Q1 2012 v číslech
- Podle KSN údajů společnosti Kaspersky Lab zjištěn a neutralizovat téměř 1 miliardy škodlivé objekty v 1. čtvrtletí 2012. To je 28 procentních bodů více než v předchozím čtvrtletí.
- Online pokusy o proniknutí malware tvořily 50% všech útoků. To je až o 10 procentních bodů ve srovnání s předchozím čtvrtletí.
- 95,080,549 URL sloužící škodlivého kódu byla zjištěna, což je 61 procentních bodů více než ve 4. čtvrtletí 2011.
Přehled
Botnety reloaded
Dnes, botnety jsou jednou z hlavních technologií používaných zločinci. Botnet technologie se vyvíjí několik let, což vede k decentralizované botnetů a botnety řízených prostřednictvím sociálních sítí, s automatickým stahováním z webu stávají hlavní způsob infekce. V tomto ohledu 2011 byl poměrně jednotvárný rok a útočníci přišli s ničím radikálně novým. Ale všechno se změnilo na počátku roku 2012.
V 1. čtvrtletí 2012, zločinci vytvořil botnet pomocí A 'fileless Hasičské bot poprvé. Bezpečnostní výzkumníci objevili mobilní botnet, který byl co do velikosti srovnatelný s typickými botnetů Windows, stejně jako botnet více než půl milionu počítačů Apple se systémem Mac OSX.
Neviditelná bot
V 1. čtvrtletí roku 2012, jsme objevili botnet vytvořený pomocí nové technologie: používá botmaster A 'fileless Hasičské bot. Tento malware patří k velmi vzácné plemeno škodlivých programů, které existují pouze v paměti počítače.
Problém se projevil v anomálií na infikovaných počítačů: začali posílat síťové požadavky třetích stran zdrojů poté, co navštívil některé populární ruské webové stránky, pak v některých případech šifrované soubory se objevil na svých pevných discích. Ve stejné době, žádné nové spustitelné soubory se objevil na pevných discích. Další analýza pomohla identifikovat celý řetězec účastní infikování počítače a vytvoření botnet, což bylo zdaleka triviální.
V první fázi byl počítač napaden přes drive-by útok pomocí exploitu Java pro CVE-2011-3544 zranitelnosti. Odkaz, který přesměruje uživatele na webu, který obsahuje exploit, byl zaveden v náhledem reklama na zpravodajských stránkách. Teaser inzerát byl distribuován prostřednictvím AdFox, ruský banner sítě.
Po úspěšném zneužití této chyby, exploit injekčně škodlivý DLL se přímo do paměti procesu Java namísto stahování škodlivého souboru na pevném disku. Poté, co byl úspěšně aplikován a spuštěn, malware jednal jménem procesu Java, shromažďování informací o místech navštívených tímto uživatelem. Pokud tato banka součástí souvisejících zdrojů, pak číhá Trojan, který se zaměřuje Internetové bankovnictví uživatelů pověření, byl instalován v počítači.
Díky odborné akce odborníky společnosti Kaspersky Lab a AdFox zaměstnanců a badatel, který se rozhodl zůstat v anonymitě, byla infekce snižují.
Ačkoli škodlivý proces zůstal v paměti pouze do operační systém byl restartován, infekce se rozšířila prostřednictvím webových stránek. Mezi zločinci byli schopni infikovat počítače každý den, a tím lze zachovat bot populaci. Za zmínku stojí, že prakticky žádné stopy po infekci, nebo sběru dat zůstala na pevný disk počítače poté, co operační systém byl restartován.
V tomto incidentu, dva známé technologie - využívání zranitelnosti a injekce do legitimní proces bez uložení souboru na pevném disku - byly spojeny do jednoho kusu nebezpečného malwaru. Vždy, když se používá "fileless" bot, je velmi obtížné určit počítače, které tvoří botnet, protože žádné nové spustitelné soubory se objeví na pevném disku a zločinci plnit všechny své činnosti ve prospěch Javy, což je legitimní proces . I když opravy jsou účinné proti této a podobných hrozeb, někteří uživatelé nepodaří opravit své systémy včas. To znamená, že se ještě může narazit na podobné malware v budoucnosti, i když ne v masovém měřítku: to je přece spíše sofistikované.
