Kaspersky Security Bulletin

Основная статистика за 2008 г.

Александр Гостев

  Kaspersky Security Bulletin 2008  Статистика

Вредоносные программы в интернете (атаки через Web)

Вредоносные программы в интернете: TOP20

Страны, на ресурсах которых размещены вредоносные программы: TOP20

Страны, пользователи которых подвергались атакам в 2008 году: TOP20

Время жизни вредоносного URL

Атаки по портам

Локальные заражения

Уязвимости

Платформы и операционные системы

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.    В отличие от наших прошлых годовых и полугодовых статистических отчетов, текущий отчет практически полностью сформирован на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN является одним из важнейших нововведений в персональных продуктах линейки 2009 и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского».

Kaspersky Security Network позволяет нашим экспертам оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать значительно большую скорость реакции на новые угрозы – в настоящий момент мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей KSN через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Вредоносные программы в интернете (атаки через Web) Как способ заражения вредоносными программи, электронная почта отошла на второй план, уступив свое место веб-сайтам. Злоумышленники используют вебресурсы и для первоначального заражения компьютеров пользователей, и для загрузки из интернета новых вариантов вредоносных программ. Для этого используются как «серые» хостинги, такие как названные выше McColo и Atrivo и печально известный RBN, так и взломанные легальные веб-сайты.

Подавляющее большинство атак через Web осуществляется при помощи технологии drive-by-download: заражение компьютера происходит незаметно для пользователя, во время обычной работы в интернете. Многие взломанные сайты осуществляют скрытое обращение к другим ресурсам, и именно там размещается вредоносный код, срабатывающий у пользователя, – в основном через уязвимости в браузерах или плагинах к браузеру (таких как ActiveX, RealPlayer и т.д.) При помощи Kaspersky Security Network мы можем осуществлять учет и анализ всех попыток заражения наших пользователей при работе в интернете.

Вредоносные программы в интернете: TOP- По итогам работы KSN в 2008 году зафиксировано 23 680 646 атак на наших пользователей, которые были успешно отражены. Из всех вредоносных программ, участвовавших в этих атаках, мы выделили 100 наиболее активных. На их долю пришлось 3 513 355 атак.

Каждая из числа этих 100 программ была зафиксирована нами более 7000 раз. На долю программ, попавших в первую двадцатку, пришлось более 59% инцидентов, что позволяет считать их наиболее распространенными в Сети в 2008 году.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  GameThief.Win32.Magania.gen  Первое место занимает один из эвристических вердиктов новых троянских программ, для которых еще не существует точной сигнатуры. В 2008 году один только этот эвристик остановил около 250 000 атак на наших пользователей.

Если же учитывать только сигнатурные записи, то наиболее распространенной и активной вредоносной программой 2008 года является TrojanDownloader.Win32.Small.aacq.

В двадцатке присутствуют 7 эксплойтов – причем практически все они являются эксплойтами, использующими уязвимости в RealPlayer и Flash Player (RealPlr и SWF). Эти уязвимости, обнаруженные в 2008 году, стали главным инструментом злоумышленников при заражении пользователей.

Десять из двадцати вредоносных программ реализованы на JavaScript в виде HTMLтегов, что очередной раз подчеркивает, насколько актуален на компьютере вебантивирус с проверкой исполняемых скриптов. Весьма действенным инструментом в борьбе с подобными угрозами являются различные плагины к браузеру, осуществляющие блокирование выполнения скриптов без ведома пользователя – например, NoScript для Firefox. Мы настоятельно рекомендуем использовать на компьютерах такие решения дополнительно к антивирусной защите. Помимо того, что они уменьшают риск заражения, они способны защищать и от прочих видов атак в Сети, например от множества XSS-уязвимостей.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  Страны, на ресурсах которых размещены вредоносные программы: TOP- Как мы уже отметили выше, для размещения вредоносных программ и эксплойтов злоумышленники используют и «серые» хостинги, и взломанные сайты.

23 508 073 атаки, зафиксированные нами в 2008 году, проводились с интернетресурсов, размещенных в 126 странах мира (территориальную принадлежность еще 172 573 атак определить не удалось): киберпреступность окончательно вышла на всемирный уровень и в настоящий момент практически в любой стране мира есть интернет-ресуры, которые являются источниками вредоносных программ.

