Развитие информационных угроз в первом квартале 2012 года


KasperskyLabs

Цифры квартала

  • В первом квартале 2012 года продукты "Лаборатории Касперского" обнаружили и обезвредили почти 1 млрд. вредоносных объектов, что на 28% больше, чем в предыдущем квартале.
  • Попытки проникновения вредоносного кода через интернет - 50%. Это на 10% больше, чем в прошлом квартале
  • Зафиксировано распространение вредоносных программ с 95 080 549 URL, что на 61% больше, чем в Q4 2011.

 

Обзор ситуации

Ботнеты
В первом квартале 2012 года для построения ботнета злоумышленники впервые использовали "бестелесный" бот. Был обнаружен мобильный ботнет, по числу зараженных устройств не уступающий типичным Windows-ботнетам, и ботнет из 700 000 яблочных компьютеров под управлением Mac OSX.


Бот-невидимка
В первом квартале 2012 года мы была обнаружена новая схема создания ботсети - "бестелесный" бот. Этот зловред относится к очень редкой разновидности вредоносных программ, существующих лишь в оперативной памяти компьютера.

Проблема обнаружила себя с появлением аномалий на зараженных машинах. После посещения популярных российских сайтов компьютеры начинали посылать сетевые запросы на посторонние ресурсы, а затем в некоторых случаях на дисках появлялись зашифрованные файлы. Исполняемые фалы на дисках при этом не появлялись. Дальнейший анализ позволил выявить всю цепочку заражения компьютеров и создания ботсети.

На первом этапе происходило заражение компьютеров пользователей через drive-by атаку с использованием Java-эксплойта к уязвимости CVE-2011-3544. Ссылка, перенаправляющая пользователей на сайт с эксплойтом, была вставлена в один из рекламных блоков популярной российской баннерной сети AdFox, который и загружался на новостные ресурсы.

После успешной эксплуатации уязвимости, эксплойт внедрял вредоносную динамическую библиотеку прямо в память процесса Java. После успешного инжекта и запуска, внедренный зловред от имени Java собирал информацию о посещаемых сайтах пользователем. Если среди них были сайты, связанные с банками, то на компьютер устанавливался троян Lurk, нацеленный на кражу данных онлайн-банкинга.

Вредоносный процесс существовал в оперативной памяти компьютера лишь до перезагрузки операционной системы, однако заражение происходило через популярные сайты. Таким образом злоумышленники каждый день могли инфицировать компьютеры пользователей и поддерживать популяцию ботов в сети. При этом после перезагрузки системы на жёстком диске практически не оставалось следов заражения компьютера и сбора информации с него.

В данном случае две известных технологии - эксплуатация уязвимостей и инжект в легальный процесс без сохранения файла на диске, были соединены в опасной комбинации в одной вредоносной программе. При использовании "бестелесного" бота обнаружить компьютеры, входящие в ботсеть, очень сложно, т.к. никаких исполняемых файлов на диске не появляется, а все действия злоумышленники проводят от имени легального процесса Java. Реальной защитой от подобных угроз является установка патчей.


Мобильный ботнет
В отчете за третий квартал 2011 года было отмечено, что вирусописатели, создающие вредоносные программы для мобильных устройств, основной платформой для зловредов избрали Android OS. В первом квартале 2012 года было обнаружено более 5 тыс. (5444) вредоносных программ для этой платформы. За последнее полугодие количество всех обнаруженных Android-зловредов увеличилось в 9 раз.

Kol-vo obnaruj mod vredonosnogo PO dlya Android OS
Количество обнаруженных модификаций вредоносного ПО для Android OS

Наибольший интерес к разработкам под Android проявляют вирусописатели из Китая и России. Китайским вирусописателям удалось создать ботнет с количеством активных устройств от 10 000 до 30 000, а общее число зараженных смартфонов исчислялось сотнями тысяч.