Mobilní Botnet
V naší 3. čtvrtletí 2011 zprávu, jsme se zmínili, že malware se vývojáři pro mobilní zařízení Android OS vybral jako svou platformu výběru. V 1. čtvrtletí roku 2012 jsme zjistili více než 5,000 (5444) škodlivé programy pro platformu. Celkový počet škodlivých programů zaměřených na Android zvýšil devateronásobný v posledních šesti měsících.
Počet škodlivých změn na Android OS
Malware spisovatelé z Číny a Ruska ukazují největší zájem o škodlivých programů pro Android. Čínští autoři malware se podařilo vytvořit botnet s 10.000 až 30.000 aktivních zařízení a celkový počet nakažených smartphonů je ve stovkách tisíců.
Botnet byl vytvořen pomocí backdoor RootSmart, která má rozsáhlou funkcionalitu týkající se dálkové ovládání Android telefony a tablety. RootSmart je distribuován pomocí osvědčené metody: malware se autoři opět nabitý program a legitimní nahrál ji na stránkách neoficiální obchodu aplikace pro Android, který je velmi populární v Číně. Jako výsledek, lidé, kteří stáhli program jim pomůže nastavit své telefony také přijal zadní vrátka, která dělala jejich zařízení součástí botnetu.
Rozsah infekce RootSmart znamená, že útočníci byli schopni profitovat z mobilních telefonů botnetu. Oni si vybrali nejoblíbenější metody používané mobilní zločinci: Odesílání placené SMS zprávy na prémiová čísla. Ale proč získat plnou kontrolu nad zařízením, pokud bota je hlavní funkcí je odesílání Premium SMS zprávy? Je to jednoduché: plná kontrola umožňuje útočníkovi skrýt přítomnost malwaru na telefonu po delší dobu, nechal jim sifon peníze z každého uživatelského účtu po delší dobu.
Důležité poučení lze vyvodit z příběhu prvního velkého botnetu složeného z mobilních zařízení.
Za prvé, protože aktualizace mobilními operačními systémy nejsou uvolněny velmi často, mohou útočníci vést pomocí stejných využije několik měsíců, protože bude fungovat na většině zařízení.
Za druhé, protože instalaci antivirového softwaru na mobilní zařízení se nestal běžnou praxí, mnoho lidí používá svá zařízení i bez podezření, že se již dlouho napaden, což botmasters, aby zařízení, které mají k dispozici.
Zatím se situace příliš nezměnila, a je velmi pravděpodobné, že budeme slyšet mnohem větší než mobilní botnetů RootSmart v letošním roce.
Mac botnet
Další botnet, že přitahuje pozornost odborníků v 1. čtvrtletí byl zombie síť postavenou počítačů Mac OS X.
Společnost Kaspersky Lab detekuje Trojana použitých k vybudování botnet jako Trojan-Downloader.OSX.Flashfake. Jsme zveřejnili analýzu tohoto malwaru v loňském roce , stejně jako tento rok .
První verze se objevila loni na podzim Flashfake. Vývojáři malware podnikla kroky k zajištění jeho přítomnost bylo těžší zjistit (oni se o to, že Trojan nebyl nainstalován na počítačích s nainstalovanou ochranu, naprogramované roboty zakázat aktualizace na vestavěnou ochranou systému Mac OS X XProtect atd. ). Později jsme viděli, že počítačoví zločinci se experimentovat s novými způsoby ovládající botnetů. Například některé Flashfake verze používá Twitter účty vytvořené na zločinci jako velitelské serverů.
Bota hlavním cílem je stáhnout a spustit další moduly bez vědomí uživatele. Útočníci z peněz, které vytváří falešné vyhledavač výsledky: přídavný modul byl navržen jako náhrada odkazy ve výsledcích populárních vyhledávacích dotazů. Útočníci mohou samozřejmě použít i jiné moduly, a také např. krást data z infikovaných počítačů.
V březnu 2012, Flashback napaden asi 700.000 počítačů po celém světě.
Zeměpisné rozložení počítačů infekce Trojan-Downloader.OSX.FlashFake a
Kaspersky Lab dat, Q1 2012
Útočníci použili exploit Java distribuovat malware. Důležité je, že může Oracle neaktualizuje Java na počítačích Mac OS X automaticky. Uživatelé mají čekat na Apple vydat aktualizaci, která někdy trvá i několik měsíců. V důsledku toho se doba po kterou útočníci mohou použít exploit nakazit Macintoshe je výrazně delší než v případě Windows. Apple vydal záplatu pouze uzavřela chybu zabezpečení, která byla zneužita k šíření Ohlédnutí na začátku dubna, i když Oracle z vlastní Oprava již v únoru.
