Основная статистика за 2012 год от Лаборатории Касперского


KasperskyLabsЭта часть отчета сформирована на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN использует "облачную" архитектуру в персональных и корпоративных продуктах и является одной из важнейших технологий "Лаборатории Касперского".

Kaspersky Security Network позволяет экспертам оперативно, в режиме реального времени обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN помогает выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать значительно большую скорость реакции на новые угрозы. В настоящее время можно блокировать запуск новой вредоносной программы на компьютерах пользователей через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Статистика в отчете основана на данных, полученных от продуктов "Лаборатории Касперского", пользователи которых подтвердили свое согласие на передачу статистических данных.


Мобильные угрозы

Развитие мобильных угроз в 2012 году прошло под девизом "Все внимание — на Android". Вирусописатели, в основном, сконцентрировались на устройствах Android. Также 2012 год ознаменовался созданием мобильных ботнетов, целевых атак с использованием мобильных зловредов и "мобильного" шпионажа.


Вредоносные программы для Android
В 2012 году усилия вирусописателей были направлены в основном на создание вредоносных программ для Android. Это привело к качественному и количественному росту мобильных зловредов под эту платформу. 99% ежемесячно обнаруживаемых зловредов для мобильных платформ были нацелены на Android.

Raspred mob zlovredov po platformam v 2012
Распределение мобильных зловредов по платформам


Dinamika poyavleniya new mob vredonos prog po mesyacam v 2012
Динамика появления новых мобильных вредоносных программ по месяцам


TOP 10 Zlovredov dlya Android v 2012
TOP 10 зловредов для Android

Наиболее распространенные детектируемые объекты на Android-смартфонах можно разделить на 3 основные группы:

  • SMS-трояны;
  • рекламные модули;
  • эксплойты для получения прав root на смартфоне.


Самыми распространенными из них оказались SMS-трояны, нацеленные, в основном, на пользователей из России. Дорогостоящие SMS-сообщения остаются способом заработка №1 среди "мобильных" киберпреступников.

Рекламные модули Plangton и Hamob. Первое семейство не зря детектируется как Trojan. Plangton - встречается в бесплатных приложениях и действительно показывает рекламу, однако в нем имеется еще и функционал смены стартовой страницы браузера. Стартовая страница при этом меняется без предупреждения и согласия пользователя, что считается вредоносным поведением. Что же касается Hamob, то как AdWare.AndroidOS.Hamob детектируются приложения, выдающие себя за какие-либо полезные программы, а на самом деле лишь показывают рекламу пользователю.

К третьей группе относятся различные модификации эксплойтов для получения прав root на смартфонах с ОС Android различных версий.

Такая популярность эксплойтов обусловлена тем, что разнообразные модификации бэкдоров из разных семейств используют одни и те же модификации эксплойтов для повышения привилегий (прав root на устройстве).


Рост числа инцидентов с вредоносными программами в официальных магазинах приложений
Несмотря на то, что Google внедрил антивирусный модуль Google Bouncer, осуществляющий автоматическую проверку всех новых приложений на Google Play (бывший Android Market), существенных изменений в среднем количестве инцидентов и их масштабах не произошло. Внимание общественности обычно привлекают случаи с наибольшим количеством заражений, как, например, инцидент с вредоносной программой Dougalek, копии которой загрузили десятки тысяч пользователей (в основном, из Японии). Это привело к одной из наиболее масштабных утечек персональной информации пользователей в результате заражения мобильных устройств. Однако, существуют сотни других инцидентов с меньшим количеством пострадавших.

Отметим первый случай обнаружения вредоносного ПО в App Store для iOS. В самом начале июля было обнаружено подозрительное приложение под именем "Find and Call", копии которого были найдены в App Store и на Android Market. Загрузив и запустив данную программу, пользователь сталкивался с запросом на регистрацию в программе, для чего было необходимо ввести e-mail и телефонный номер. После регистрации введенные данные и телефонная книга жертвы скрытно отправлялись на удаленный сервер.