Ботнет был создан на основе бэкдора RootSmart, имеющего обширный функционал по удаленному управлению телефоном или планшетом под управлением Android. Для распространения RootSmart вирусописатели использовали хорошо перепакованную легальную программу, после чего выложили ее на сайт одного из неофициальных, но очень популярных в Китае магазинов приложений для Android. Результат - люди, скачавшие программу для настройки своего телефона, получили вместе с ней бэкдор, включавший их устройство в ботнет.

Масштабы заражения RootSmart позволили злоумышленникам эффективно монетизировать созданную сеть из зараженных телефонов. Для этого они использовали отправку платных SMS-сообщений на премиальные номера. А полный контроль над устройством дает возможность длительное время скрывать присутствие вредоносной программы и тем самым дольше выкачивать деньги со счетов.

Подводя итоги можно сказать, что нечастое появление новых версий операционной системы для мобильных устройств приводит к тому, что злоумышленники могут использовать эксплойты по нескольку месяцев, и они будут срабатывать на большинстве устройств.

Кроме того, многие пользуются устройствами под управлением Android, даже не подозревая, что оно давно уже заражено. А тем временем ботмастеры могут использовать устройство по своему усмотрению.


Мас-ботнет
Еще один ботнет, привлекший внимание экспертов в первом квартале - ботсеть, построенная из компьютеров под управлением Mac OS X.

Троянская программа, лежащая в основе этого ботнета, детектируется "Лабораторией Касперского" как

  • Trojan-Downloader.OSX.Flashfake


Первые версии Flashfake появились осенью прошлого года. Создатели этой вредоносной программы поработали над своим детищем, чтобы сделать присутствие зловреда в системе менее заметным (был введен запрет на установку трояна на компьютеры с установленной защитой, боты стали отключать обновления встроенной системы защиты Mac OS X Xprotect и т.д.). Затем были замечены эксперименты с управлением ботнетами. Например, некоторые версии Flashfake использовали в качестве серверов управления аккаунты, созданные злоумышленниками в Twitter.

Основная задача бота — незаметно подгружать и запускать дополнительные модули. Так, злоумышленники зарабатывали деньги на подмене результатов поиска. Один из дополнительных модулей заменяет ссылки, выдаваемые поисковиками на различные популярные запросы. Очевидно, что злоумышленники могут разработать и использовать и другие модули.

В марте 2012 Flashback заразил по всему миру около 700 000 компьютеров.

Geograf PK zaraj Flashback Q1 2012
География компьютеров, зараженных Trojan-Downloader.OSX.Flashfake, Q1 2012

Для распространения зловреда злоумышленники использовали эксплойт к Java. Отметим, что Oracle не может автоматически обновлять Java на компьютерах под управлением Mac OSX. Пользователи вынуждены ждать, порой несколько месяцев, пока Apple выпустит обновление. В результате тот период, когда злоумышленники могут успешно использовать эксплойт для инфицирования компьютеров Mac-пользователей, оказывается гораздо больше, чем в случае Windows. Так патч, закрывающий уязвимость, используемую для распространения Flashback, был опубликован Apple только в начале апреля, хотя компания Oracle выпустила собственный патч еще в феврале.

В дальнейшем количество атак на компьютеры под управлением Mac OS X с использованием эксплойтов к 0-day уязвимостям будет расти. Большинство уязвимых приложений, популярных у злоумышленников — кроссплатформенные, они работают как в среде Windows, так и в Mac OS X. Это упрощает задачу по созданию эксплойтов для Mac OS X.

Растущий интерес к яблочной платформе со стороны злоумышленников подтверждает статистика детектирования новых версий вредоносных программ для Mac OS X:

Kol-vo new an-vir zapisei dlya Mac OS X
Количество новых антивирусных записей для платформы Mac OS X, добавленных в базы продуктов "Лаборатории Касперского"

Главная причина увеличения числа зловредов для Mac OS X - рост популярности этой платформы у пользователей. Хотя сейчас количество вредоносных программ для Mac OS X значительно уступает числу зловредов для Windows, все же злоумышленники заинтересовались Mac-платформой всерьез.