Počet útoků na Mac OS X strojů založených na využití zero-day zranitelnosti je nastaven na růst.Nejzranitelnějších aplikací, které jsou populární mezi zločinci jsou cross-platformní, tj. pracovat jak pod Windows a pod Mac OS X. To usnadňuje vytváření využije pro Mac OS X jednodušší.
Rostoucí zájem o platformě Apple na straně zločinci potvrzuje Kaspersky Lab statistiky o odhalení nového škodlivého kódu zaměřená verze Mac OS X:
Počet nových malware záznamů na platformě Mac OS X přidán do antivirové databáze společnosti Kaspersky Lab
Hlavním důvodem pro růst ve výši malware útoky Mac OS X je rostoucí popularita platformy mezi uživateli. Přestože se počet škodlivých programů pro Mac OS X je zatím výrazně menší než malware pro Windows, je zřejmé, že zločinci mají vážný zájem na platformě Mac. To znamená, že uživatelé by měli dbát na to dodržovat základní bezpečnostní pravidla.
V tomto čtvrtletí, příběh malware Mac nekončí s masovými infekcemi. Objevili jsme instancí malware na platformě využíván při cílených útoků - jiný typ útoku, který hraje významnou roli v dnešním cybercriminal ekosystému.
Cílené útoky
Bohužel, počet uživatelů, které jsou obětmi cílených útoků stále roste. Zatímco společnosti jsou nyní brát vážně problém, je to výzva zločinci vyvíjet nové způsoby útoku.
"Dobrý den".
Mac OS X + APT (Advanced trvalé ohrožení)
Mnozí uživatelé Mac OS X platformy stále považují to za naprosto bezpečné, a to především proto, že Apple je ujistil, po mnoho let, že systém je bezpečnější než PC. Nicméně, nedávná analýza proti tomuto tvrzení. Nachází velký počet uživatelů Mac v podnikovém prostředí, stejně jako ve státních organizacích.Každý den pracují se spoustou důležitých dokumentů a ve většině případů jsou jejich počítače nejsou chráněny antivirové řešení.
Cílené útoky na organizace, by měla sloužit jako buzení pro tyto uživatele. Počítačoví zločinci se pokusí získat přístup k tajným dokumentaci současně pomocí dvou trojské koně - jeden pro Mac a pro Windows další. Vhodné škodlivý program je načten do cílové počítače v závislosti na operačním systému běží.Oba Mac a Windows malware přijímat příkazy od stejného C & C serverem.
Ve snaze proniknout do systému na prvním místě, se používá exploit na CVE-2011-3544 zranitelnosti v Javě. To funguje stejně dobře na Mac OS X platformě jako na Windows. Úspěšný útok viděl, Mac OS X systémy napadeny Backdoor.OSX.Lasyr. Tato zadní vrátka umožňují zločinci získat kontrolu nad infikovaný počítač a získat přístup ke všem informacím v počítači. To byl zjištěn v polovině března 2012.
To nebyl jediný případ cílených útoků škodlivého kódu pomocí Mac v prvním čtvrtletí roku 2012. Druhý případ se týkal pouze zadní vrátka pro Mac OS X - Backdoor.OSX.MaControl. Exploit byl také použit k provedení počáteční infekci, ale tentokrát zaměřila na zabezpečení v sadě Microsoft Office, která je oblíbená na všech platformách. Způsob přenosu exploit byl zcela konvenční - to přišlo v e-mailu. Nakazit se zaměstnancem počítač s backdoor,. Doc soubor připojen ke zprávě prostě bylo třeba otevřít příjemce.
Malware pro cílené útoky na platformách Mac OS X samozřejmě není těžké zločinci rozvíjet s ohledem na rychlost, s jakou se objevují programy. Nedostatek zájmu svědčí mnohé uživatele Mac na rizika, spojená s nepřítomností anti-malware řešení na svých počítačích, aby Macintosh nejslabším článkem organizace bezpečnostního systému.
