Перелом в развитии вредоносных программ

В последние годы антивирусные аналитики «Лаборатории Касперского» отмечают интенсивную криминализацию интернета. Преступники-одиночки объединяются в международные преступные группировки, влияние которых на рынке вредоносных программ уже стало столь велико, что это привело к изменению, «ломке» устоявшихся тенденций развития многих классов вредоносных программ (TrojWare, VirWare, AdWare).

Начавшееся в самом конце 2003 года зарождение «профессионального» рынка вредоносных программ молниеносно перешло в становление (2004 год), которое практически закончилось к началу 2005 года.

Таким образом, 2004 год можно смело называть годом тотальной криминализации мирового интернет-сообщества.

VirWare

Согласно классификации «Лаборатории Касперского» в этот вердикт (класс) попадают все вирусы и черви, то есть все те вредоносные программы, которые характеризуются способностью к саморазмножению. Если представить все ежемесячно обнаруживаемые нашими вирусными аналитиками новые образцы программ класса VirWare в виде графика, то он примет следующий вид:

Рис. 1. Развитие VirWare.

Из графика видно, что после пришедшегося на самый конец 2003 года ощутимого спада в приросте вредоносных программ данного вердикта, уже второй год подряд наблюдается стагнация показателей. Но если провести более детальный анализ каждого из поведений данного вердикта (таблица 1), то становится ясно, что стагнация в целом по вердикту является результатом смещения интересов в пределах VirWare — от классических вирусов к освоению новых поведений и платформ. А спад, пришедшийся в основном на вирусы, P2P-черви и др., пока продолжается, хотя в последние месяцы темпы падения начали снижаться.

Таблица 1. Темпы роста VirWare за 2004–2005 гг.

Рассмотрим подробнее приведенные данные. Почтовые черви (Email-Worm) после прошлогоднего спада в 20% показывают незначительный рост в 8%. Но можно ли это называть ростом? На фоне отмечаемого роста в 7% по VirWare, а также с учетом значительного роста частоты появления новых вредоносных программ в целом, здесь корректнее говорить об укрепившейся стагнации.

Падение интереса к почтовым червям объясняется не только деятельностью антивирусной индустрии и просветительской работой, проводимой среди пользователей — что, конечно же, приносит ожидаемые плоды — но и возросшей среди киберпреступников популярностью спам-рассылок TrojWare-программ. Подобный рост популярности рассылок объясняется чисто экономическими соображениями: авторам троянских программ нет необходимости разрабатывать механизмы саморазмножения, что приводит к удешевлению и сокращению сроков разработки такой программы; кроме того, сокращается ее размер, что облегчает проведение спам-рассылки.

IM-Worm — черви для интернет-пейджеров, пожалуй, показывают самые высокие темпы роста по всему вердикту VirWare. Представители данного поведения впервые появились в 2001 году, но значительного роста на протяжении последующих лет не продемонстрировали. Однако 2005 год стал для них годом интенсивного развития. Если в прошлом году нашими специалистами отмечалось появление в среднем одной IM-Worm-программы в месяц, то в этом году соответствующее число составляет уже в среднем 28 червей в месяц, что свидетельствует о значительном возрастании интереса со стороны авторов вредоносных программ к данному поведению. Это объясняется сравнительной новизной IM-Worm, и тем, что далеко не все пользователи пока осознают исходящую от них опасность.

IRC-Worm практически исчезли, большей частью переродившись в Backdoor. Падение темпов роста по этому поведению на 1% в течение 2005 года говорит даже не о стагнации, а о закате эры подобных червей. Они уже подошли к своему пределу, их появление носит единичный характер и дальнейшее значительное падение прироста их популяции просто невозможно. Таким образом, 2004 год можно считать последним годом значительной активности IRC-Worm.

Net-Worm не только сохранили темпы роста, которые превышают темпы роста в целом по вердикту, но и увеличили их. Популярность данного поведения связана с отсутствием пользователя как звена в процессе распространения этого класса червей. Таким образом, отпадает необходимость ожидания, пока пользователь получит письмо и запустит зараженное вложение. Не надо также разрабатывать изощренные тексты писем с использованием приемов социального инжиниринга с целью увеличения вероятности запуска червя пользователем.