Procedura zagruzki telefonnoi knigi na udalennii server
Часть процедуры загрузки телефонной книги на удаленный сервер

На каждый украденный номер из телефонной книги через какое-то время придет SMS-спам сообщение с предложением перейти по ссылке и загрузить приложение "Find and Call".


Первые мобильные ботнеты
В самом начале года был обнаружен IRC-бот для Android с именем Foncy, работающий в связке с SMS-трояном с таким же именем. Именно IRC-бот мог управлять смартфоном после заражения. Ведь помимо SMS-трояна в APK-дроппере содержался также и root-эксплойт, использующийся для повышения привилегий в зараженной системе. А после соединения с командным сервером бот был способен получать и исполнять shell-команды. Фактически, все зараженные IRC-ботом Foncy смартфоны составляли полноценный ботнет и были готовы осуществлять практически любые действия по команде "хозяина".

Китайским вирусописателям удалось создать ботнет, число активных устройств которого варьировало от 10 000 до 30 000, при этом общее число зараженных смартфонов исчислялось сотнями тысяч. Основой этого ботнета стал бэкдор RootSmart, имеющий в своем арсенале разнообразный функционал для удаленного управления мобильным устройством с ОС Android. Для распространения RootSmart киберпреступники положились на известный и действенный прием - перепаковали легальную программу и выложили ее на сайт одного из неофициальных, но очень популярных в Китае магазинов приложений для Android. В результате пользователи, скачавшие программу якобы для настройки телефона, получили вместе с ней бэкдор, включавший их устройство в ботнет.

Масштабы заражения RootSmart позволили злоумышленникам эффективно монетизировать созданную сеть из зараженных телефонов. Для этого они выбрали самый популярный у мобильных киберпреступников способ — отправку платных SMS-сообщений на короткие номера. Злоумышленники использовали самые дешевые номера для того, чтобы жертвы как можно дольше не замечали потери средств. Полный контроль над мобильными устройствами, который получили злоумышленники, давал им возможность длительное время скрывать присутствие вредоносной программы на телефоне и дольше выкачивать деньги со счетов.


Точечные атаки с использованием мобильных зловредов
В 2012 году некоторые новые зловреды для ОС, отличных от Android, использовались для точечных атак.

Ярким примером таких атак являются атаки с помощью ZitMo и SpitMo (Zeus- и SpyEye-in-the-Mobile). Новые версии ZitMo и SpitMo появлялись регулярно, как для Android, так и для других операционных систем. Вирусописатели по-прежнему используют для маскировки зловредов либо маскировку под "сертификаты безопасности", либо под программное обеспечение для защиты смартфонов.

Tradicionnie sposobi maskirovki ZitMo ApitMo 1 Tradicionnie sposobi maskirovki ZitMo ApitMo 2

Традиционные способы маскировки ZitMo/SpitMo

Операционные системы, отличные от Android, не настолько популярны, однако это вовсе не значит, что ими уже никто не пользуется. Вирусописателям нет никакого дела до слухов о возможной скорой смерти платформы Blackberry. В 2012 году новые версии ZitMo появлялись и для этой платформы, причем в одной волне атак злоумышленники использовали как зловреды для Blackberry, так и для Android. По крайней мере, C&C номера в них были одними и теми же.


Шпионаж с использованием мобильных вредоносных программ
Количество вредоносных программ, которые по своему поведению являются либо троянами-шпионами, либо бэкдорами, выросло в сотни раз. Стоит отметить также возросшее количество коммерческих приложений для мониторинга, которые иногда сложно отличить от вредоносных программ.

Наиболее ярким примером шпионажа с использованием мобильных вредоносных программ служит инцидент с программным модулем FinSpy. Данный модуль был разработан британской компанией Gamma International, специализирующейся на создании программных средств мониторинга для правительственных организаций. Фактически, эта программа обладает функционалом трояна-шпиона. Обнаружить мобильные версии FinSpy удалось компании The Citizen Lab в августе 2012 года. Были найдены модификации трояна под платформы Android, iOS, Windows Mobile и Symbian. Различия между ними, безусловно, есть, но все они способны логировать практически любую активность пользователей на зараженном устройстве:

  • отслеживать его координаты;
  • осуществлять скрытные звонки; загружать информацию на удаленные серверы.