Duqu je zpět
Po čtyřměsíční přestávce autoři Duqu dostal zpátky do práce: v březnu byl nový ovladač zjištěn ve volné přírodě, který byl téměř totožný s předchozími Duqu řidičů. Tyto starší ovladače byly vytvořeny dne 3. listopadu 2010 a 17. října 2011, zatímco nejnovější ovladač se datuje do 23. února 2012.
Funkčnost nového ovladače je v souladu s předchozích verzí. Kód obsahuje pouze drobné úpravy, které byly provedeny se vyhnout detekci antivirových programů. Hlavní Duqu modul spojené s řidičem nebyl zjištěn.
Náš předpoklad, že to nebude tak snadné vypnout nákladné projekty, jako například Duqu a Stuxnet se ukáže být správné. Místo toho útočníci udělali to, co vždycky - upravila svůj kód se vyhnout detekci a udržoval se svými útoky.
S pomocí mezinárodního společenství vývojářů a výzkumníků, podařilo se nám zjistit, že Duqu Framework byl napsán v OO C. Tento přístup by byl typický pro vývojáře "staré školy" programování pracoval na závažných projektech, ale to je téměř nikdy použitý v dnešních škodlivých programů. To je ještě více důkazů, že Duqu, spolu s Stuxnet, je jedinečný vývoj, který vyčnívá z jiného malwaru.
S méně než 50 obětí na celém světě, Duqu zůstává nejzáhadnější Trojan vůbec detekován. Skutečnost, že jeho cíle jsou založeny v Íránu navrhne jeho autoři mají jednoznačný plán pro provádění trvalých útoků. Trojan je sofistikované a vícevrstvých ochranná opatření, zdůraznit, jak důležité je pro tento projekt zůstat bez povšimnutí. Je docela možné, že v budoucnu Tilded platforma podstoupí další rozvoj, aby se technologie, které masky a zatemňuje kód ještě složitější.
Válka proti počítačové kriminalitě
Kromě nového škodlivého kódu a hlavní hacků v které jsme psali zde a zde), v prvním čtvrtletí roku 2012 byl také nezapomenutelný pro úspěšné společné akce antivirových společností a orgánů činných v trestním řízení. Tato partnerství převzal kontrolu nad v Hlux odst. Kelihos) botnet, se stanoví pro správu centra několika Zeus botnetů a zatkla gang ruských zločinci.
Hlux.b - 2,0 převzetí
Na konci března 2012, Kaspersky Lab, ve spolupráci s CrowdStrike týmu Intelligence, Dell SecureWorks a projekt Honeynet, vzal kontrolu nad peer-to-peer Hlux botnet založena na druhou variantu bot Hlux.b. V době operace botnet zahrnoval více než 110.000 boty.
Rozdělení počítačů infikovaných bot Hlux.b (podle společnosti Kaspersky Lab, Q1 2012)
Toto je druhá verze Hlux.b, která byla zjištěna na podzim 2011 několik týdnů po prvním Hlux botnet byl sundán. Na jaře 2012 zálohy bot objevila mnohem rychleji: třetí verze bota - Hlux.с - byla zjištěna několik dní poté, co botnet byl převzat. Všechny nové robotické sítě upravil způsob jejich roboty sděleny spolu navzájem.
Pokud jde o ziskovost, Hlux je model botnet pro zločinci. Jeho hostitelé jsou zapojeny do prakticky všech typů počítačové kriminality: po načtení různé moduly bot je schopen šířit spam, DDoS útoků podílet se a krást kriticky důležité informace z počítačů. Botnet hostitelé se nevzdá své cash krávu bez boje, a dokud tyto zločinci jsou zachyceny nové verze bota se objeví pokaždé, kdy je převzal.
Jak efektivní je převzít kontrolu nad botnet? Z našeho pohledu je tato metoda je vhodné použít. Nejprve jsme zakázat roboty, které jsou již nainstalovány, a tím snížit počet nakažených počítačů aktivně. Za druhé, aby se život zločinci mnohem obtížnější - musí upravit kód a distribuovat malware znovu, což je nákladné podnikání. Další převzetí operace i nadále možné, pokud závažné změny jsou zavedeny do botnet architektury.
Zatčení zločinci v Rusku
Během posledních tří let Rusko vidí aktivní vytváření trojských koní zaměřených na uživatele on-line bankovních systémů.