Черви типа P2P-Worm продолжили свое падение и уже оказались на одной ступени с IRC-червями. Исчезновение этого класса червей является результатом целенаправленной акции против их среды обитания (файлообменных сетей) со стороны кинокомпаний и звукозаписывающих студий, которую они проводят в рамках борьбы с пиратством.

Worm-программы показывают заметный рост после незначительного падения. Но этот рост определяется не активизацией авторов червей, а новым витком в развитии этого поведения, который характеризуется освоением новой программной платформы для мобильных устройств — ОС Symbian.

Программы поведения Virus, которые можно смело считать родоначальниками эры вредоносных программ, сейчас переживают эпоху своего заката, что вызвано высокой трудоемкостью их разработки по сравнению с другими вредоносными программами, а также низкой скоростью распространения среди представителей VirWare — второй год подряд регистрируется значительный спад интереса к ним со стороны вирусописателей.

Незначительный рост обнаружения новых программ по вердикту в целом (7%) после ощутимого снижения темпов роста (37%) свидетельствует о том, что класс программ VirWare прошел процесс «ломки» и сейчас близок к состоянию стагнации. Этот вывод подтверждается участком графика справа от начала 2004 года. В дальнейшем спад по одним поведениям данного вердикта будет компенсироваться ростом по другим поведениям, что приведет к сохранению стагнации и отсутствию интереса к VirWare со стороны вирусописателей.

TrojWare

Данный вердикт является одним из самых многочисленных и включает себя троянские программы всех видов.

Именно представители вердикта TrojWare пользуются в последнее время повышенным вниманием со стороны криминального киберсообщества, что ясно видно на графике (рис. 2), который показывает количество ежемесячно обнаруживаемых нашими аналитиками представителей TrojWare.

Рис. 2. Развитие TrojWare.

Из приведенного графика видно, что «перелом» в темпах развития TrojWare пришелся на вторую половину 2004 года. Темпы прироста программ данного вердикта до сих пор сохраняются высокими и превышают темпы роста по всем остальным вердиктам вредоносных программ. Чтобы понять, как развиваются представители TrojWare по поведениям, сведем данные по вердикту в таблицу 2. Символом "-" отмечены позиции, данные по которым получить представляется затруднительным, либо они не выходят за границы статистической погрешности.

Таблица 2. Темпы роста TrojWare за 2004–2005 гг.

Для начала отметим, что программы Banker не являются отдельным поведением: в них выделены вредоносные программы, осуществляющие кражу банковской информации с инфицированных компьютеров. Мы вынесли Banker в отдельную строку по причине особого интереса к ним со стороны компьютерного андерграунда, а также очень интенсивного развития данной группы вредоносных программ. Средние темпы роста группы Banker значительно превышают таковые по TrojWare. Более того, отрыв за последнее время увеличился, что лишний раз подчеркивает финансовую заинтересованность криминального сообщества.

Backdoor показывают стабильные темпы роста, и последние годы не принесли здесь заметных изменений.

Trojan значительно снизили темпы своего роста по сравнению с прошлым годом (74% против 537%), хотя и не прекратили его, что говорит о некоторой стабилизации прироста программ этого поведения. Отметим, что зафиксированные нами темпы прироста троянских программ данного класса в 2004 году были явно аномальными и не могут служить отражением общего состояния Trojan-программ.

Trojan-Clicker также снизили темпы своего прироста, но они все еще остаются достаточно высокими, что позволяет констатировать продолжение бурного развития данного поведения.

Программы Trojan-Downloader характеризуются одним из самых высоких темпов роста по данному вердикту. Рост интереса здесь вполне очевиден: сейчас они интенсивно используются в процессе построения bot-сетей. Для их распространения в последнее время все чаще и чаще используются спам-рассылки, что, в свою очередь, уже оказало влияние на снижение интереса к почтовым червям. После проведения спам-рассылки представители данной категории используются в установке и постоянном обновлении по желанию автора любых вредоносных программ на инфицированной машине.