Появление FinSpy означает начало новой главы в истории мобильного вредоносного ПО. Мобильные устройства становятся такими же мишенями целевых и шпионских атак, как и обычные компьютеры.


Mac-зловреды

2012 год показал, что Mac-зловреды являются действительно серьёзной угрозой безопасности.

В начале года был обнаружен 700-тысячный ботнет Flashfake, состоявший исключительно из Mac-компьютеров.

Новых волн эпидемий после FlashFake не последовало, но зато злоумышленники в течение всего года активно использовали Mac-зловреды для проведения целевых атак. Это в первую очередь связано с тем, что продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов, а информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории киберзлоумышленников.

В 2012-м году антивирусными экспертами было добавлено на 30% больше сигнатур для детектирования различных Mac-троянов, чем в 2011, а если же сравнивать с 2010 годом, то количество сигнатур, добавленных за год, увеличилось в 6 раз.

Novie anvir zapisi dobavlennie ejegodno dlya detect zlobredov pod MacOSX
Количество новых антивирусных записей, добавляемых ежегодно для детектирования зловредов под Mac OS X

Самым распространенным Mac-зловредом года, безусловно, можно считать FlashFake, первые версии которого были обнаружены еще в 2011 году. По итогам первого полугодия 2012 FlashFake стал абсолютным лидером.


TOP 10 зловредов для Mac OS X, H2 2012

TOP 10 Zlovredov dlya Mac OS X v H2 2012

  • На первом месте Trojan.OSX.FakeCo.a - 52%. Данная вредоносная программа маскируется под установочный файл видеокодека. После инсталляции никаких кодеков в системе не появляется, а установленная программа ведет себя как программа категории AdWare, собирая интересную для маркетинга информацию о пользователе и отсылая ее злоумышленникам.

  • На втором месте троян Jahlav - 8%. Вредоносная программа также маскируется под установочный файл видеокодека. Вместо кодека на компьютер устанавливается зловред, который незаметно для пользователя подключается к серверу злоумышленников и может с него загружать на зараженную машину другие файлы. Зачастую эта вредоносная программа пытается загрузить трояна, меняющего адреса в настройках DNS на адреса серверов злоумышленников - Trojan.OSX.Dnscha.

  • На четвертом и пятом местах - программы семейства Trojan-Downloader.OSX.FavDonw - в сумме пришлось 7%. После установки на Mac они скачивают лжеантивирусы.

  • На седьмом и восьмом местах расположились фальшивые антивирусы семейства Trojan-FakeAV.OSX.Defma, вымогающие у пользователей деньги за лечение якобы обнаруженных вредоносных программ.

  • На девятом месте - эксплойт Exploit.OSX.Smid.b, нацеленный на уязвимость в Java и позволяющий злоумышленнику запустить произвольных код на машине с необновлённой Java.


После обнаружения ботнета FlashFake компания Apple активнее занялась вопросами безопасности своей операционной системы. Появились своевременные выпуски критических патчей для Oracle Java одновременно с их Windows-версиями, и новые защитные функции в Mac OS X Mountain Lion - по умолчанию возможность установки программ только из официального магазина, использование песочницы для программ, загруженных из магазина, автоматическая установка обновлений и т.д.


Атаки через Web

Количество атак через веб-браузер за год увеличилось с 946 393 693 до 1 595 587 670.

По сравнению с прошлым годом темпы роста числа атак через браузер практически не изменились. Число отраженных в 2012 году интернет-атак превышает аналогичный показатель 2011 года в 1,7 раза, а в 2011 году был зафиксирован рост в 1,6 раз. Основной способ атаки — через эксплойт-паки — дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.


Уязвимые приложения, используемые злоумышленниками
2012 год можно смело назвать годом Java-уязвимостей. В этом году половина всех зафиксированных атак с использованием эксплойтов была нацелена на уязвимости в Oracle Java.