Целевые атаки
Количество жертв целевых атак продолжает расти. При этом компании серьезно озаботились этой проблемой, что толкает злоумышленников на разработку новых векторов атак.


Hello
Mac OS X + APT (advanced persistent threat)
Многие пользователи, работающие на платформе Mac OS X, все еще считают ее абсолютно защищенной, т.к. Apple долго уверяла, что безопасность системы выше, чем у PC. Однако результаты текущих исследований свидетельствуют, что это утверждение уже не верно. При этом пользователей Mac достаточно много как в корпоративной среде, так и в числе государственных служащих. Они ежедневно работают с множеством важных документов, но в большинстве случаев антивирусная защита на их компьютерах не установлена.

Тревожным сигналом для таких пользователей должны стать целевые атаки на организации, в которых работают как Windows, так и Mac-компьютеры. Для получения доступа к секретным документам, злоумышленники использовали сразу два трояна - для Mac и для Windows. В зависимости от ОС на атакуемой машине, на нее загружался соответствующий зловред. А команды и Mac, и Windows-зловредам отдавались с одного и того же центра управления.

Для первичного проникновения в систему использовался эксплойт к уязвимости CVE-2011-3544 в Java-машине, успешно срабатывающий как в Windows среде, так и в Mac OS X. В результате успешной атаки компьютеры под управлением Mac OS X заражались зловредом Backdoor.OSX.Lasyr. Этот бэкдор позволяет злоумышленникам получить контроль над зараженной машиной, а следовательно, и доступ ко всей информации на компьютере. Обнаружен он был в середине марта 2012 года.

Во втором обнаруженном случае распространялся только бэкдор для Mac OS Х — Backdoor.OSX.MaControl. Для заражения компьютера также использовался эксплойт, но уже к популярному на всех платформах офисному пакету от компании Microsoft. Средство доставки эксплойта было выбрано вполне традиционное — электронная почта. Для заражения компьютера бэкдором сотруднику компании достаточно было открыть полученный в письме doc-файл.

Судя по скорости появления программ для платформы Mac OS X, используемых в целевых атаках, их разработка не является очень сложной задачей для злоумышленников. Беспечность многих Mac-пользователей, помноженная на отсутствие на компьютерах средств защиты, делает Macintosh самым слабым звеном в системе безопасности организаций.


Возвращение Duqu
После четырех месяцев перерыва авторы Duqu вновь вернулись к работе. В марте "в дикой природе" был обнаружен новый драйвер, практически аналогичный тем, которые ранее использовались в Duqu. Однако известные ранее драйверы были созданы 3 ноября 2010 г. и 17 октября 2011 г., а новый драйвер — 23 февраля 2012 г.

Новый драйвер Duqu по функционалу совпадает с предыдущими известными нам версиями. Отличия в коде незначительные, изменения направлены на противодействие детектированию файла. Основной модуль Duqu, связанный с этим драйвером, обнаружен не был.

С помощью независимых разработчиков и исследователей, удалось определить, с помощью какого языка был создан фреймворк Duqu. Этим языком оказался - OO C. Такой подход характерен для разработчиков "старой" школы, работающих над серьезными "мирными" программными проектами, и его практически невозможно встретить в современных вредоносных программах. Это еще раз подтверждает, что Duqu и Suxnet — уникальные в своем роде вредоносные программы, значительно отличающиеся от остальных.

При менее чем пятидесяти жертвах по всему миру Duqu остается самым загадочным трояном из всех когда-либо обнаруженных. Его нацеленность на Иран указывает на наличие у его хозяев четкого и ясного плана постоянных атак. Сложность и многослойные уровни защиты трояна показывают, насколько важно для этого проекта оставаться незамеченным. Можно предположить, что в дальнейшем платформа "Tilded" будет развиваться именно в направлении усложнения технологий сокрытия и обфускации кода.


Борьба с киберпреступностью
Первый квартал 2012 года запомнится не только новыми вредоносными программами и крупными взломами, но и успешными действиями антивирусных компаний и правоохранительных органов:

  • перехватом управления ботненом Hlux (Kelihos);
  • закрытием командных центров нескольких ZeuS-ботнетов;
  • арестом российских киберпреступников.


