"Лаборатория Касперского" подвела итоги развития вредоносных, рекламных и потенциально опасных программ за 2007
год. Вот какие итоги смогли сделать специалисты антивирусной компании.
2007 год останется в истории как год смерти «некоммерческих» вредоносных
программ. Окончательная это смерть или нет — покажет будущее. Мы же пока можем
только констатировать, что в этом году не было ни одной заметной эпидемии или
распространенной вредоносной программы «нефинансового» характера. В 2006 году
«хулиганские» вирусы все-таки еще появлялись — можно вспомнить эпидемию червя
Nyxem.E, который ничего, кроме самораспространения и удаления файлов, не делал.
Эпидемии в 2007 году были. Почти все — кратковременные, и затрагивали они не
весь мировой Интернет, а только отдельные регионы и страны. Такой принцип
организации эпидемий фактически уже стал стандартом.
Несомненно, в ряду новых вредоносных программ прошедшего года особняком стоит
«штормовой червь» (Zhelatin по классификации «Лаборатории Касперского»), впервые
появившийся в январе 2007 года. В течение года он продемонстрировал такой спектр
поведений, методов взаимодействия между своими компонентами, путей
распространения и используемых приемов социальной инженерии, что антивирусные
эксперты не переставали удивляться изобретательности неизвестных авторов.
В Zhelatin оказались реализованы практически все достижения
вирусописательской мысли последних лет, и многие из них ранее существовали лишь
в виде концептуальных идей. Тут и руткит-технологии, и замусоривание кода, и
ботнеты, защищающие себя от анализа и исследования, и взаимодействие между
зараженными компьютерами через P2P-сети — без единого управляющего центра. Для
распространения червь использовал все существующие возможности: как традиционные
(электронная почта, системы мгновенного обмена сообщениями), так и сервисы эпохи
Web 2.0 (распространение через социальные сети: блоги, форумы, RSS). Кроме того,
злоумышленники использовали растущий интерес пользователей к видео-сервисам и
распространяли Zhelatin под видом видео-файлов.
Важно отметить, что основная направленность общего функционала Storm Worm —
это создание сетей для последующей организации спам-рассылок и проведения
DoS-атак. Какие изменения произошли в спаме в 2007 году, мы рассмотрим в
отдельном отчете. Что же касается DoS-атак, то они стали одной из ключевых тем
информационной безопасности всего 2007 года.
DoS-атаки после активного применения их в 2002-2003 годах больше не
пользовались особой популярностью у киберпреступников — вплоть до 2007 года. В
этом году они вернулись, причем не столько как инструмент для вымогания денег у
жертв, сколько как средство политической и конкурентной борьбы. История об атаке
на эстонские сайты в мае 2007 года широко освещалась в средствах массовой
информации и многими экспертами расценивается как первый случай кибервойны.
Очевидно, что за целым рядом DoS-атак 2007 года стоят бизнес-конкуренты жертв.
Если четыре года назад DoS-атаки были орудием в руках исключительно
хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как
спам-рассылки или создание на заказ вредоносных программ. Реклама услуг DoS-атак
стала обычным явлением, а цены уже сопоставимы с ценой организации спам-рассылки.
Киберпреступный бизнес в 2007 году явил миру несколько новых видов
криминальной деятельности. Активно развивалась отрасль создания вредоносных
программ на заказ с оказанием технической поддержки заказчикам. Самый, наверное,
яркий пример такого рода бизнеса — история троянской программы-шпиона Pinch. Его
авторы за несколько лет создали более 4000 вариантов этой вредоносной программы,
большинство которых были выполнены именно по заказу других злоумышленников. Эта
история, судя по всему, закончилась в декабре 2007 года, когда руководитель
российской Федеральной службы безопасности объявил об установлении личностей
авторов Pinch.
Еще одним подобным примером стал вирус-червь Fujack. Китайский зловред,
созданный с целью кражи данных пользователей онлайн-игр, продавался его автором
всем желающим и разошелся по миру в виде нескольких сотен вариантов. Заработать
на этом автору удалось около 12 000 долларов США — именно такая сумма была
озвучена китайской полицией, арестовавшей в итоге и автора, и нескольких его
клиентов.
Fujack оказался одним из ярких представителей доминировавшего в 2007 году по
численности семейства троянских программ — «игровых» троянцев. Напомним, что в
2006 году превалировали всевозможные Bankers — троянские программы,
ориентированные на кражу данных от банковских аккаунтов, и мы прогнозировали,
что в 2007 году «игровые» троянцы и Bankers по числу новых программ будут
конкурировать между собой.
По итогам года «игровые» троянцы одержали безоговорочную победу: их число
значительно превысило показатели Bankers. Здесь важно отметить, что пока прямой
конкуренции между этими двумя семействами троянских программ нет — их целевые
аудитории не пересекаются. Это подтверждает и тот факт, что нам пока неизвестны
игровые троянцы, умеющие воровать банковские аккаунты. Хотя теоретически в
создании такого «гибрида» нет ничего сложного, в реальности, вероятно, такое
сочетание функций не является необходимым и интересным для вирусописателей.
Яркие события 2007 года — массовые взломы сайтов с последующим размещением на
них вредоносных программ или ссылок на зараженные сайты. Одним из таких событий
стал взлом в июне около 10 000 итальянских сайтов, на которых затем был размещен
набор эксплоитов Mpack. В течение года такие же взломы происходили по всему
миру, а самый массовый был зафиксирован в конце года, когда более чем на 70 000
сайтов в разных странах мира был обнаружен вредоносный код, устанавливающий на
компьютеры жертв очередного «игрового» троянца.
Инцидент в Италии привлек внимание еще к одному виду бизнеса
киберпреступников: в ходе расследования выяснилось, что вредоносные программы
были расположены на сайтах Russian Business Network (RBN). Детальный анализ
выявил, что RBN использовалась как площадка для распространения вредоносных
программ в десятках, а то и сотнях случаев. Фактически речь шла о «bulletproof»-хостинге,
владельцы которого гарантировали заказчикам анонимность, защиту от юридического
преследования и отсутствие лог-файлов.
Вокруг RBN поднялась массовая шумиха, которая длилась на протяжении всего
лета и начала осени 2007 года, пока в итоге RBN не ушла в тень, раздробившись на
несколько хостинг-площадок в разных странах мира и тем самым размыв реальные
масштабы своей деятельности.
Такими были основные события 2007 года, который в итоге оказался самым
«вирусным» за всю историю. Если вы хотите ознакомиться с отчетом целиком, то вы
можете его
прочитать на сайте компании.