Сегодня Java установлена более чем на 3 миллиардах устройств, использующих различные ОС. Следовательно, для некоторых ошибок в Java можно создать кроссплатформенные эксплойты. В течение года регистрировались массовые атаки с использованием наборов эксплойтов и целевые атаки, в с использованием Java-эксплойтов, нацеленных как на PC, так и на Mac.

Prilojeniya uyazvim v kot ispolzov web-exploits
Приложения, уязвимости в которых использовали веб-эксплойты

В 2012 году снизилась популярность эксплойтов к Adobe Reader — с ними было связано 28% всех инцидентов. В итоге Adobe Reader заняла второе место в рейтинге. Заметим, что в последних версиях Adobe Reader было уделено много внимания проблеме уязвимостей, в частности, были реализованы механизмы, защищающие приложение от срабатывания эксплойта. Подобные меры значительно усложняют создание эффективных эксплойтов.

На третьем месте расположились программы, использующие уязвимости в компонентах Windows и Internet Explorer. В течение года активно использовались эксплойты к уязвимостям, обнаруженным еще в 2010 году:

  • MS10-042 в Windows Help and Support Center;
  • MS04-028, связанной с неправильной обработкой jpeg-файлов.


На 4-м месте с 2% расположились эксплойты для мобильной платформы Android OS. Эти эксплойты злоумышленники используют, чтобы получить root-привилегии, дающие практически неограниченные возможности для манипуляций над системой.

Raspred ustanovlennoi u polzov OS Windows po versiyam 2011
Распределение установленной у пользователей OS Windows по версиям, 2011 год


Raspred ustanovlennoi u polzov OS Windows po versiyam 2012
Распределение установленной у пользователей OS Windows по версиям, 2012 год

За год доля Windows 7 среди используемых пользователями Windows версий OS выросла с 30% до 50%. Хотя Windows 7 регулярно автоматически обновляется, атаки на компьютеры пользователей Windows продолжаются. В основном проникновения в систему происходят через установленные приложения других производителей.


Вредоносные программы в интернете
Из всех вредоносных программ, участвовавших в интернет-атаках на компьютеры пользователей, было уделено внимание 20 наиболее активным. На них пришлось 96% всех атак в интернете.

ТОП 20 Вредоносных программ в Интернете

TOP 20 Vredonos prog v Internete v 2012

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, зафиксированных на компьютерах уникальных пользователей.


Первое место - вредоносные сайты, обнаруженные с помощью облачных эвристических методов детектирования без обновления классических антивирусных баз. Развитие новых технологий детектирования, опирающихся на возможности KSN, позволило за год увеличить долю угроз, обнаруживаемых такими методами, с 75% до 87%. Значительная часть детектов Malicious URL приходится на сайты с эксплойтами.

Второе место — вредоносные скрипты, внедряемые злоумышленниками в код взломанных легитимных сайтов с помощью специальных программ. Т.е, на многих легитимных сайтах присутствуют инъекции вредоносного кода в виде неотображаемых тегов "iframe". Такие скрипты незаметно для пользователя перенаправляют его на вредоносные веб-ресурсы в ходе drive-by атак. Аналогичные вредоносные скрипты разместились на 13-м и 14-м местах

С 3-й по 5-ю позицию занимают различные эвристические вердикты, детектирующие вредоносные скрипты и исполняемые PE-файлы, которые можно разделить на две категории. Зловреды первой категории осуществляют загрузку и исполнение других вредоносных программ. Вредоносные объекты второй категории несут саму "полезную" нагрузку — воруют данные интернет-банкинка, аккаунты к социальным сетям, сервисам и тому подобное.

На 9-м месте Trojan-Downloader.SWF.Voleydaytor.h, который обнаруживается на различных сайтах категории "18+". Под видом обновления программы просмотра видео на компьютеры пользователей доставляются различные вредоносные программы.