Однако более 99% всех зафиксированных нами атак проводились с ресурсов из двадцати стран. Мы не стали выводить коэффициент «зараженности» на основе общего числа существующих в этих странах интернет-ресурсов, однако те, кому известны эти цифры, легко могут сами составить отдельный рейтинг стран с наиболее зараженными ресурсами на основе нижеследующей статистики:

Абсолютным лидером в 2008 году по числу атак, проведенных с ресурсов, размещенных в стране, стал Китай.

Почти 80% всех вредоносных программ и эксплойтов, действие которых было заблокировано в момент проникновения на компьютеры наших пользователей, Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  находились именно на китайских серверах. Это полностью соответствует другой статистике, которой мы располагаем: более 70% новых вредоносных программ имеют китайское происхождение.

Зачастую китайские веб-ресурсы используются злоумышленниками других стран по причине того, что регистрационные данные на китайских хостингах никем не проверяются, а также из-за отсутствия возможности у правоохранительных органов других стран закрыть такие сайты.

Наличие в первой двадцатке таких небольших стран, как Эстония, Латвия и Литва, обусловлено тесными связями тамошней киберпреступности с их «коллегами» в России и на Украине. Прибалтика продолжает оставаться одним из самых удобных регионов для киберкриминала. В прошлом русскоязычные киберпреступники неоднократно использовали прибалтийские банки для отмывания денег, полученных в результате кардинга и прочих видов компьютерной преступности. История с эстонским регистратором EstDomains, предоставлявшим услуги тысячам киберпреступников, достаточно широко освещалась в конце 2008 года.

Эти факты в значительной мере опровергают активные в последнее время разговоры о том, что, например, Эстония является одним из европейских лидеров в области борьбы с киберугрозами и обладает опытом в отражении сетевых атак.

Страны, пользователи которых подвергались атакам в году: TOP- Существует еще один не менее важный показатель: пользователи каких стран и регионов стали объектами атак.

В 2008 году компьютеры жителей 215 стран и регионов мира подвергались угрозе заражения 23 680 646 раз. Это без преувеличения весь мир. Жители всех стран, включая даже самые маленькие и отдаленные (например, Микронезию – 15 атак, Кирибати – 2 атаки, Каймановы острова – 13 атак), подвергались риску заражения, и никто не знает, сколько таких атак все-таки оказались успешными.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  На долю жителей следующих двадцати стран пришлось около 89% от общего количества всех зафиксированных атак:

Этот рейтинг фактически является отражением того, в каких странах компьютеры пользователей подверглись наибольшему числу атак. Неудивительно, что на первом месте стоит Китай: китайские вредоносные программы в первую очередь ориентированы на местных пользователей. Более половины (53,66%) всех атак пришлось именно на них. Вероятней всего, большинство их было связано с распространением троянских программ, ориентированных на кражу учетных записей пользователей онлайн-игр.

Не вызывает удивления и большое количество атак на пользователей в таких странах, как Египет, Турция и Индия. Эти страны в настоящее время переживают «интернет-бум», число пользователей там растет в геометрической прогрессии, но это происходит на фоне исключительно низкого уровня технической подготовки пользователей. Именно такие владельцы компьютеров и становятся главными жертвами киберпреступников. Зараженные компьютеры в этих странах используются в основном для создания зомби-сетей. Через них в дальнейшем осуществляется рассылка спама, фишинговые атаки и распространение новых вредоносных программ.

Такие страны, как США, Россия, Германия, Великобритания, Франция, Бразилия, Италия и Израиль, также попали в первую двадцатку, а преступников интересуют учетные записи пользователей платежных и банковских систем, различных сетевых ресурсов и персональные данные.

Время жизни вредоносного URL Довольно интересный показатель был получен нами на основе анализа более двадцати шести миллионов зафиксированных атак – время жизни вредоносного URL. Если раньше эпидемии в электронной почте длились месяцами, а порой и годами, то с выходом на первый план заражения через Web срок жизни одной атаки стал исчисляться днями или даже часами.

