Специалисты компании «Лаборатория Касперского» подвели «вирусные» итоги прошедшего года. На сей раз вниманию журналистов был предложен полный обзор особо надоедливого контента класса malware, гулявшего по Сети в 2005 году.
Предваряя выступления коллег, Евгений Касперский, руководитель антивирусных исследований «Лаборатории», рассмотрел прошлогодние тенденции индустрии вредоносного ПО. По его словам, зародившаяся некоторое время назад криминализация Internet развернулась в полную силу.
Расцвет теневого бизнеса
Теперь большинство сетевых преступников считают главной целью своей деятельности получение прибыли. Так, 75% вирусописателей работают ради денег и лишь 5%— из желания прославиться. Та же тенденция определяет поведение хакеров (шантаж, вымогательство, атаки, взломы на заказ), спамеров (рассылка незапрошенной корреспонденции, в том числе содержащей троянские программы, шпионское и рекламное ПО), фишеров (добывание секретных персональных сведений для последующей кражи конфиденциальной информации или денежных средств) и других участников теневого бизнеса в Internet.
Евгений Касперский подчеркнул, что деятельность сетевых злоумышленников стала более целенаправленной. Число вирусных эпидемий сократилось, они были менее массовыми, а атаки на пользователей— более целенаправленными. Если в 2004 году зафиксировано 46 массовых «заболеваний» в Internet, то в 2005 году— лишь 14. Касперский считает, что это объясняется не только повышением уровня квалификации преступников и ростом осведомленности пользователей, но и активизацией правоохранительных органов в данной сфере.
Общий размер финансового ущерба от вредоносного кода, по оценке Computer Economics, уменьшился незначительно (14,2 млрд долл. в 2005 году против 17,3 млрд долл. в 2004 году). Другими словами, доходы от теневого бизнеса в Inrenet остались такими же высокими, просто злоумышленники сменили тактику. Они стараются применять индивидуальный подход: спамеры используют адресную и «ручную» рассылку, фишеры умело запутывают следы, активизируются социальные инженеры, а хакеры работают системно, нанося точечные удары.
Популярные черви
Юрий Машевский, аналитик «Лаборатории Касперского», сообщил журналистам, что за прошедший год выявлены четыре крупные эпидемии: Bagle.ax и Bagle.ay (январь), Mytob.c (март), Sober.p (май) и Sober.y (ноябрь). Создатели Bagle впервые использовали технологию кратковременной эпидемии, причем в течение нескольких часов в Сеть поступали сразу несколько вариантов червя, нацеленных на разные национальные сегменты. Червь Mytob.c для своего размножения использовал электронную почту и уязвимость в службе LSASS (MS04-011). Автор Sober.p продолжил с его помощью пропаганду праворадикальных политических убеждений. Новый вариант вредоносного кода стал примером «политических» вирусов: он впервые рассылался от лица правоохранительных органов (ФБР). Тот же прием был использован для распространения модификации Sober.y. Десятки миллионов писем «из ФБР» наводнили почтовые серверы Западной Европы. На пике активности Sober.y занимал примерно 80% всего вирусного трафика, вплотную приблизившись по этому показателю к лидерам прошлых лет— Mydoom.A и NetSky.Q.
Помимо серьезных мировых эпидемий в прошлом году отмечены несколько небольших «очаговых» заражений. Они были вызваны php-червями Santy и Asan, червями Bagle, Mytob и др., а также троянской программой Gpcode, проникшей в компьютеры сотен пользователей России и других стран СНГ.
В 2005 году вирусный хит-парад возглавил червь Mytob.c, второе место досталось NetSky.q, а вот венгерские «братья» Zafi (Zafi.d и Zafi.b), лидировавшие в 2004 году, на сей раз заняли лишь, соответственно, третье и четвертое места. По подсчетам аналитиков «Лаборатории», подавляющее большинство вредоносных кодов составили почтовые черви (60%). На сетевые черви пришлись 37%, а на троянцев-шпионов— лишь 3%. По мнению Машевского, мы наблюдаем закат эпохи обычных почтовых червей— на фоне роста количества сетевых и почтовых червей с троянским функционалом. Традиционные вирусы и макровирусы практически полностью исчезли из поля зрения пользователей Сети.
Среди других особенностей прошлого года Машевский отметил появление большого количества вредоносных программ для Internet-пейджеров (ICQ, MSN) и мобильных устройств, усиление проблемы ботнетов (сетей «зомби-машин») и повсеместное использование мошенниками rootkit-технологий.