В рейтинге присутствуют два представителя эксплойтов — Exploit.Script.Generic, загрузка которого была заблокирована почти в 3 миллионах случаев, и Exploit.Script.Bloker — 4,5 миллиона заблокированных попыток загрузки. В абсолютном большинстве случаев пользователи сталкиваются с работой не отдельно взятых эксплойтов, а наборов эксплойтов. На сегодняшний день они являются неотъемлемой частью drive-by атак. Эксплойт-паки оперативно модифицируются и обновляются, чтобы включать эксплойты для свежих уязвимостей и эффективно противодействовать средствам защиты.

Три позиции из TOP 20 заняли рекламные программы семейств iBryte и ScreenSaver. Рекламная программа AdWare.Win32.IBryte.x распространяется как загрузчик популярных бесплатных программ. После запуска она загружает нужную пользователю бесплатную программу и заодно устанавливает рекламный модуль. С тем же успехом, установленную IBryte.x программу пользователь может скачать с официального сайта и избежать установки рекламного модуля. В прошлом году представителей AdWare было в два раза больше. Сокращение доли таких программ связано с постепенным вытеснением их различными более эффективными и легальными методами показа рекламы, такими как контекстная реклама в поисковых системах и социальных сетях.

В отличие от 2011 года в рейтинге нет программ, используемых в мошенничестве с короткими номерами — Hoax.Win32.ArchSMS. Это программы, требующие отправить SMS на короткий номер для получения кода расшифровки содержимого архива, скаченного пользователем. В 2011 году мошенники создавали сайты, похожие на обычные файловые хранилища, однако в предлагаемых архивах не было указанного содержимого. В 2012 году мошенники стали активно создавать сайты, предоставляющие возможность реализовать аналогичную схему мошенничества без загрузки каких-либо файлов на диск.


Страны, на веб-ресурсах которых размещены вредоносные программы
Для проведения 1 595 587 670 атак через интернет злоумышленники воспользовались 6 537 320 уникальными хостами, что на два с половиной миллиона больше, чем в 2011 году. Серверы, на которых был размещен вредоносный код, были обнаружены в 202 странах и территориях мира. 96,1% всех зафиксированных в Сети атак были произведены с вредоносных хостингов расположенных в интернет-пространстве двадцати стран.

ТОР 20 Стран, на веб-ресурсах которых размещены вредоносные программы

TOP 20 Stran na saitah kot razmesheni vredonos prog 2012

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, предоставленных пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Для определения географического источника атаки используется методика сопоставления доменного имени к реальному IP-адресу, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).
** Суммарное число зафиксированных веб-антивирусом уникальных атак с веб-ресурсов, размещенных в стране.


Лидирующие позиции в рейтинге занимают:

  • США - 25,5% (+0,1% по сравнению с прощлым годом);
  • Россия - 19,6% (+5%);
  • Нидерланды - 16,8% (+7%);
  • Германия - 11,4% (+2,7%).


До 2010 года первое место в рейтинге занимал Китай, на серверы которого приходилось более 50% всех вредоносных хостингов мира. В 2010 году властям Китая удалось убрать из локального киберпространства множество вредоносных хостингов, в то же время были ужесточены правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась, зато наблюдается постепенная консолидация хостингов в США, России, Нидерландах и Германии.

Стабильный рост показателя России имеет две причины:

  • Во-первых, взломы легитимных сайтов, в том числе крупнейших порталов зоны .ru, с целью заражения компьютеров пользователей через эксплойты.

  • Во-вторых, российские киберпреступники чувствуют себя в российском киберпространстве достаточно вольготно и создают множество вредоносных сайтов.


По российским законам наказания за киберпреступления достаточно мягкие (в основном, преступникам дают условные строки), а случаи отключения командных серверов ботнетов в России достаточно редки. Если темпы роста доли вредоносных хостингов, приходящихся на российские серверы, сохранятся на текущем уровне, Россия может выйти на первое место по количеству вредоносных хостингов уже в следующем году.

В Голландии и Германии киберпреступники действуют куда аккуратнее — регистрируют или взламывают огромное количество сайтов, а когда адреса вредоносных сайтов попадают в черные списки провайдеров, оперативно переносят вредоносный контент с одних серверов на другие.


