Все новости от 6 апреля 2006 г.

Symantec поделилась разведданными за полгода

Информацию о поведении вредоносных программ крупнейший разработчик антивирусного ПО собирает с помощью сети Symantec Global Intelligence Network, в которую входят службы Managed Security Services и DeepSight Threat Management System, а также Symantec Probe Network - система, содержащая свыше 2 млн учетных записей-приманок, которая собирает сообщения электронной почты из 20 стран в разных регионах, позволяя Symantec измерять степень активности спамеров и фишеров во всем мире.

По данным антивирусной компании, число вредоносных программ, способных выведывать конфиденциальную информацию, увеличилось с 74% до 80%. Главным образом это произошло за счет увеличения числа сообщений о вариантах Mytob, позволяющего злоумышленникам регистрировать нажатие клавиш, красть пароли из буфера и загружать файлы из взломанного компьютера.

Symantec зафиксировала также рост числа модульных вредоносных программ, которые составляют уже 88% среди 50 наиболее активных образцов вредоносного кода. Модульный вредоносный код компания Symantec считает особенно опасным, поскольку он позволяет с течением времени загружать дополнительные, все более опасные модули. Именно такие программы чаще всего выведывают информацию, которая затем используется в целях «кражи личности», мошенничества с кредитными картами или для другой преступной финансовой деятельности.

Наиболее широко распространенным типом атаки в регионе EMEA в период с 1 июля по 31 декабря 2005 года была атака Microsoft SQL Server 2000 Resolution Service Stack Overflow. Известная также под названием Slammer Worm, она выполнялась с 44% атакующих IP-адресов, находящихся в регионе EMEA. Эту атаку обычно связывают с тремя наиболее известными образцами вредоносного кода: Slammer, Gaobot и Spybot.

В данной атаке в качестве механизма передачи используется протокол UDP. И она способна нанести вред как системам Microsoft SQL Server, так и Microsoft Desktop Engine (MSDE). Причем, поскольку MSDE входит в состав программных продуктов от независимых поставщиков, то патчи необходимо устанавливать на каждый пораженный пакет ПО. Более того, каждый раз при установке уязвимого приложения уязвимость, использованная атакой, будет восстанавливаться.

На втором месте оказалась атака Generic Extra SYN in TCP Connection Event. Правда, она исходила уже всего лишь от 5% атакующих IP-адресов, находящихся в регионе EMEA. (При этом наиболее популярной среди атак, зафиксированных за последние шесть месяцев 2005 года датчиками, установленными в учреждениях финансового сектора, была именно TCP атака типа Generic Extra SYN in TCP Connection Event. Она осуществлялась с 23% атакующих IP-адресов.)

Третьей наиболее распространенной атакой, зарегистрированной датчиками, размещенными в регионе EMEA, в период с 1 июля по 31 декабря 2005 года была атака типа Possible Incoming Malicious Attachment Event (вероятное поступление вредоносного вложения). Обнаружение данной атаки служит признаком возможности пересылки подозрительных почтовых вложений, что может быть связано с вирусом или червем, распространяемым посредством массовых рассылок e-mail.

Cтраной происхождения наибольшего числа атак в регионе EMEA была Великобритания, откуда исходил 31% всех атак. По данным Symantec именно там расположено наибольше количество бот-зараженных ПК.

Первая десятка бот-инфицированных стран

Позиция	Страна	Доля ботов по региону	Доля ботов в общемировом количестве
1	Великобритания	49%	22%
2	Франция	10%	4%
3	Испания	6%	3%
4	Германия	6%	3%
5	Польша	3%	1%
6	Италия	3%	1%
7	Португалия	2%	1%
8	Россия	2%	1%
9	Швеция	2%	1%
10	Индия	2%	1%

Соединенные Штаты среди атакующих заняли второе место с 21% атак. Связано это, скорее всего, с наибольшим числом интернет-пользователей в этой стране.

Страны, лидирующие по числу исходящих атак

Текущая позиция	Позиция в январе–июне 2005 г.	Страна	Процентная доля атак
1	1	Великобритания	31%
2	2	США	21%
3	6	Норвегия	6%
4	5	Италия	4%
5	Не оценивалась	Испания	4%
6	7	Франция	4%
7	4	Германия	3%
8	Не оценивалась	Китай	3%
9	9	Швеция	2%
10	Не оценивалась	Польша	2%

Наиболее часто регистрируемым образцом вредоносного кода как во всем мире, так и в регионе EMEA за отчетный период был Sober.X. Это червь, осуществляющий массовые рассылки e-mail с применением приемов социальной инженерии в целях убеждения пользователя открыть вложенный файл.

Вторым по частоте встречаемости в регионе EMEA образцом вредоносного кода во второй половине 2005 года был Netsky.P. Этот червь, инициирующий массовые рассылки e-mail, является разновидностью Netsky, который рассылается в форме архивированного файла с расширением .ZIP, что позволяет ему обойти системы фильтрации.

Третьим по частоте регистрации образцом вредоносного кода в регионе EMEA в течение отчетного периода был Spybot. Это разновидность бота, позволяющего злоумышленнику дистанционно управлять инфицированным компьютером.

Вредоносные коды

Позиция	Образец
1	Sober.X
2	Netsky.P
3	Spybot
4	Tooso.L
5	Jeefo
6	Gaobot
7	Fugif
8	Mytob.EE
9	Phel
10	Redlof.A

Наибольшее количество спама 56% сыпалось в течение шести месяцев из Соединенных Штатов. Однако Symantec прогнозирует, что по мере ускорения технологического прогресса в менее развитых странах все больше ненужных писем начнет поступать оттуда и похоже, это предсказание начинает сбываться.

Страны, входящие в первую десятку по объему исходящего спама

Страна	январь - июнь 2005 г.	июль – декабрь 2005 г.
Соединенные Штаты	51%	56%
Китай	5%	12%
Южная Корея	14%	9%
Канада	7%	7%
Бельгия	3%	4%
Великобритания	2%	3%
Япония	2%	3%
Франция	2%	2%
Остальные страны Европейского Союза	n/a	2%
Испания	В продолжение темы: 2006-07-18     Писатели вирусов используют методы open source 2006-09-04     Два года спустя Netsky-P все еще возглавляет рейтинг самых опасных вирусов   ← март 2006 2  3  4  5  6  7  10  11  12 май 2006 →