Hlux.b — перехват 2.0
В конце марта 2012 года "Лаборатория Касперского" совместно со специалистами из CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project провела операцию по перехвату управления децентрализованным (peer-to-peer) ботнетом Hlux, в основе которого была вторая версия бота — Hlux.b. На момент перехвата ботнет состоял более чем из 110 000 ботов.

Geograf PK zaraj Hlux.b Q1 2012
География компьютеров, зараженных ботом Hlux.b, Q1 2012

Вторая версия бота — Hlux.b — была обнаружена осенью 2011 года, спустя несколько недель после перехвата управления первым ботнетом Hlux. Весной 2012 года появился новый бот. Третья версия бота — Hlux.с — была задетектирована уже через несколько дней после перехвата управления ботнетом. Во всех новых ботах был изменен формат общения ботов друг с другом.

С точки зрения получения наживы, Hlux является для киберпреступников эталоном ботнета. Его хозяева занимаются практически всеми видами киберпреступлений. С учетом подгружаемых модулей бот умеет:

  • рассылать спам;
  • участвовать в DDoS-атаках;
  • воровать важную информацию с компьютеров.


Арест киберпреступников в России
В России на протяжении последних трех лет активно растет количество троянов, нацеленных на пользователей систем дистанционного банковского обслуживания (онлайн-банкинга).

Obnaruj vredonos PO nacelennie na vorovstvo dannih sist DBO
Обнаруженные вредоносные программы, нацеленные на воровство данных систем ДБО

В Европе и в Бразилии злоумышленники используют банковских троянов в основном для атак на частных пользователей. Особенностью российских киберпреступников является активная разработка вредоносных программ, нацеленных на кражу средств со счетов российских организаций с помощью манипуляций с системами "банк—клиент" на компьютерах бухгалтеров. Одним из самых известных представителей такого рода троянов является Trojan-Spy.Win32.Carberp.

20 марта управление "К" МВД России сообщило об аресте членов крупной группировки, создавшей ботсеть на основе покупного кода трояна Carberp, а также так называемых мулов — людей, снимавших украденные киберпреступниками деньги. Арестованным инкриминируется кража более $2 млн. Такая большая сумма объясняется огромным количеством зараженных компьютеров. Carberp распространялся с помощью drive-by атак, ссылки на вредоносные ресурсы с эксплойтами злоумышленники разместили на сайтах известных российских организаций, СМИ и государственных служб.

Авторы Carberp, к сожалению, все еще остаются на свободе, и продолжается продажа этого трояна на андеграунд-форумах и его распространение через взломанные сайты.


Статистика

Угрозы в интернете
Статистические данные в этой главе получены на основе работы веб-антивируса, защищающего пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.


Детектируемые объекты в интернете
В первом квартале 2012 года было отражено 481 411 722 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 95 331 уникальных модификаций вредоносных и потенциально нежелательных программ.


TOP 20 детектируемых объектов в интернете

* Детектирующие вердикты модуля веб-антивируса.
** Процент от всех веб-атак, зафиксированных на компьютерах уникальных пользователей.

На первом месте рейтинга — различные вредоносные URL, входящие в наш черный список. По сравнению с предыдущим кварталом их доля выросла на 2% и в итоге они составляют 84% от всех детектов. В список в первую очередь попадают различные сайты, на которые перенаправляются пользователи. Чаще всего на вредоносные сайты пользователи попадают с взломанных легитимных ресурсов с внедренными вредоносными скриптами (drive-by атака). Кроме того, пользователи сами кликают по опасным ссылкам, например, при поиске различного пиратского контента. Сегодня для злоумышленников залогом успешной атаки через интернет является использование эксплойтов, использующих уязвимости в необновлённом ПО на компьютерах пользователей. Значительная часть детектов Malicious URL по-прежнему приходится на сайты, связанные с эксплойт-паками.

12 представителей TOP 20 эксплуатируют бреши в программном обеспечении и используются для доставки вредоносных программ на компьютер пользователя.

