"Зловреды": итоги и прогнозы

Спамеры и авторы вирусов всё чаще будут выступать единым фронтом

“Лаборатория Касперского” (ЛК) cообщила, что в 2007 г. ее специалисты обнаружили 237 236 новых зловредных кодов (malware), потенциально опасных приложений (riskware) и программ демонстрации нежелательной рекламы (adware). Это на 125,23% выше аналогичного показателя 2006 г. По эксплуатируемым платформам данные “находки” распределились следующим образом:

• Windows — 236 430 (99,66%);
• различные версии Unix — 602 (0,254%);
• ОС для мобильных систем — 63 (0,027%);
• MacOS — 35 (0,015%);
• прочие — 106 (0,044%).

Ведущий вирусный аналитик ЛК Александр Гостев подчеркнул, что по итогам минувшего года наибольший рост (456,79%) был среди программ демонстрации нежелательной рекламы (adware). Далее идут трояны (TrojWare; 119,73%), вирусы и сетевые почтовые программы (VirWare; 97,64%) и прочие зловредные коды (27,20%).

В целом же за минувший год специалистами ЛК было выявлено 220 172 новых зловредных кодов, что на 114,28% выше аналогичного показателя 2006 г. Как уже отмечалось (см. PC Week/RE, № 5/2007), большинство новых зловредных кодов представляют собой плоды “творчества” хорошо организованных киберпреступных группировок, масштабы деятельности которых в нынешнем году предположительно вырастут еще больше.

В отчете ЛК “Обзор вирусной активности за 2007 г.” говорится, что в минувшем году киберпреступный бизнес явил миру несколько новых видов криминальной деятельности. В частности, активно развивалась отрасль создания вредоносных программ по заказу с оказанием технической поддержки покупателям. Самый, наверное, яркий пример такого рода бизнеса — история троянской программы-шпиона Pinch. Ее авторы за нескольких лет создали более 4000 вариантов этой вредоносной программы, большинство из которых были выполнены именно по заказам других злоумышленников. Сия история, судя по всему, закончилась в декабре 2007-го, когда руководитель российской Федеральной службы безопасности объявил об установлении личностей авторов Pinch.

Еще одним подобным примером стал вирус-червь Fujack. Китайский зловред, созданный с целью кражи данных пользователей онлайн-игр, продавался его автором всем желающим и разошелся по миру в виде нескольких сотен вариантов. Заработать на этом вирусописателю удалось около 12 тыс. долл. — именно такая сумма была озвучена китайской полицией, арестовавшей в итоге и автора, и нескольких его клиентов.

2007 г. охарактеризовался массовым взломом сайтов с последующим размещением на них вредоносных программ или ссылок на зараженные Web-cерверы. Одним из таких событий стал взлом в июне около 10 000 итальянских сайтов, на которых затем был размещен набор эксплойтов Mpack. В течение года такие же взломы происходили по всему миру, а самый массовый был зафиксирован в конце 2007-го, когда на более чем 70 тыс. сайтах в разных странах мира был обнаружен вредоносный код, устанавливающий на компьютеры жертв очередного “игрового” троянца.

Инцидент в Италии и вышеупомянутый Mpack способствовали привлечению внимания к еще одному направлению деятельности киберпреступников: в ходе расследования выяснилось, что вредоносные программы были расположены на сайтах Russian Business Network (RBN). Детальный анализ выявил, что RBN использовалась как площадка для распространения вредоносных программ в десятках, а то и сотнях случаев. Вокруг RBN поднялась массовая шумиха, которая длилась на протяжении всего лета и начала осени 2007 г., пока в итоге RBN не ушла в тень, раздробившись на несколько хостинг-площадок в разных странах мира и тем самым “размыв” реальные масштабы своей деятельности.

Но это всё в прошлом. А что будет дальше? По мнению г-на Гостева, основное внимание вирусописателей будет по-прежнему приковано к различным троянским программам, специализирующимся на краже пользовательской информации. При этом основными объектами атак будут оставаться пользователи различных банковских и платежных систем, а также любители онлайн-игр.

Будет продолжена тенденция сплочения авторов вирусов и спамеров, когда за счет их “симбиоза” зараженные компьютеры используются не только для организации новых эпидемий или атак, но и для рассылки спама.

Основными путями проникновения вредоносных программ на компьютеры по-прежнему останутся электронная почта и уязвимости в браузерах. Использование способов прямой атаки на порты будет менее распространено и полностью зависимо от обнаружения (или необнаружения) критической уязвимости в службах Windows.

Г-н Гостев считает, что такие способы распространения вредоносных программ, как Р2Р-сети или IRC-каналы, не станут массовыми, однако несомненно будут использоваться локально (например, Р2Р-клиент Winny, очень популярный в Японии, может в 2008 г. оказаться весьма серьезной проблемой для азиатских пользователей).

В целом же вредоносные программы движутся в сторону повышения технологичности и методов сокрытия своего присутствия в системе. Разработки в области полиморфизма, “замусоривания” кода и руткит-технологии станут еще более массовыми и практически будут являться стандартом для большинства новых вредоносных программ.

Значительный рост вредоносных программ можно прогнозировать не только для Windows, но и для других операционных систем: в первую очередь для MacOS и различных Unix-систем. Не останутся без внимания и игровые приставки – PlayStation и Nintendo.