Программы Trojan-Dropper продемонстрировали схожие с Trojan-Downloader темпы прироста. Увеличившийся в последнее время интерес к данному поведению также объясняется участием Trojan-Dropper в построении bot-сетей: представители этого поведения содержат в себе либо Trojan-Downloader, либо Backdoor, либо Trojan-Proxy.

Последние, кстати, тоже показывают рост, хотя и не столь значительный, как Trojan-Downloader и Trojan-Dropper. Не столь значительный рост Trojan-Proxy легко объясняется отсутствием универсальности этого поведения. Если Dropper, Downloader и Backdoor используются для построения bot-сетей, то Trojan-Proxy в подавляющем большинстве устанавливаются лишь с одной целью — для последующих спам-рассылок через зараженные машины.

Заметные темпы роста Trojan-Spy и Trojan-PSW лишний раз подтверждают финансовый уклон проявляемого киберпреступностью интереса, т.к. практически все украденные виртуальные данные используются для нелегального доступа к сетевым и финансовым ресурсам пользователей, а также для последующей перепродажи.

Представители Rootkit выделены в отдельное поведение в нашей классификации совсем недавно, но собранные данные уже позволяют говорить о растущем интересе к этому поведению со стороны киберпреступников. Это объясняется тем, что представители Rootkit позволяют ощутимо увеличить время жизни вредоносных программ на зараженной машине, что заставляет антивирусные компании разрабатывать новые способы защиты пользователей. Успех внедрения rootkit-технологий на Windows-системах в большой степени определяется непросвещенностью пользователей, которые в большинстве своем продолжают работать на компьютерах под правами администратора, что является необходимым условием для успешной инсталляции rootkit-программы в систему.

Заметим также, что в данном поведении отмечено устойчивое смещение интереса от rootkit режима пользователя к rootkit режима ядра, что объясняется гораздо большим качеством сокрытия информации последними.

В целом TrojWare находится в процессе роста, темпы которого превышают средние темпы роста по всем вердиктам вредоносных программ. С большой уверенностью можно утверждать, что процесс «ломки» уже позади, практически все поведения вердикта постепенно приближаются к стабильному росту.

MalWare

Этот вердикт является самым многочисленным в нашей классификации, но сказать о нем практически нечего.

Интерес к нему остается низким и вполне может в ближайшее время перейти в стагнацию и последующий незначительный спад. Темпы развития представителей данного вердикта представлены на рис. 3:

Рис. 3. Развитие MalWare.

Лишь два поведения из данной категории заслуживают упоминания с точки зрения темпов их роста — это Exploit и HackTool, которые показывают рост в 49% и 36% соответственно.

В 2004 году в данном вердикте появилось новое поведение — SpamTool, которое характеризуется стабильным ежемесячным появлением нескольких новых образцов и используется для постоянного поиска новых адресов электронной почты на зараженных машинах. Распространение SpamTool чаще всего происходит с помощью спам-рассылок и bot-сетей.

Потеря интереса к остальным поведениям данного вердикта связана в большей степени с невозможностью извлечения коммерческой выгоды с их помощью.

Внимание: AdWare

Вердикт AdWare (ПО, проникающее на компьютер в рекламных целях) характеризуется резким увеличением темпов роста своей численности во второй половине 2004 года (за 2004 год темпы роста составляют 789%!), что говорит о самом пристальном внимании авторов к программам данной категории (рис. 4).

Рис. 4. Развитие AdWare.

Объясняется это тем, что формально представители данной категории являются легальными программами, хотя назвать подобное ПО легальным можно с очень большой натяжкой. Именно «псевдолегальность» позволяет многим компаниям открыто разрабатывать AdWare-программы. Например, обороты крупнейшей в мире adware-фирмы Claria Corporation, производителя широко известной AdWare Gator, уже достигают 90,5 млн USD. А согласно ранее представленным прогнозам Jupiter Communications Inc. размер рынка рекламы в интернете в этом году должен увеличиться до 28 млрд USD.