Кратковременность таких атак объясняется не только тем, что вредоносные программы оперативно удаляются владельцами взломанных сайтов, но и тем, что сами киберпреступники постоянно перемещают их с одного ресурса на другой, стремясь обойти различные «черные списки URL», реализованные как в антивирусных программах, так и в ряде современных браузеров, и избежать детектирования новых вариантов вредоносного ПО. В 2008 году среднее время жизни вредоносного URL составило 4 часа.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  Атаки по портам Неотъемлемой частью современной антивирусной программы является файервол.

Он позволяет блокировать различные атаки на компьютер, осуществляемые извне, не через браузер, а также должен противодействовать попыткам кражи с компьютера пользовательских данных.

В состав Kaspersky Internet Security включен файервол с функцией детектирования входящих пакетов, многие из которых являются эксплойтами, использующими уязвимости в сетевых службах операционных систем, и способны вызвать заражение непропатченной системы или предоставить злоумышленнику полный доступ к ней.

В 2008 году система UDS, реализованная в KIS2009, отразила 30 234 287 сетевые 4  Intrusion.Win.NETAPI.buffer-overflow.exploit  746421  2,469  7  Intrusion.Win.LSASS.ASN1-kill-bill.exploit  194643  0,644  8  Intrusion.Generic.TCP.Flags.Bad.Combine.attack  172636  0,571  11  Intrusion.Win.HTTPD.GET.buffer-overflow.exploit  13292  0,044  13  DoS.Win.IGMP.Host-Membership-Query.exploit  2566  0,008  14  Intrusion.Win.EasyAddressWebServer.format- 1320  0,004  17  Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit  1073  0,004  19  Intrusion.Unix.Fenc.buffer-overflow.exploit  852  0,003  В первой десятке присутствует сразу несколько атак, относящихся к действиям сетевых червей, вызывавших глобальные эпидемии в 2003-2005 годах. Так, например, второе место (более шести миллионов атак) приходится на долю Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  червя Helkern (Slammer), вызвавшего эпидемию в январе 2003 года. С тех пор прошло почти шесть лет, однако до сих пор существуют зараженные компьютеры, которые являются источниками таких атак.

Третье место относится к действиям различных червей, использующих уязвимость RPC-DCOM (MS03-026). Эта же уязвимость вызвала глобальную эпидемию червя Lovesan в августе 2003 года.

4-е место заняла одна из самых опасных уязвимостей 2008 года – MS08-063. О ее существовании эксперты узнали только после того, как в интернете было обнаружено несколько вредоносных программ, уже использующих эту дыру в сетевой службе NetAPI. Сетевой червь Gimmiv оказался виновником нескольких тысяч заражений, а после того, как информация об уязвимости и эксплойт были опубликованы в интернете, вредоносные программы на базе MS08-063 стали появляться десятками и в конце 2008 года уже представляли основную опасность для пользователей.

6 и 7-е место принадлежит червям, использующим уязвимость MS04-011. Самым ярким представителем подобных зловредов является червь Sasser, эпидемия которого произошла в апреле 2004 года.

Все эти данные показывают, что, несмотря на то, что пик эпидемий множества сетевых червей давно остался в прошлом, они продолжают существовать в интернете и ищут новых жертв. Подвергнуться заражению ими очень легко – достаточно использовать старые, необновленные версии операционных систем и не пользоваться файерволом.

Локальные заражения Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты.

Наши антивирусные решения успешно обнаружили более 6 000 000 (6 394 359) вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Securirty Network.

Всего в данных инцидентах было зафиксировано 189 785 разных вредоносных и потенциально нежелательных программ.

На долю первых ста из них пришлось 941 648 инцидентов, или 14,72%.

распространенными угрозами 2008 года.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  3  Trojan-Downloader.Win32.Small.acmn  25235  14  not-a-virus:AdWare.Win32.BHO.ca  14878  15  Trojan-Downloader.WMA.GetCodec.c  14638  17  Trojan-Downloader.HTML.IFrame.sz  14247  18  not-a-virus:AdWare.Win32.Agent.cp  14001  Не стоит забывать о том, что эта статистика отражает инциденты, которые зафиксированы только на компьютерах пользователей наших продуктов, участвующих в проекте Kaspersky Securirty Network.

Лидером 2008 года по числу компьютеров, на которых он был обнаружен, стал вирус Sality.aa. Таким образом, впервые за последние шесть лет наших наблюдений, «угрозой года» стал классический файловый вирус, а не почтовый или сетевой червь, как это было ранее.