В первом квартале 2012 в рейтинг попали лишь три представителя рекламных программ — AdWare. Задача таких программ проста — демонстрировать пользователю рекламные сообщения. Уменьшение количества AdWare в рейтинге (в прошлом квартале на эти программы приходилась четверть TOP 20), свидетельствует о том, что злоумышленники вновь переключились на более опасные для пользователя и более прибыльные категории вредоносных программ.


Уязвимые приложения, используемые злоумышленниками
Большинство атак через интернет осуществляется с помощью эксплойтов, использующих ошибки в ПО, чтобы пробить защиту компьютера и получить возможность выполнения вредоносного кода без ведома пользователя.

Priloj uyazvimosti v kot ispolzov web-exploit, Q1 2012
Приложения, уязвимости в которых использовали веб-эксплойты.
Первый квартал 2012

На диаграмме видно, 66% атак приходится на эксплойты к двум программам: Adobe Reader и Java.

На уязвимость CVE-2011-3544 в Java приходится почти четверть атак. Эта уязвимость была популярна у злоумышленников в течение всего квартала. Она использовалась для распространения бота Hlux, банковского трояна Carberp, а также "бестелесного" бота.


Страны, на ресурсах которых размещены вредоносные программы
Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

84% веб-ресурсов, используемых для распространения вредоносных программ, в первом квартале 2012 года были сконцентрированы в десяти странах мира, что на 7% больше, чем в прошлом квартале.

Raspred web-resurs na kot razmesh vredonos prog po stranam, Q1 2012
Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам.
Первый квартал 2012

В состав TOP 10 вошла новая страна — Канада (0,9%), вытеснив из рейтинга Румынию. Тройку лидеров образовали:

  • США;
  • Голландия;
  • Россия.


За прошедшие три месяца заметно выросла доля хостингов, расположенных в Великобритании (+4,6%), что обеспечило ее перемещение с восьмого на шестое место. Доли остальных стран практически не изменились, все изменения оказались в пределах 1%.


Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

20 Stran gde polzov naibolsh risku zaraj cherez Internet
20 стран, где пользователи подвергаются наибольшему риску заражения через интернет*

* При расчетах были исключены страны, с относительно малым числом пользователей ЛК (меньше 10 тыс.).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

Все страны можно разбить на несколько групп.

  1. Группа повышенного риска. В эту группу с результатом 41-60% вошли первые 15 стран из TOP 20, в том числе:
    • Россия - 58%;
    • Украина - 45,7%;
    • Армения - 52,1%;
    • Белоруссия - 49%;
    • Казахстан - 51,5%;
    • Индия - 43,4%.

  2. Группа риска. В эту группу с показателями 21-40% попали 95 стран, в том числе:
    • Италия - 38,9%;
    • Турция - 36,8%;
    • США - 31,9%;
    • Бразилия - 29,3%;
    • Испания - 34,4%;
    • Франция - 28,4%.

  3. Группа самых безопасных при серфинге в интернете стран. В эту группу в третьем квартале 2011 года вошли 25 стран с показателями 11,9-20%.


Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, в:

  • Японии - 14,3%;
  • Дании - 15,2%;
  • Тайване - 15,2%;
  • Люксембурге - 17,4%;
  • Словакии - 19,6%;
  • Новой Зеландии - 20%.


Risk zaraj cherez Internet PK polzov v razn stranah, Q1 2012
Риск заражения через интернет компьютеров пользователей в разных странах, Q1 2012

В среднем 28,8%, компьютеров всех пользователей KSN, в течение квартала хотя бы раз подвергался атаке при серфинге в интернете. Отметим, что средняя доля атакованных машин по сравнению с предыдущим кварталом уменьшилась на 3,2%.


Локальные угрозы
В этой главе анализируются статистические данные, полученные на основе работы on-access-scanner, и статистику по сканированию различных дисков, в том числе съемных носителей информации (on-demand scanner).


