумму денег. Компания «Доктор Веб» столкнулась с фактами использования своей корпоративной атрибутики в материалах одного из авторов Trojan.Encoder. Также были зафиксированы случаи распространения спам-сообщений от имени сотрудников компании «Доктор Веб», а некоторые модификации Trojan.Encoder использовали дополнительное расширение drweb для зашифрованных файлов. Несмотря на относительно малую распространённость вредоносных программ данного типа, при попадании в систему они наносят весьма ощутимый урон. Пострадавшим от Trojan.Encoder в вирусной лаборатории «Доктор Веб» в подавляющем большинстве случаев смогут помочь в восстановлении зашифрованных документов, причём бесплатно. Напомним, что о волне распространения Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41) разработчик сообщал, например, в конце сентября 2009 года (см. новость дайджеста раздела «Безопасность» от 29 сентября 2009 г.).

Согласно данным обзора, наиболее ярким представителем сетевых червей в 2009 году стал Win32.HLLW.Shadow.based. Во-первых, данный червь использует для своего распространения съёмные носители и сетевые диски – в современных условиях необходимо отключать автозапуск программ с таких дисков. Во-вторых, программа может использовать стандартный для Windows-сетей протокол SMB. Она по словарю перебирает наиболее часто встречающиеся пароли, поэтому операторам не следует забывать, что подобные пароли должны быть достаточно сложными. Наконец, Win32.HLLW.Shadow.based использует несколько известных уязвимостей Windows-систем. При этом на момент начала активного распространения Win32.HLLW.Shadow.based эти уязвимости уже были закрыты производителем. Этот факт говорит о том, что автоматическая установка обновлений на используемую операционную систему никогда не будет лишней потерей интернет-трафика. Активное распространение Win32.HLLW.Shadow.based продолжается и сейчас.

Статистика распространения вредоносных программ по различным платформам за 2009 год позволила разработчику сделать следующие выводы. Интерес к альтернативным платформам постоянно растёт. Судя по статистике, для таких платформ, как Mac OS, Linux, Windows CE, тенденция не так очевидна, хотя в новостях часто можно услышать про вредоносные программы под эти системы. А к таким мобильным платформам, как программная среда Java и Symbian, интерес увеличивается с каждым месяцем. «Наши разработчики постоянно следят за развитием ситуации. В частности, в настоящее время в бета-тестировании находится антивирус Dr.Web для Symbian OS, который в скором времени будет доступен всем пользователям смартфонов, работающих под управлением этой ОС», – рассказывают в «Доктор Веб».

Согласно прогнозам «Доктор Веб», в 2010 году можно ожидать продолжение тенденции к одномоментному охвату злоумышленниками пользователей как можно большего числа операционных систем и браузеров. «Можно предположить, что увеличится количество вредоносных сайтов, на которых будут работать скрипты, способные определять используемую программную среду и в зависимости от этого производить загрузку соответствующей вредоносной программы. Рынок операционных систем постепенно расслаивается – появляются новые ОС, новые мобильные устройства, всё больше пользователей интересуются свободным или альтернативным программным обеспечением. Вирусописатели будут реагировать на эти тенденции, чтобы не упустить свою выгоду. Следует ожидать, что в последующие годы злоумышленники будут больше времени уделять обходу не только классических сигнатурных и эвристических технологий, но и противодействию различным поведенческим анализаторам, примеры чему мы видим уже сегодня. Наверняка будет продолжаться разработка новых руткит-технологий. Вероятно, уже в 2010 году будут осуществлены первые попытки создать руткит для 64-битной платформы Windows. Весьма вероятно более активное использование полиморфных технологий, которые могут с лёгкостью препятствовать работе так называемых облачных антивирусов. Если распространение вредоносных программ, уникальных в каждом своем экземпляре, будет составлять значительную часть всего вредоносного трафика, это может сделать использование подобных антивирусных технологий неэффективным. Количеством будут брать и создатели вредоносных сайтов. Уже сегодня зачастую злоумышленники быстро создают слишком много копий одного и того же сайта, и антифишинговые системы не успевают сработать на каждый из них», – говорят в «Доктор Веб».

Для уменьшения вероятности заражения системы компания «Доктор Веб» рекомендует пользователям организовывать информационную защиту своих компьютеров сразу на нескольких уровнях. Во-первых, необходимо настроить автоматическое обновление операционной системы и другого ПО, снизив тем самым вероятность использования вредоносными программами известных уязвимостей этого ПО. Во-вторых, необходимо настроить автоматическое обновление антивируса для того, чтобы существенно снизить вероятность заражения системы новыми угрозами. В-третьих, необходимо настроить параметры учётной записи пользователя, под которой осуществляется работа в Интернете, таким образом, чтобы ограничить её возможности по управлению основными настройками системы. Также рекомендуется отключить автоматический запуск программ с внешних дисков. Для корпоративных пользователей кроме использования в условиях предприятия корпоративных антивирусных продуктов рекомендуется принять политику информационной безопасности, а также посвящать хотя бы минимальное рабочее время сотрудников обучению в области элементарных правил информационной безопасности. В частности, можно воспользоваться циклом учебных курсов «Доктор Веб», посвящённых информационной безопасности предприятий с использованием антивирусных продуктов Dr.Web.