Zjištěné škodlivé programy zaměřené na krádeže dat z on-line bankovních systémů
V Evropě a Brazílii zločinci používají převážně bankovní trojské koně, aby provedla útoky na domácí uživatele. Charakteristickým rysem počítačovým pirátům v Rusku je to, že aktivně rozvíjet malware, jehož cílem je krást peníze z účtů ruských podniků tím, že manipuluje systémů internetového bankovnictví na počítačích účetní ". Trojan-Spy.Win32.Carberp je jedním z nejznámějších příkladů tohoto typu Trojan.
Dne 20. března, odbor К Ministerstva Ruska vnitra oznámil zatčení několika členů hlavní gangu, který používal předem zakoupenou verzi Carberp Trojan vytvořit botnet. Několik tzv. mul - lidé, kteří stáhl ukradené peníze - byl také zatčen. Podezřelí jsou přesvědčeni, že ukradl více než US $ 2 miliony. Velký počet infikovaných počítačů bylo třeba ukrást tak velkou částku. Carberp byla distribuována přes drive-by útok: kyberzločinci zaslali odkazy na nebezpečné zdrojů na internetových stránkách známých ruských organizací, sdělovacích prostředků a státních služeb.
Toto oznámení bylo velmi vítané, zejména v Rusku, kde jsou zločinci málokdy zatčen. Ve většině případů se zastaví vyzve další zločinci omezí své aktivity na chvíli. Bohužel, autoři trojského koně Carberp stále na svobodě a je stále v prodeji na specializovaných fórech a jsou distribuovány prostřednictvím hacknutých webových stránek. Přesto doufáme, že autoři Carberp nakonec čelit spravedlnosti.
Statistika
Zde se bude jednat o statistiky získané z práce různých anti-malware komponent. Zpráva vychází z dat shromážděných v síti Kaspersky Security. Statistiky byly získány od těch uživatelů, kteří souhlasili KSN podělit se o své lokální data. Miliony uživatelů produkty společnosti Kaspersky Lab ve více než 200 zemí podílet se na globální výměny informací o nebezpečné činnosti.
Hrozby na internetu
Statistiky v této části jsou založeny na webové antivirového řešení, které chrání uživatele, jakmile škodlivého kódu je přenesen z infikované webové stránky. Infekce lze nalézt na webových stránkách, kde jsou uživatelé smějí vytvářet vlastní obsah (např. fóra) a dokonce i na legitimní stránky, které byly následně k ohrožení hackery.
Škodlivé programy na internetu (útoky prostřednictvím internetu)
V prvním čtvrtletí roku 2012, 481,411,722 byly neutralizovány útoky z webových zdrojů umístěných v různých zemích. 95,331 unikátní modifikace škodlivých a potenciálně nežádoucích programů, byly zjištěny v těchto incidentů.
Top 20 škodlivých programů na internetu
| Hodnost | Jméno * | % Ze všech útoků ** |
| 1 | Škodlivý URL | 84,3% |
| 2 | Trojan.Script.Iframer | 4,8% |
| 3 | Trojan.Script.Generic | 2,2% |
| 4 | Trojan-Downloader.Script.Generic | 0,5% |
| 5 | Trojan.Win32.Generic | 0,4% |
| 6 | Trojan.JS.Popupper.aw | 0,2% |
| 7 | Trojan-Spy.JS.Agent.c | 0,2% |
| 8 | Trojan-Downloader.JS.Agent.gmf | 0,2% |
| 9 | Trojan-Downloader.Win32.Agent.gyai | 0,2% |
| 10 | AdWare.Win32.Screensaver.e | 0,1% |
| 11 | Trojan-Downloader.JS.Agent.gmr | 0,1% |
| 12 | Trojan-Downloader.JS.JScript.ag | 0,1% |
| 13 | Trojan-Downloader.MSIL.Small.eq | 0,1% |
| 14 | Hoax.Win32.ArchSMS.gen | 0,1% |
| 15 | Trojan-Downloader.JS.Agent.gnk | 0,1% |
| 16 | Exploit.Script.Generic | 0,1% |
| 17 | Packed.Win32.PasswordProtectedEXE.gen | 0,1% |
| 18 | AdWare.Win32.Screensaver.i | 0,1% |
| 19 | Trojan.JS.Redirector.ue | 0,1% |
| 20 | AdWare.Win32.Shopper.lq | 0,1% |
* Tyto statistiky představují detekce rozsudky z webového modulu antivirem a předložily uživateli produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