Детектируемые объекты, обнаруженные на компьютерах пользователей
В первом квартале 2012 года антивирусные решения "Kaspersky" успешно заблокировали 966 981 163 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей (on-access scanner) было зафиксировано 481 592 уникальных модификаций вредоносных и потенциально нежелательных программ.


TOP 20: Детектируемые объекты, обнаруженные на компьютерах пользователей

TOP 20 Detekt obiekt obnaruj na PK polzov

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, предоставленные пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.


Первое место в рейтинге занимают различные вредоносные программы, обнаруженные с помощью "облачных" технологий (35,56%). Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании "в облаке" уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic.

Вторую строчку рейтинга занимает вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ — Trojan.Win32.Generic (31,49%).

На пятнадцатом месте вредоносная программа Trojan.WinLNK.Runner.bl, использующая для автоматического запуска и распространения уязвимость в ярлыках Windows. Первые программы этого типа появились после обнаружения Stuxnet, и они до сих пор являются очень популярными у вирусописателей.

На протяжении всего прошлого года, Kido стабильно занимал третью строчку рейтинга. В I квартале этого года, впервые за четыре года Net-Worm.Win32.Kido переместился сразу на две позиции вниз, в результате чего его обошел Virus.Win32.Sality и Trojan.Win32.Starter.yy. Главный способ распространения Kido — через уязвимость MS08-067 — по мере обновления парка компьютеров в мире теряет свою эффективность. В то время как файловые инфекторы (Virus) остаются эффективными, несмотря на обновление операционных систем, вследствие чего дольше сохраняют свои позиции в рейтинге.


Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Uroven zarajennosti PK v stranah
Уровень зараженности компьютеров в странах

* При расчетах были исключены страны с относительно малым числом пользователей ЛК (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

В среднем на 42,2% компьютеров всех пользователей KSN в мире хотя бы раз был найден вредоносный файл на компьютере или на съемном носителе, подключенном к нему.

По-прежнему абсолютным лидером рейтинга остается Бангладеш - 96,8%.

В случае с локальными заражениями можно сгруппировать все страны по уровню зараженности. В отличие от рейтинга стран, подверженных веб-угрозам, этот рейтинг более стабилен:

  • Максимальный уровень заражения (более 60%): 23 страны из азиатского региона (Индия, Вьетнам, Монголия и др.), Ближнего Востока (Иран, Ирак) и Африки (Судан, Ангола, Нигерия, Камерун).
  • Высокий уровень заражения (41-60%): 49 стран мира, в том числе Египет, Казахстан, Россия, Эквадор и Бразилия.
  • Средний уровень заражения (21-40%): 41 страна, в том числе Турция, Мексика, Израиль, Латвия, Португалия, Италия, США, Австралия, Франция.
  • Наименьший уровень заражения: 18 стран, среди которых Канада, Новая Зеландия, Пуэрто-Рико, 13 европейских стран (в том числе Норвегия, Финляндия, Голландия, Ирландия, Германия, Эстония) и две азиатских страны из Япония и Гонконг.

Risk local zaraj PK v raznih stranah
Риск локального заражения компьютеров в разных странах


В десятку стран, самых безопасных по уровню локального заражения, попали:

TOP 10 Samih besop po ur local zaraj


Уязвимости
В первом квартале 2012 года на компьютерах пользователей KSN было обнаружено 34 825 675 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере обнаруживали 9 различных уязвимостей.

На трети уязвимых компьютеров была обнаружена уязвимость в продукте Java от компании Oracle. Наиболее громкие заражения — в том числе и формирование Mac-ботнета, и распространение "бестелесного" бота — производились именно через уязвимости в Java. Если Java-машина вами не используется, хорошим решением является ее удаление с компьютера.

Всего же в нашем рейтинге присутствуют 2 уязвимости в Java. Пять позиций рейтинга занимают продукты компании Adobe:

  • проигрыватели Flash Reader и Shockwave;
  • популярное приложение для чтения pdf-документов - Reader.