Локальные угрозы

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, проникшие на компьютеры не через Web, почту или сетевые порты.

Всего в данных инцидентах было зафиксировано 2,7 млн. разных вредоносных и потенциально нежелательных программ.


ТОР 20 Вредоносных объектов, обнаруженных на компьютерах пользователей
Вредоносные программы, попавшие в первую двадцатку, являются самыми распространенными угрозами 2012 года.

TOP 20 Vredonos obiektov obnaruj na PK polzov v 2012

Настоящая статистика представляет собой детектирующие вердикты модуля антивируса, предоставленные пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.


На 13,5 млн. компьютеров были заблокированы попытки заражения, обнаруженные с помощью различных эвристических методов.

Второе место в рейтинге занимают различные вредоносные программы, обнаруженные с помощью облачных технологий и детектируемые как DangerousObject.Multi.Generic. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. При помощи системы мгновенного обнаружения угроз UDS, работающей в составе Kaspersky Security Network, более 9,6 млн. компьютеров пользователей были защищены в режиме реального времени.

8 программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей:

  • Trojan.Win32.Starter.yy - (4-е место);
  • Net-Worm.Win32.Kido.ih - (6-е место);
  • Net-Worm.Win32.Kido.ir - (7-е место);
  • Virus.Win32.Sality.aa - (8-е место);
  • Virus.Win32.Nimnul.a - (11-е место);
  • Virus.Win32.Sality.ag - (15-е место);
  • Virus.Win32.Suspic.gen - (16-е место).


В 2012 году более 2 миллионов пользователей столкнулись с мошенничеством с использованием коротких SMS-номеров (Hoax.Win32.ArchSMS.gen, 9-е место). Под различными предлогами, в основном обещая доступ к содержимому архива или инсталлятора с игрой, программой, книгой или чем-то подобным, злоумышленники пытаются вынудить пользователей отправить SMS на короткий премиум-номер. В большинстве случаев после отправки сообщения пользователь ничего не получает взамен.

Trojan.WinLNK.Runner.bl - (13-е место) и Worm.Win32.AutoRun.hxw - (14-е место), являются детектами вредоносных lnk-файлов (ярлыков). В lnk-файлах данных семейств производится выполнение cmd.exe с параметром запуска вредоносного exe-файла. Они активно используются червями для распространения через usb-накопители.

Trojan.Win32.Patched.dj - (17-е место). Это детект зараженных exe и dll файлов. Вредоносный функционал сводится к отсылке по почте вирусописателю информации о заражении, после чего программа открывает порт на компьютере и ожидает команды хакера, который может загружать файлы, запускать их, останавливать запущенные на компьютере программы и т.д. В конечном итоге зловред используется для построения ботнета.

В топ не попало ни одно новое семейство вирусов и червей. В упряжке, как всегда Sality, Virut, прошлогодний Nimnul и Kido. Киберпреступники массово переключились на создание ботнетов через интернет-заражения с использованием эксплойтов. Техники заражения исполняемых файлов не пользуются популярностью у коммерчески-ориентированных вирусописателей в силу того, что процесс самораспространения вирусов и червей контролировать очень сложно, а большие ботнеты быстро привлекают внимание правоохранительных органов.


"Картина мира"

Чтобы оценить, в каких странах пользователи чаще всего сталкиваются с киберугрозами, для каждой из стран было подсчитано, насколько часто в течение года пользователи в ней сталкивались со срабатыванием антивирусной программы. Полученные данные характеризуют степень риска заражения, которому подвергаются компьютеры в разных странах мира, и являются показателем агрессивности среды, в которой работают компьютеры в разных странах.


Веб-угрозы
Наибольший интерес представляет риск заражения через интернет, являющийся основным источником вредоносных объектов для пользователей большинства стран мира.

Web-ugrozi 2012

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, предоставленых пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах исключались страны, с числом пользователей ЛК меньше 10 тысяч.
*Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.