Последнее время AdWare все чаще балансирует на лезвии ножа, постоянно пересекая зыбкую грань между легальным и вредоносным ПО:

— отмечено появление AdWare, заражающего исполняемые файлы;
— отмечено появление AdWare, использующего rootkit-технологию для сокрытия своего присутствия в системе;
— отмечены многочисленные AdWare, которые инсталлируют себя в систему через использование эксплойта;
— обнаружены AdWare, осуществляющие нелегальный сбор информации…

Все это свидетельствует о прекрасном осознании разработчиками назойливости своих творений. Именно по этой причине они пытаются увеличить время нахождения своих продуктов в системе с помощью вирусных, rootkit- и прочих технологий, ранее использовавшихся исключительно во вредоносных программах.

О приближении готовности антивирусных компаний однозначно классифицировать AdWare как вредоносное ПО свидетельствует и растущее количество судебных процессов с производителями AdWare. Ярким примером является компания Symantec, которая подала в суд на adware-компанию Hotbar.com. Symantec утверждает, что Hotbar посредством своих рекламных кодов угрожает IT-безопасности. Удивление вызывает тот факт, что по некоторым данным среди инвесторов Hotbar.com числятся Deutsche Bank и Eurofund.

Приведенные нами факты позволяют уверенно утверждать, что грань между AdWare и вредоносными программами становится все более призрачной.

Другие платформы: .NET, UNIX, Symbian

Киберпреступность находится в постоянном развитии и охватывает все новые и новые платформы. В последнее время мы зарегистрировали рост внимания к платформе .NET.

Количество обнаруживаемых для этой платформы вредоносных программ пока ничтожно, но их число стабильно увеличивается. Все это говорит о том, что платформа .NET пока находится на этапе изучения вирусным сообществом и серьезно им не воспринимается.

Количество вредоносных программ для UNIX, приведенное в таблице 3, растет параллельно с ростом популярности этих ОС, что лишний раз опровергает миф о неуязвимости UNIX и подтверждает то, что заражаемость платформы в значительной степени определяется ее популярностью.

Таблица 3. Рост кол-ва вредоносных программ для UNIX.

Особое внимание киберпреступники уделяют операционной системе для мобильных устройств — Symbian. Вредоносные программы для этой платформы регистрировались в прошлом году на уровне 1,42 образца в месяц. В этом году эта цифра составляет уже 7,4 образца в месяц, что позволяет сделать вывод об устойчивом росте интереса к этой платформе.

Мощный толчок в развитии вредоносные программы для этой платформы получат в случае массового появления у пользователей систем онлайн-банкинга, электронных платежей и прочих инструментов, направленных на контроль и управление финансовыми потоками с помощью мобильного телефона.

Значительные опасения у аналитиков «Лаборатории Касперского» вызывает текущий уровень осведомленности пользователей мобильных телефонов об угрожающей им опасности (некоторые из них, например, не задумываясь, разрешают входящие сообщения) — первая же глобальная «мобильная» эпидемия в подобных условиях может привести к краху множества мобильных сетей.

Усиление противостояния

В конце прошлого века и самом начале этого было принято утверждать, что у авторов вредоносных программ нет будущего, потому что написанием вирусов в подавляющем большинстве случаев занимаются школьники и студенты, то есть их деятельность не имеет значительной финансовой поддержки. Сейчас ситуация в корне поменялась: подобные программы разрабатываются профессиональными программистами, деятельность которых основана на экономической целесообразности. Этот довод подтверждается следующими фактами:

— увеличивается количество спам-рассылок вредоносных программ по отношению к классическому самораспространения червей, что, как было отмечено выше, уже отразилось на динамике численности классов TrojWare и VirWare (примером отказа от почтовых червей может являться постепенный возврат авторов почтового червя Bagle от самого червя к Trojan-PSW.Win32.LdPinch, интенсивно используемого ими при построении bot-сетей в настоящее время);

— рост численности вредоносных программ, направленных на нелегальный доступ к виртуальной собственности пользователей (пароли на доступ в сеть, ICQ, данные для доступа к информации финансового характера и т.д.) с целью последующего нелегального использования;

— лавинообразное развитие AdWare.

Из вышесказанного следует очевидный вывод: отсутствие денежных средств уже не является сдерживающим фактором дальнейшего развития вредоносных программ. Сейчас антивирусная индустрия может противопоставить киберпреступности лишь созданную за предыдущие годы инфраструктуру оперативного противодействия вредоносным программам. Но постоянно проводимый мониторинг деятельности виртуальных хулиганов говорит о том, что они пристально следят за деятельностью антивирусной индустрии и предпринимают настойчивые шаги, направленные на создание собственной инфраструктуры, целью которой будет автоматизированный поиск новых жертв и их заражение.

