"Лаборатория Касперского" подвела итоги развития вредоносных, рекламных и потенциально опасных программ за 2007 год. Вот какие итоги смогли сделать специалисты антивирусной компании.
2007 год останется в истории как год смерти «некоммерческих» вредоносных программ. Окончательная это смерть или нет — покажет будущее. Мы же пока можем только констатировать, что в этом году не было ни одной заметной эпидемии или распространенной вредоносной программы «нефинансового» характера. В 2006 году «хулиганские» вирусы все-таки еще появлялись — можно вспомнить эпидемию червя Nyxem.E, который ничего, кроме самораспространения и удаления файлов, не делал.
Эпидемии в 2007 году были. Почти все — кратковременные, и затрагивали они не весь мировой Интернет, а только отдельные регионы и страны. Такой принцип организации эпидемий фактически уже стал стандартом.
Несомненно, в ряду новых вредоносных программ прошедшего года особняком стоит «штормовой червь» (Zhelatin по классификации «Лаборатории Касперского»), впервые появившийся в январе 2007 года. В течение года он продемонстрировал такой спектр поведений, методов взаимодействия между своими компонентами, путей распространения и используемых приемов социальной инженерии, что антивирусные эксперты не переставали удивляться изобретательности неизвестных авторов.
В Zhelatin оказались реализованы практически все достижения вирусописательской мысли последних лет, и многие из них ранее существовали лишь в виде концептуальных идей. Тут и руткит-технологии, и замусоривание кода, и ботнеты, защищающие себя от анализа и исследования, и взаимодействие между зараженными компьютерами через P2P-сети — без единого управляющего центра. Для распространения червь использовал все существующие возможности: как традиционные (электронная почта, системы мгновенного обмена сообщениями), так и сервисы эпохи Web 2.0 (распространение через социальные сети: блоги, форумы, RSS). Кроме того, злоумышленники использовали растущий интерес пользователей к видео-сервисам и распространяли Zhelatin под видом видео-файлов.
Важно отметить, что основная направленность общего функционала Storm Worm — это создание сетей для последующей организации спам-рассылок и проведения DoS-атак. Какие изменения произошли в спаме в 2007 году, мы рассмотрим в отдельном отчете. Что же касается DoS-атак, то они стали одной из ключевых тем информационной безопасности всего 2007 года.
DoS-атаки после активного применения их в 2002-2003 годах больше не пользовались особой популярностью у киберпреступников — вплоть до 2007 года. В этом году они вернулись, причем не столько как инструмент для вымогания денег у жертв, сколько как средство политической и конкурентной борьбы. История об атаке на эстонские сайты в мае 2007 года широко освещалась в средствах массовой информации и многими экспертами расценивается как первый случай кибервойны. Очевидно, что за целым рядом DoS-атак 2007 года стоят бизнес-конкуренты жертв. Если четыре года назад DoS-атаки были орудием в руках исключительно хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как спам-рассылки или создание на заказ вредоносных программ. Реклама услуг DoS-атак стала обычным явлением, а цены уже сопоставимы с ценой организации спам-рассылки.
Киберпреступный бизнес в 2007 году явил миру несколько новых видов криминальной деятельности. Активно развивалась отрасль создания вредоносных программ на заказ с оказанием технической поддержки заказчикам. Самый, наверное, яркий пример такого рода бизнеса — история троянской программы-шпиона Pinch. Его авторы за несколько лет создали более 4000 вариантов этой вредоносной программы, большинство которых были выполнены именно по заказу других злоумышленников. Эта история, судя по всему, закончилась в декабре 2007 года, когда руководитель российской Федеральной службы безопасности объявил об установлении личностей авторов Pinch.
Еще одним подобным примером стал вирус-червь Fujack. Китайский зловред, созданный с целью кражи данных пользователей онлайн-игр, продавался его автором всем желающим и разошелся по миру в виде нескольких сотен вариантов. Заработать на этом автору удалось около 12 000 долларов США — именно такая сумма была озвучена китайской полицией, арестовавшей в итоге и автора, и нескольких его клиентов.
Fujack оказался одним из ярких представителей доминировавшего в 2007 году по численности семейства троянских программ — «игровых» троянцев. Напомним, что в 2006 году превалировали всевозможные Bankers — троянские программы, ориентированные на кражу данных от банковских аккаунтов, и мы прогнозировали, что в 2007 году «игровые» троянцы и Bankers по числу новых программ будут конкурировать между собой.
По итогам года «игровые» троянцы одержали безоговорочную победу: их число значительно превысило показатели Bankers. Здесь важно отметить, что пока прямой конкуренции между этими двумя семействами троянских программ нет — их целевые аудитории не пересекаются. Это подтверждает и тот факт, что нам пока неизвестны игровые троянцы, умеющие воровать банковские аккаунты. Хотя теоретически в создании такого «гибрида» нет ничего сложного, в реальности, вероятно, такое сочетание функций не является необходимым и интересным для вирусописателей.
Яркие события 2007 года — массовые взломы сайтов с последующим размещением на них вредоносных программ или ссылок на зараженные сайты. Одним из таких событий стал взлом в июне около 10 000 итальянских сайтов, на которых затем был размещен набор эксплоитов Mpack. В течение года такие же взломы происходили по всему миру, а самый массовый был зафиксирован в конце года, когда более чем на 70 000 сайтов в разных странах мира был обнаружен вредоносный код, устанавливающий на компьютеры жертв очередного «игрового» троянца.
Инцидент в Италии привлек внимание еще к одному виду бизнеса киберпреступников: в ходе расследования выяснилось, что вредоносные программы были расположены на сайтах Russian Business Network (RBN). Детальный анализ выявил, что RBN использовалась как площадка для распространения вредоносных программ в десятках, а то и сотнях случаев. Фактически речь шла о «bulletproof»-хостинге, владельцы которого гарантировали заказчикам анонимность, защиту от юридического преследования и отсутствие лог-файлов.
Вокруг RBN поднялась массовая шумиха, которая длилась на протяжении всего лета и начала осени 2007 года, пока в итоге RBN не ушла в тень, раздробившись на несколько хостинг-площадок в разных странах мира и тем самым размыв реальные масштабы своей деятельности.
Такими были основные события 2007 года, который в итоге оказался самым «вирусным» за всю историю. Если вы хотите ознакомиться с отчетом целиком, то вы можете его прочитать на сайте компании.
|