Sality.aa действительно вызвал всемирную эпидемию в 2008 году. Мы получали сообщения о его обнаружении из России, Европы, Америки и Азии.

Одной из важных тенденций последних лет, о чем мы неоднократно писали ранее, является стремительный рост популярности съемных накопителей, таких как USBflash card, как способа распространения вредоносных программ. Функция автоматического запуска autorun-файлов, встроенная в операционную систему Windows, активизирует вредоносную программу, которая находится на USB. То есть работает та же схема, что и 15 лет назад, когда классические загрузочные вирусы активизировались при работе с дискетами.

Sality.aa использует именно такой способ распространения, копируя зараженные собой файлы на «флешки» и создавая специальный autorun.inf файл для их запуска.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  Пример одного из подобных файлов:

;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj shElL\AUtOplay\commANd=qwail.cmd ;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu Зеленым цветом выделены исполняемые команды. Прочие строки в файле добавлены автором вируса исключительно для обхода детектирования антивирусными программами Аналогичный прием распространения используют еще пять вредоносных программ из первой двадцатки: Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q, Worm.Win32.AutoRun.eee.

Доля машин, зараженных этими шестью autorun-malware, составляет 30,77% от всех компьютеров, зараженных вредоносными программами из первой двадцатки. По отношению к машинам, зараженным вредоносными программами из первой сотни, этот показатель составит более 18%.

Можно с уверенностью констатировать тот факт, что такой способ распространения в настоящее время является наиболее популярным среди вирусописателей и практически всегда комбинируется с другим функционалом – таким как заражение файлов, кража информации, создание ботнетов. Распространение вредоносных программ с помощью съемных накопителей уже стало неотъемлемой чертой таких семейств троянских программ, как например Trojan-GameThief.

Из двадцати наиболее распространенных вредоносных программ шесть относятся к классу Trojan-Downloader (из них два в первой пятерке). Это говорит о том, что очень часто вирусописатели пытаются поразить компьютер пользователя первоначально именно загрузчиком, а не главной вредоносной программой. Такой подход дает им гораздо большие возможности при выборе того, как использовать зараженный компьютер, и позволяет осуществлять установку на него других троянских программ – созданных другими группами киберпреступников.

Позволим себе лирическое отступление и вспомним древнегреческую легенду о троянском коне. Это был дар коварных греков жителям осажденного ими города Трои. Троянцы обнаружили у стен города и внесли в него гигантского деревянного коня. Ночью, когда Троя уснула, из коня вылезли прятавшиеся внутри греческие воины и открыли ворота, через которые в город ворвалась их основная армия. Троя Так вот, из всех современных троянских программ только Trojan-Downloader действительно выполняют функцию троянского коня на компьютере.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  Уязвимости Уязвимости в программных продуктах являются наиболее опасным видом угроз для пользователя. Они могут предоставить злоумышленникам возможность обойти имеющиеся средства защиты и атаковать компьютер. Как правило, это касается вновь обнаруженных уязвимостей, для которых еще нет «заплаток» – с ними связаны так называемые “zero-day атаки”.

В 2008 году zero-day уязвимости несколько раз использовались злоумышленниками – в первую очередь уязвимости в пакете Microsoft Office и входящих в его состав приложениях.

В сентябре неизвестные китайские хакеры активно начали эксплуатировать новую уязвимость в сетевой службе NetApi Microsoft Windows, которая позволяла заразить компьютер путем сетевой атаки. Эта уязвимость была классифицирована как MS08и такие атаки, совершенные на пользователей, заняли в нашей статистике атак по портам четвертое место (см. главу «Атаки по портам»).

Однако излюбленным способом проведения атаки остаются уязвимости в браузерах и связанных с ними плагинах.

«Лаборатория Касперского» первой среди антивирусных компаний реализовала в своем персональном продукте сканер уязвимостей. Это решение является первым шагом к созданию полноценной системы управления патчами, необходимость которой остро стоит не только перед антивирусной индустрией, но и перед производителями операционных систем и приложений.

Сканер позволяет обнаружить на компьютере уязвимые приложения и файлы, с тем чтобы пользователь принял соответствующие меры для устранения этих проблем.

Крайне важно знать, что уязвимости обнаруживаются не только в OS Microsoft Windows, у которой есть встроенная система обновления, но и в других используемых приложениях сторонних производителей.