В завершение обзора «Доктор Веб» приводит топ-20 вредоносных программ, обнаруженных в 2009 году в почтовом трафике. Согласно этим данным, из всех проверенных источников инфицированными оказались 0,04 %. С большим преимуществом «лидировал» Win32.HLLM.Netsky.35328 (16,28 %), далее следовали Trojan.DownLoad.47256 (8,99 %), Win32.HLLM.Beagle (7,88 %), Trojan.DownLoad.36339 (5,62 %), Trojan.Fakealert.5115 (5,54 %), Trojan.DownLoad.37236 (4,54 %), Win32.HLLM.MyDoom.33808 (4,37 %) и Trojan.Fakealert.5238 (3,74 %). Доля других угроз из этого списка составила менее 3 %.

Второй рейтинг - топ-20 вредоносных программ, обнаруженных в 2009 году на компьютерах пользователей, – возглавляют Trojan.DownLoad.47256 (6,72 %), Win32.HLLW.Gavir.ini (5,97 %) и Win32.HLLW.Shadow.based (3,63 %).

Напомним, что обзоры вирусных событий разработчик выпускает регулярно. Так, в ноябрьском выпуске сообщалось, что одним из главных событий ноября 2009 года стала победа антивируса Dr.Web над новой модификацией руткита BackDoor.Tdss, который использует различные технологии сокрытия в системе, предоставляя злоумышленникам полный контроль над зараженным компьютером. Кроме того, активизировалось распространение вредоносных программ под видом ПО, якобы способного отслеживать местоположение владельцев сотовых телефонов (см. новость дайджеста раздела «Безопасность» от 7 декабря 2009 г.). В октябре, по данным разработчика, основными каналами передачи вредоносных программ на компьютеры пользователей оставались электронная почта и вредоносные сайты, которые создаются злоумышленниками ежедневно (см. новость дайджеста раздела «Безопасность» от 3 ноября 2009 г.). Главной темой августа стала активность Win32.Induc – вируса, который заражает среду разработки Delphi (см. новость дайджеста раздела «Безопасность» от 4 сентября 2009 г.).

Другие разработчики антивирусного ПО тоже информируют общественность о своих наблюдениях за вирусными атаками. В текущем месяце «Лаборатория Касперского» сообщала, например, о том, что в ноябре 2009 года доля спама в почтовом трафике в Рунете по сравнению с октябрем снизилась на 0,9 % и в среднем составила 84,8 % (см. новость дайджеста раздела «Безопасность» от 7 декабря 2009 г.), а также о том, что доля зараженных различными вредоносными программами сайтов в глобальной сети с 2006 по 2009 год выросла в 150 раз (см. новость дайджеста раздела «Безопасность» от 3 декабря 2009 г.).

В Eset недавно заявили, что доля двух вирусов-шпионов, Win32/Spy.Ursnif.A и Win32/Agent, составляет уже 8,67 % зараженных ПК в структуре всех ПК в России (см. новость дайджеста раздела «Безопасность» от 15 декабря 2009 г.). Несколькими месяцами раньше в этой компании рассказали, что в российском рейтинге угроз первое и второе места соответственно по-прежнему занимают версии червя Win32/Conficker.AA (9,76 %) и Win32/Conficker.AE (6,11 %), при этом общий процент заражения Conficker в России составляет 21,26 % (см. новость дайджеста раздела «Безопасность» от 10 июня 2009 г.).

Корпорация Symantec обнародовала результаты исследования проблемы фальшивых антивирусов (Report on Rogue Security Software) в октябре 2009 года. Данные, полученные за 12-месячный период – с июля 2008 по июнь 2009 года, – показывают, что злоумышленники все чаще стали применять тактику запугивания, используя поддельные оповещения системы безопасности (см. новость дайджеста раздела «Безопасность» от 23 октября 2009 г.). А согласно материалам квартального отчета PandaLabs, трояны стали причиной большинства заражений в период с апреля по июнь 2009 года. Данный тип вредоносного ПО составил 34,37 % от всех заражений, обнаруженных PandaLabs, что на 2,86 % больше, чем в предыдущем квартале (см. новость дайджеста раздела «Безопасность» от 10 июля 2009 г.).

Автор: Анна Тумакова.

Тематики: Безопасность

Ключевые слова: Dr.Web, антивирус Доктор Веб