** Celkový počet jedinečných případů evidovaných webové antivirem na počítačích uživatelů.
První v hodnocení jsou různé škodlivé URL (jsme již dříve detekována jako Blokováno), které jsou již na naší černé listině. Ve srovnání s předchozím čtvrtletím se jednalo o 2 procentní body na 84% všech zjištěných problémů. Tento seznam je v zásadě naplněn webových stránek, které uživatelé přesměrováni na. Typicky uživatelům dostat do těchto míst, z legitimních zdrojů hacknutých s vloženými škodlivých skriptů (tzv. drive-by útok). Nicméně, mohou uživatelé kliknout na nebezpečné odkazy všechno sami, například při hledání pirátského softwaru. V současné době, i když hlavní zárukou úspěšného internetového útoku je použití exploitů zaměřených neopravených software: významný podíl škodlivých URL odhalení stále pochází z internetových stránek týkajících se využití balení.
12 programů v Top 20 zranitelností softwaru využívají a jsou využívána k doručování malware do počítačů uživatelů.
Pouze tři kusy reklamní malware - nebo adware - dělal to do Top 20 v prvním čtvrtletí roku 2012. Jejich úkol je jednoduchý - po instalaci v počítači (zpravidla v masce balení prohlížeče expanze), ukazují reklamy. Výše adware je znatelně nižší než v předchozím čtvrtletí, kdy třetina Top 20 byl v této kategorii.To znamená, že útočníci přešli opět více škodlivých a výnosnější druhy malware.
Zranitelných aplikací zaměřených uživatelů se zlými úmysly
Vzhledem k tomu, že většina útoků na internetu jsou prováděny s exploity které se zaměřují na zranitelnosti v softwaru k porušení bezpečnosti a spustit škodlivý kód bez vědomí uživatele, to je logické se ptát, které programy jsou obvykle zaměřeny využije. Důrazně se doporučuje aktualizovat tyto programy v prvním stupni, a následně nastavit automatické aktualizace v budoucnosti.
Aplikace s zranitelností, na něž on-line využije v prvním čtvrtletí roku 2012
Podle diagramu, 66% využití útoky zaměřují jen dva programy - Adobe Reader a Java.
Zhruba každý čtvrtý útoky na cíle Java zranitelnost CVE-2011-3544, který byl populární mezi zločinci za celé čtvrtletí: byla použita pro rozdělení Hlux bota, Trojan Carberp a 'fileless Hasičské bot.
Země, ve kterých jsou webové zdroje nasazený s malwarem
Aby bylo možné určit zeměpisný zdroj útoku, je název domény ve srovnání se skutečnou IP adresu, kde se nachází doména v otázce, a zeměpisná poloha IP adresy je určen (GeoIP).
V prvním čtvrtletí roku 2012 bylo 84% webových zdrojů používaných k distribuci malwaru soustředěna v 10 zemích - 7 procentních bodů vyšší než v předchozím čtvrtletí.
Země, kde byly nasazené webové zdroje s malware v prvním čtvrtletí roku 2012
Nová země vstoupila do Top 20 jako Kanada vyloučen Rumunsko 0,9%. USA, Nizozemí a Rusko i nadále vést tabulku. V posledních třech měsících podíl nebezpečných počítačů umístěných ve Velké Británii vzrostly 4,6 procentního bodu na 7%, což má za následek vznik dvou míst z 8. na 6. místě. Podíl ostatních zemí významně nezměnily, se všemi výkyvy v rozmezí od 1 procentní bod.
Země, kde mohou uživatelé spustit nejvážnější riziko infekce prostřednictvím internetu
Aby bylo možné posoudit riziko infekce počítače, které jsou vystaveny v dané zemi, jsme vypočítali frekvenci, při které antivirové programy na počítačích uživatelů Zjištěné hrozby pro každou zemi v posledním čtvrtletí.
20 zemí, kde mohou uživatelé spustit nejvážnější riziko infekce prostřednictvím internetu *
* Při výpočtu jsme vyřadili ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (menší než 10000).
** Procento unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb.
Asi polovina z top 20 se skládá z bývalých sovětských republik.
