"Лаборатория Касперского": Эволюция вредоносных сайтов в январе – июне 2007 года

Это первый из серии отчетов «Лаборатории Касперского», в котором отслеживается эволюция вредоносных сайтов и вредоносных программ, распространяемых через Интернет.

В последние годы способ распространения вредоносных программ изменился от заражения компьютера через сменные носители информации до пересылки вредоносного ПО по электронной почте, прямых сетевых атак и, наконец, распространения вредоносных программ через сайты.

Увеличению количества вредоносных программ в сети способствуют несколько факторов:

– достаточно большое количество уязвимостей в Microsoft Internet Explorer, выявленных в 2003-2006 годах;

– определенная конструктивная несовместимость большинства антивирусов со способами доступа к веб-сайтам через Интернет;

- распространение (среди системных администраторов) практики полного блокирования исполняемых вложений в почтовых сообщениях;

Под воздействием этих факторов злоумышленники стали все более переходить от прямой рассылки вредоносных программ на почтовые ящики к размещению этих программ на веб-серверах.

Два метода проникновения вредоносных программ с веб-серверов на компьютер пользователя: хитростью побудить пользователя самого запустить ссылку (социальная инженерия) или использовать уязвимости его браузера. Причем зачастую эти методы используются в комбинации.

В отчете приводится несколько примеров работы злоумышленников, а также – "Горячая двадцатка" вредоносных программ, распространяемых через интернет-сайты (по состоянию на I полугодие 2007 года). Три верхних позиции в этом списке занимают:

  Trojan-Downloader.Win32.Small.on – 11%
  Trojan-Downloader.Win32.Zlob.bbr – 6%
  Trojan-Downloader.Win32.Zlob.bjt - 4%
  

Указанные проценты означают долю среди "плохих" сайтов, на которых обнаружен данный эксплойт. Для того, чтобы набрать такую статистику, "Лаборатория Касперского" разработала систему проверки веб-сайтов на наличие вредоносных программ, получившую название "Akross". С начала своей работы Akross выявила более 53 000 сайтов, содержащих вредоносные программы, из них более 28 000 – в первом полугодии 2007 года.

В отчете дана характеристика некоторых из этих вредоносных программ, и рассмотрены тенденции их эволюции. В качестве итога: большинство вредоносных программ, распространявшихся через интернет-сайты в первом полугодии 2007 года, можно разделить на четыре категории: программы, которые выдаются за видео- и DVD-плееры и кодеки и устанавливаются с помощью социальной инженерии (Zlob etc.), троянские программы, поражающие системы электронного банкинга, вредоносные программы, "нацеленные" на виртуальные игры, и так называемые "пограничные" программы, которые облегчают доступ к "взрослым" сайтам.

Благодаря геопривязке IP-адресов (сайтов), результаты полученные системой Akross можно проинтерпретировать как рейтинг стран, откуда исходит наибольшая (по числу сайтов) угроза распространения вредоносные программы через Интернет. Понятно, что речь идет о физическом расположении серверов, на которых хостятся сайты, а не – напрямую - о гражданстве злоумышленников.

В "Ведущей двадцатке стран - источников вредоносных программ" верхние пять позиций занимают:

  Китай - 31,44%
  США - 25,90%
  Россия - 11,05%
  Бразилия - 4,40%
  Южная Корея - 3,64%

- проценты снова обозначают долю "плохих" сайтов в общем их количестве, обнаруженном системой Akross.

Китай и США – два лидера по количеству вредоносных сайтов. Несмотря на все усилия властей этих двух стран, они по-прежнему остаются бесспорными победителями в этом сомнительном рейтинге. И если в США в течение 48 часов вредоносный сайт чаще всего удается закрыть, то в Китае это невозможно.

Хоститься вредоносные страницы могут как на взломанных сайтах, так и на так называемом "пуленепробиваемом хостинге", а также - у законопослушных хостинг-провайдеров, где хостинг обычно покупается на деньги с украденных банковских карт, либо же используются сервисы бесплатного хостинга.

Сейчас для авторов вредоносных программ веб-сайт, без сомнения, является предпочтительным способом распространения их творений, и использование этого метода, похоже, достигло пика в мае 2007 года, - резюмируют в "Лаборатории Касперского". С тех пор количество новых вредоносных программ пошло на убыль. И хотя это хорошая новость, каждый день все равно появляется много новых зараженных сайтов, а социальная инженерия и эксплойты, используемые для того, чтобы заманить пользователей, становятся все более сложными.

"Лаборатория Касперского" предлагает пользователям следует поддерживать свои операционные системы на современном уровне, переходить от Internet Explorer 6 к другим браузерам, таким как Firefox, IE7 и Opera, которые лучше защищены. И, наконец, очень важно использовать антивирусные продукты, способные контролировать веб-трафик, поскольку большая часть вредоносных программ распространяется сейчас через веб-сайты.