По итогам работы системы анализа уязвимостей в 2008 году нами было проанализировано 100 наиболее распространенных из них. На их долю пришлось 130 518 320 уязвимых файлов и приложений, обнаруженных на компьютерах пользователей наших антивирусных решений.

Из этих ста уязвимостей на долю двадцати наиболее часто обнаруживаемых пришлось 125 565 568 файлов и приложений, что составляет более 96%.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  3  31010  Sun  Java  JDK  /  JRE  Multiple  2374038  Highly critical  System  access,  From remote  07.09.2008  6  28083  Adobe  Flash  Player  Multiple  1815437  Highly critical  Security  Bypass,  Cross  From remote  09.04.2008  7  31454  Microsoft Office Excel Multiple  1681169  Highly critical  Exposure  of  sensitive  From remote  12.08.2008  8  32270  Adobe  Flash  Player  Multiple  1260422  Moderately  Security  Bypass,  Cross  From remote  16.10.2008  10  29320  Microsoft  Outlook  "mailto:"  1102730  Highly critical  System access  From remote  11.03.2008  11  29650  Apple  QuickTime  Multiple  1078349  Highly critical  Exposure  of  sensitive  From remote  03.04.2008  12  23655  Microsoft  XML  Core  Services  800058  Highly critical  Cross  Site  Scripting,  From remote  09.01.2007  14  26027  Adobe  Flash  Player  Multiple  765734  Highly critical  Exposure  of  sensitive  From remote  11.07.2007  15  27620  RealNetworks  RealPlayer  727995  Highly critical  Exposure  of  sensitive  From remote  25.07.2008  19  31744  Microsoft  Office  OneNote  URI  419374  Highly critical  System access  From remote  09.09.2008  По числу файлов и приложений, обнаруженных на пользовательских компьютерах, самыми распространенными в 2008 году стали уязвимости в продукте компании Apple – QuickTime 7.x. Более 80% всех уязвимостей обнаружены именно в этом продукте.

Рассмотрим, в продуктах какой компании было обнаружено более всего уязвимостей из первой двадцатки:

Распределение уязвимостей по компаниям-производителям На долю продуктов Microsoft приходится 10 из 20 самых распространенных уязвимостей. Все они обнаружены в приложениях, входящих в состав Microsoft Office: Word, Excel, Outlook, PowerPoint и т.д. Уязвимости в QuickTime и Microsoft Office оказались самыми распространенными на пользовательских компьютерах в 2008 году.

Третьим, и наиболее активно использовавшимся вирусописателями в 2008 году, был продукт компании Adobe – Flash Player. Уязвимости в нем открыли широкие возможности для вирусописателей: появились тысячи вредоносных программ, реализованных в виде флеш-файлов и атаковавших пользователей уже при их простом просмотре в интернете. SWF-троянцы сталиодной из главных проблем антивирусных компаний: во всех продуктах пришлось оперативно реализовывать процедуру обработки файлов формата SWF, чего ранее не требовалось.

Похожая ситуация сложилась и еще с одним популярным проигрывателем медиафайлов – Real Player. Обнаруженная в нем уязвимость весьма активно эксплуатировалась злоумышленниками – отражение этого можно увидеть в вышеприведенной статистике атак через Web, где в первой двадцатке присутствуют такие программы, как Exploit.JS.RealPlr.

В двадцатку не попали уязвимости, обнаруженные в другом популярном продукте компании Adobe – Acrobat Reader, однако множество разнообразных PDF-троянцев использовали уязвимости этой программы что потребовало от антивирусных компаний немедленного решения проблемы.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  На наш взгляд, рейтинг наиболее опасных приложений 2008 года должен выглядеть следующим образом:

1. Adobe Flash Player  2. Real Player  3. Adobe Acrobat Reader  4. Microsoft Office  Наиболее показательным является тот факт, что все двадцать наиболее часто обнаруживаемых уязвимостей относятся к категории “remote”, что подразумевает возможность их использования злоумышленником удаленно, даже если он не имеет локального доступа к компьютеру.

Использование каждой из этих уязвимостей приводит к разным последствиям для атакованной системы. Самым опасным является тип воздействия “system access”, позволяющий злоумышленнику получить практически полный доступ к системе.