За последние годы были созданы десятки эксплойтов для этих программ, и большая часть из них находится в открытом доступе. Поэтому пользователям очень важно убедится, что на их компьютерах эти программы своевременно обновлены.

TOP 10 Proizvoditeli uyazvimih produktov
Производители уязвимых продуктов из TOP 10 уязвимостей

Любая уязвимость из TOP 10 может пагубно сказаться на безопасности компьютера, т.к. они дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. При этом четыре уязвимости из этих десяти позволяют получить доступ к конфиденциальной информации на компьютере, а две уязвимости позволяют обходить системы защиты и проводить DoS-атаку на машину с установленным уязвимым приложением. Три уязвимости позволяют проводить XSS-атаки. Помимо этого в TOP 10 попали уязвимости, дающие возможность злоумышленникам манипулировать данными, получать важную информацию о системе и осуществлять подмену пользователя (т. е. злоумышленник может выдать себя за владельца одной из учетных записей на данном компьютере).

TOP 10 Raspred uyazvimostei po tipu vozdeistviya na sistemu
Распределение уязвимостей из TOP 10 по типу воздействия на систему


Заключение

Начало 2012 года ознаменовалось качественным изменением ботсетей. Ботмастеры активно захватывают мобильный сегмент и Mac-компьютеры. К сожалению, пользователи смартфонов не понимают, что их смартфон является полноценным компьютером с ценной информацией, способной заинтересовать злоумышленников. С пользователями Mac OS X ситуация более сложная - сначала долгое время создатели этой ОС уверяли, что вредоносных программ под эту платформу не существует, а затем — что Mac безопаснее PC.

Для злоумышленников мобильные устройства и Mac-компьютеры очень привлекательны. Здесь еще мала конкуренция, и при этом большая часть мобильных устройств и Mac-компьютеров работает без каких-либо защитных средств. В первом квартале было обнаружено:

  • для Android - более 5000 зловредов (на треть больше показателей прошлого квартала);
  • для Mac OS X - более 70 зловредов (в два раза больше, чем прошлом квартале).


В ближайший год количество угроз для домашних устройств в этих двух сегментах будет активно расти.

С точки зрения технологий одним из самых значимых событий квартала стала атака "бестелесного" бота, выполняющего все функции в операционной памяти компьютера, не создавая файлов на диске. Такой подход усложняет обнаружение вредоносной программы. Хотя бот существовал на компьютере лишь до первого перезапуска, проведение атаки через баннерную сеть, используемую популярными легитимными сайтами, обеспечивало высокую вероятность нового и нового инфицирования компьютера, а значит, и большое количество активных ботов. Такой тип атак немыслим без использования эксплойтов, поэтому только обновленное ПО вкупе с установленным антивирусом может стать защитой от них.

Открытым остается вопрос защищенности мобильной платформы iOS. Если в случае мобильных устройств будет развиваться опробованный на Windows сценарий drive-by атак с последующим использованием эксплойтов, ведущих к исполнению произвольного кода в системе, то пользователи iOS по сути останутся один на один с вредоносным ПО, которое будет работать на их устройствах. Все технические предпосылки для развития такого сценария сейчас есть.

В первом квартале 2012 были обнаружены зловреды для платформы Mac OS X, использованные в целевых атаках. Причем на первой стадии злоумышленники использовали эксплойт к Java-машине, которая может быть установлена практически на любую платформу. Обнаруженные зловреды оказались бэкдорами — программами, открывающими злоумышленникам полный доступ к Mac-компьютеру.

В первом квартале:

  • были закрыты командные центры нескольких ботнетов ZeuS в США;
  • перехвачено управление ботентом Hlux.b;
  • во Франции были арестованы авторы мобильного зловреда Foncy;
  • в России арестованы — несколько групп кибепреступников, занимавшихся банковскими троянцами Carberp;
  • в Румынии арестованы — известный хакер TinHole и несколько хакеров из группировки Anonymous и т.д.


Эти действия должны иметь отрезвляющий эффект, и это позволяет надеяться, что количество атак на домашних пользователей в ближайшем будущем постепенно стабилизируется.