Второй год подряд в этом рейтинге лидируют:

  • Россия - 58,6% (+3,3% по отношению к прошлому году). В Рунете реализуется большое количество киберпреступных схем, т.к. в стране у частных пользователей и предпринимателей растет популярность интернет-банкинга. В 2012 году киберпреступники активно распространяли соответствующие зловреды. Еще один достаточно часто встречающийся в Рунете вид мошенничества — монетизация с использованием платных SMS. Мошенники предлагают пользователю оплатить товар/услугу с помощью SMS, но обещанного покупатель так и не получает.

  • Таджикистан - 58,5%;
  • Азербайджан - 57,1%.


В двадцатке стран 2012 года Италия, США и Испания заняли последние три места.

США в 2012 году сместились с 3-го на 19-е место, а доля атакованных пользователей в этой стране сократилась с 50,1% до 45,1%. Это обусловлено успешной борьбой с киберпреступностью и закрытием нескольких больших ботнетов, в том числе DNSChanger, Hlux и нескольких ZeuS (Zbot) ботнетов.

Италия и Испания впервые попали в TOP 20 стран по доле атакованных пользователей при серфинге в интернете. В этих странах количество инцидентов, приходящихся на одного пользователя, было достаточно большим в течение всего года, что, в первую очередь, связано с атаками банковских троянов.

Все страны мира можно распределить по степени риска заражения при серфинге в интернете.

  • Группа повышенного риска - 41-60%. В нее вошла 31 страна. Помимо стран из TOP 20 в нее также попали:
    • Австралия - 44,4%;
    • Индонезия - 44,2%;
    • Канада - 42,8%;
    • Грузия - 42,3%;
    • Великобритания - 41,1%.

  • Группа риска В - 21-40%. Попали 110 стран, в том числе:
    • Турция - 39,9%;
    • Франция - 39,8%;
    • Чили - 39,4%;
    • Китай - 38,4%;
    • Польша - 37,1%;
    • Литва - 35,3%;
    • Швеция - 34,1%;
    • Австрия - 34%;
    • Эквадор - 33,3%;
    • Германия - 31,8%;
    • Финляндия - 27,9%;
    • Норвегия - 27,3%;
    • Япония - 22,8;
    • Дания - 21,6%.

  • Группа самых безопасных при серфинге в интернете стран - 0-20%. В 2012 году в эту группу попали:
    • Габон - 20,6%;
    • Того - 20,5%;
    • Реюньон - 20,2%;
    • Нигер - 19,6%;
    • Маврикий - 18%;
    • Гваделупа - 17,8%;
    • Мартиника - 17,7%;
    • Бенин - 17,2%;
    • Бурунди - 16,9%;
    • Конго - 16,7%.


Первая группа увеличилась на 8 стран. Большая часть группы — это страны постсоветского пространства и страны Азии, вторая половина - европейские страны.

Из группы безопасных при серфинге в интернете стран вышли все европейские страны, и теперь она полностью состоит из стран Африки. Отметим, что страны, пополнившие группу безопасных при веб-серфинге, по уровню локальных угроз попали в группы с высоким и максимальным уровнем заражения. Их попадание в группу стран, безопасных для серфинга в интернете, объясняется характером распространения файлов в этих странах. Интернет там пока еще не очень хорошо развит, поэтому для обмена файлами пользователи активно используют различные съемные носители информации. В итоге в этих странах на радары антивирусной компании практически не попадают веб-угрозы, а вот с вирусами и червями, расползающимися по флешкам и заражающими файлы, сталкивается огромное количество пользователей.

В среднем по миру уровень опасности интернета второй год подряд увеличивается и по итогам 2012 года составил - 34,7% (+ 2,4% больше, чем в прошлом году). Каждый третий пользователь интернета в мире хотя бы раз в год подвергается компьютерной атаке.


Локальные угрозы
Помимо заражений через веб интерес представляют данные о детектировании вредоносных программ, обнаруженных непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

TOP 20 Uroven zarajennosti PK vrazlichnih stranah mira 2012

Настоящая статистика основана на детектирующих вердиктах модуля антивируса, предоставленных пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах исключались страны, в которых число пользователей ЛК меньше 10 тысяч.
* Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.