На фоне постоянно увеличивающийся частоты нападений на пользователей сети (например, некоторые представители VirWare появляются уже по несколько модификаций в день), скорость реакции антивирусных компаний играет решающую роль в противодействии распространению эпидемий. Если отобразить количество выпускаемых «Лабораторией Касперского» антивирусных обновлений в виде таблицы, то мы увидим следующую картину (таблица 4):

Таблица 4. Ежегодный рост количества антивирусных обновлений.

Приведенные числа по urgent-обновлениями свидетельствуют о росте частоты ситуаций в интернете, когда необходима срочная защита пользователей для предотвращения заражения.

Числа по периодическим обновлениям свидетельствуют о том, что «Лаборатория Касперского» стремится снизить риск заражения пользователей путем увеличения частоты периодических апдейтов, но, к сожалению, согласно проведенному компанией опросу, лишь 25% пользователей обновляются чаще, чем 1 раз в неделю.

Киберпреступники все чаще используют для создания новых не детектируемых экземпляров всевозможные программы упаковки (таблица 5), что гораздо проще, чем создание новой вредоносной программы.

Таблица 5. Рост доли упакованных экземпляров в общем потоке вредоносных программ.

Противостояние в мире виртуальной преступности отмечено не только между антивирусными компаниями и киберхулиганами, но и внутри самого криминального сообщества. Сейчас уже закончился процесс формирования криминальных групп, и в дальнейшем будет происходить процесс их укрупнения. В будущем, когда киберкриминал достигнет пика своего развития, и интересы групп пересекутся, количество случаев противостояния между группировками будет увеличиваться. Более того, возможны кибервойны, направленные на уничтожение конкурирующих группировок.

Дальнейшее усиление позиций антивирусной индустрии в борьбе с киберпреступниками будет связано не только с внедрением новых технологий, но и с увеличением взаимодействия с правоохранительными органами, которые в последнее время ощутимо активизировались в борьбе с киберпреступниками. Увеличение активности правовой системы не в последнюю очередь связано с растущим влиянием криминального кибермира на интернет-экономику развитых стран.

Но, несмотря на растущее из года в год количество судебных процессов, прирост количества вредоносных программ не только не замедляется, а наоборот, увеличивается, что позволяет говорить о низкой эффективности противодействия правоохранительных органов криминальному миру на данном этапе развития ситуации.

Заключение и прогнозы

Итак, процесс «ломки» рынка вредоносных программ позади. Что ждет интернет-сообщество в будущем? Вот некоторые из наиболее вероятных направлений развития текущей ситуации:

— будут все чаще использоваться региональные рассылки вредоносных программ, направленные на затруднение обнаружения вредоносных программ в том регионе, где была произведена рассылка;

— будет увеличиваться число точечных атак — целевых рассылок вредоносных программ, направленных на совершение преступлений против конкретной четко избранной жертвы, что значительно уменьшает возможность своевременного оказания помощи со стороны антивирусных компаний;

— совершенно очевидно дальнейшее уменьшение количества глобальных эпидемий, вызванных Net-Worm-программами, что в значительной степени обусловлено уменьшением количества новых критических уязвимостей и быстрой реакцией MS по их устранению;

— поиск киберпреступниками новых приемов социального инжиниринга для увеличения эффективности заражения пользователей (например, после спам-рассылки по ICQ очередной версии Trojan-PSW.Win32.LdPinch отмечен факт использования бота на стороне злоумышленников, который отвечал на ICQ-сообщения пользователей);

— криминальный киберрынок все еще далек от насыщения, а дальнейший его рост приведет к кибервойнам конкурирующих преступных группировок;

— неизбежен дальнейший рост спама, фишинга, AdWare, вредоносных программ, ботнетов, случаев интернет-шантажа и прочих преступлений;

— продолжится медленное, но верное увеличение активности правоохранительных органов в области противостояния киберпреступникам;

— и, разумеется, продолжится освоение преступниками новых платформ.

Другие