Если сгруппировать двадцать наиболее распространенных уязвимостей по типам воздействия, то мы получим следующий график:

18 уязвимостей открывают возможности для “system access”, 6 способны привести к утечке важной информации.

Результаты данного исследования показывают, насколько серьезна проблема уязвимостей и их ликвидации. Разрозненность подходов к установке патчей у разных производителей программного обеспечения и отсутствие у пользователей понимания необходимости обновлений являются основными предпосылками для того, чтобы вирусописатели стали активнее заниматься разработками вредоносного ПО, использующими уязвимости в программных продуктах.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  Для того чтобы пользователи и компания Microsoft приучили друг друга к регулярному и легкому способу обновления Windows потребовались годы и десятки глобальных вирусных эпидемий. Сколько потребуется времени и инцидентов для того, чтобы такие же меры защиты были реализованы другими производителями и также усвоены пользователями?

Платформы и операционные системы Операционная система или приложение могут подвергнуться нападению вредоносных программ в том случае, если они имеют возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.

В 2008 году «Лабораторией Касперского» были зафиксированы вредоносные программы для 46 различных платформ и операционных систем. Естественно, что подавляющее большинство таких программ рассчитано на функционирование в среде Win32 и представляет собой исполняемые бинарные файлы.

Наиболее значительный рост угроз произошел для следующих платформ: Win32, SWF, MSIL, NSIS, MSOffice, WMA.

WMA была одной из наиболее часто используемых платформ при атаках drive-bydownload. Семейство троянских загрузчиков Wimad, использующих уязвимость в Windows Media Player, оказалось в числе двадцати наиболее распространенных угроз при локальных заражениях.

Наибольшего внимания заслуживают вредоносные программы для платформ MSIL, NSIS и SWF. Для MSIL рост нами прогнозировался уже давно. Это было логичным продолжением развития данной среды программирования компании Microsoft и переходом на нее все большего числа программистов, преподавание MSIL во многих образовательных учреждениях и оптимизация Windows и Windows Mobile для работы с приложениями на данной платформе.

NSIS оказался в поле зрения вирусописателей по причине того, что представляет собой инсталлятор с мощным скриптовым языком. Это позволило злоумышленникам реализовать на его основе разнообразные программы класса Trojan-Dropper.

Использование вирусописателями легальных инсталляторов может стать одной из наиболее серьезных проблем 2009 года. Не все антивирусные продукты способны успешно распаковывать такие файлы, кроме того, их, как правило, значительный размер усложняет эмуляцию.

Неприятным сюрпризом года стал SWF. Троянские программы на основе нескольких эксплойтов уязвимостей в Macromedia Flash Player вошли в наши списки наиболее распространенных атак через Web. Сами уязвимости также оказались в числе двадцати наиболее часто встречаемых на компьютерах пользователей (6, 8 и место).

SWF-троянцы, наряду с PDF-эксплойтами, стали самой актуальной вирусной проблемой в 2008 году: ранее никаких инцидентов с этими форматами не было (некоторое количество концептуальных PDF-вирусов в расчет можно не принимать), и не предполагалось, что они могут представлять опасность.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.  Именно поэтому не все антивирусные компании смогли оперативно отреагировать на эти атаки. Наличие уязвимостей в SWF натолкнуло вирусописателей еще на одну идею: на поддельных сайтах, на которых якобы были размещены различные видеоролики, посетителям сообщалось об отсутствии у них нужной версии кодека для медиаплеера или необходимости его обновления (из-за наличия уязвимостей в ранних версиях). Но по предлагаемой для загрузки кодека ссылке всегда находилась троянская программа.

Несмотря на растущую популярность ОС Linux и MacOS, число вредоносных программ для этих систем практически не увеличивается. Во многом это связано с тем, что основным центром вирусописательства в настоящее время является Китай, где эти ОС не так популярны, как в Европе или в США. Кроме того, онлайн-игры, которые стали одним из основных объектов атак киберпреступников, крайне слабо представлены на отличных от Windows платформах. Однако в ближайшем будущем мы ожидаем усиления внимания игровых компаний к данным ОС, а особенно к ОС для мобильных устройств. Это приведет к появлению игровых клиентов для этих систем, и, как следствие, появлению вредоносных программ.

Kaspersky Security Bulletin 2008        Основная статистика за 2008 г.