Двадцатка 2012 года состоит из стран Африки и Азии. Как и год назад, в Судане и Бангладеш на 9 из 10 компьютеров пользователи в течение года хотя бы раз сталкивались с заражением вредоносной программой. Еще неразвитая культура использования антивирусов и поверхностные знания пользователей о возможных компьютерных угрозах делают компьютеры в этих странах уязвимыми для вредоносных программ.

Разделение всех стран мира на несколько категорий.

  • Максимальный уровень заражения - более 75%.
    • 7 стран из Азии и Африки;
    • Бангладеш - 99,7%;
    • Индия - 75,2%.

  • Высокий уровень заражения - 56-75%. 41 стран мира, в том числе:
    • Индонезия - 64,7%;
    • Эфиопия - 58,2%;
    • Кения - 58%.

  • Средний уровень заражения - 35-55%. 67 стран, в том числе:
    • Китай - 52,7%;
    • Казахстан - 52,6%;
    • Россия - 48,7%;
    • Турция - 48,67%;
    • Бразилия - 43,5%;
    • Южная Корея - 39,8%;
    • Испания - 39,8%;
    • Португалия - 35,8%;
    • Литва - 35,7%.

  • Наименьший уровень заражения - 0-35% (больше в 2,7 раза, чем в 2011 году ). 38 стран мира, в том числе:
    • США - 33,3%;
    • Франция - 32,8%;
    • Великобритания - 30,9%;
    • Латвия - 31,4%;
    • Бельгия - 27,2%.

Tоп 10 стран с минимальным процентом зараженных компьютеров

TOP 10 Stran s min procentom zarajennih PK v2012

В среднем в группе самых безопасных стран мира было атаковано - 25,4% компьютеров пользователей. По сравнению с прошлым годом этот показатель уменьшился на 4 пункта.


Заключение

2012 год — это год, когда киберпреступники стали активно интересоваться новыми платформами, прежде всего Mac OS X и Android OS.

В начале года был обнаружен огромный 700-тысячный ботнет из Mac-компьютеров, созданный программой Flashfake. Злоумышленники могли устанавливать на зараженные машины любые дополнительные вредоносные модули. Один из модулей занимался подменой трафика в браузере. Массовыми атаками история с Mac-зловредами не ограничивается. В течение всего года детектировались целевые атаки с использованием бэкдоров, нацеленных на пользователей Mac OS X. Количество созданных антивирусных записей под Mac OS X увеличилось на 30% по сравнению с 2011 годом.

Эпидемия Mac-трояна и бесконечная череда Android-зловредов сделала тему защиты новых платформ очень острой. Необходимость такой защиты стала очевидной для большинства интеренет-населения планеты. Мифы о неуязвимости Mac для вирусов были разрушены. Производители стали больше внимания уделять защите платформ. В новой версии Mac OS X было реализовано несколько функций, улучшающих безопасность. Google со свой стороны реализовала скан приложений, добавляемых в магазин приложений. Более высокий уровень защиты предложила и антивирусная индустрия, готовая к такому повороту событий и уже некоторое время предлагающая решения, подобные Kaspersky One, направленные на защиту всего спектра устройств — от PC и Mac до телефона и планшетного компьютера.

Однако, несмотря на успехи в борьбе с киберпреступностью, в 2012 году процент атакованных пользователей в интернете продолжил расти и составил 34%. Ни одна европейская страна не попала в группу стран, в которых процент атакованных в процессе веб-серфинга пользователей меньше 20%.

Если 2011 год был годом уязвимостей, то 2012 год - год Java-уязвимостей. По статистике Лаборатории Касперского половина атак с использованием эксплойтов в 2012 году проходила с использованием уязвимостей именно в Java. Уязвимости использовались киберпреступниками как в массовых атаках, так и в целевых, а эксплойты работали как под PC, так и под Mac.