Země může být rozdělena do různých rizikových skupin.
- Vysoké riziko. S rizikem infekce z 41-60%, tato skupina se skládá z prvních 15 zemí z Top 20, včetně Ruska (58%), Ukrajiny (45,7%), Arménie (52,1%), Bělorusko (49%) , Kazachstánu (51,5%) a Indie (43,3%).
- Mírné riziko. 95 zemí mají riziko infekce o 21-40% včetně Itálie (38,9%), Turecko (36,8%), USA (31,9%), Brazílie (29,3%), Španělsku (34.4%) a Francie (28,4% ).
- Nízké riziko. Nejbezpečnější skupinou v 1. čtvrtletí 2012 zahrnoval 25 zemí se skóre od 11.9-20%.
Nejnižší míra internetové infekce byly zaznamenány v Japonsku (14,3%), Dánsko (15,2%), Tchaj-wan (15,2%), Lucembursku (17,4%), Slovensko (19,6%) a na Novém Zélandu (20%).
Riziko infekce on-line po celém světě v 1. čtvrtletí 2012
V průměru 28,8% z počítačů zahnutý do KSN byla podrobena útoku alespoň jednou při surfování na internetu během prvního čtvrtletí. Extrapolace z těchto čísel, to naznačuje, že jeden ze tří počítačů po celém světě potýká s častým a aktivní hrozby. Nicméně, tam je i dobré zprávy: podíl počítačů, které mají odrazit útoky se snížil 3,2 procentního bodu ve srovnání s předchozím čtvrtletím.
Místní hrozby
Tato část obsahuje analýzu statistik založených na údajích získaných z on-access skener a skenování statistik pro různé fyzické disky, včetně Vyměnitelná média (on-demand skener).
Objekty zjištěna na uživatelských počítačích
V prvním čtvrtletí roku 2012 naše antivirová řešení úspěšně blokovány 966,981,163 pokusy o lokální infekce na uživatelských počítačích, které se účastní Kaspersky Security Network.
Celkem 481,592 byly unikátní modifikace malwaru a potenciálně nežádoucími programy pokoušející se spustit na uživatelských počítačích detekován (on-access skener).
Objekty zjištěné na uživatelských počítačích: Top 20
| Hodnost | Jméno | % Individuálních uživatelů * |
| 1 | DangerousObject.Multi.Generic | 35,56% |
| 2 | Trojan.Win32.Generic | 31,49% |
| 3 | Trojan.Win32.Starter.yy | 13,92% |
| 4 | Virus.Win32.Sality.bh | 12,61% |
| 5 | Net-Worm.Win32.Kido.ih | 10,79% |
| 6 | Virus.Win32.Sality.aa | 9,32% |
| 7 | Trojan.Win32.AutoRun.gen | 8,71% |
| 8 | Net-Worm.Win32.Kido.ir | 8,63% |
| 9 | Hoax.Win32.ArchSMS.gen | 8,60% |
| 10 | HiddenObject.Multi.Generic | 6,58% |
| 11 | AdWare.Win32.InstallCore.gen | 6,41% |
| 12 | Virus.Win32.Generic | 6,18% |
| 13 | Virus.Win32.Nimnul.a | 5,83% |
| 14 | Worm.Win32.Generic | 5,52% |
| 15 | Trojan.WinLNK.Runner.bl | 4,56% |
| 16 | Trojan.Script.Iframer | 3,72% |
| 17 | Trojan-Dropper.VBS.Agent.bp | 3,61% |
| 18 | Virus.Win32.Sality.ag | 3,51% |
| 19 | Trojan.Script.Generic | 3,38% |
| 20 | Packed.Win32.Krap.ar | 3,26% |
Tyto statistiky jsou sestaveny z detekce malwaru verdiktů vytvořených pomocí antivirových modulů uživatelů na produkty společnosti Kaspersky Lab, kteří souhlasili, aby předložily své statistické údaje.
* počet jednotlivých uživatelů, na jejichž počítačích antivirový modul zjištěny tyto objekty jako procento všech jednotlivých uživatelé produkty společnosti Kaspersky Lab, na jejichž počítače škodlivý program nebyl zjištěn.
* počet jednotlivých uživatelů, na jejichž počítačích antivirový modul zjištěny tyto objekty jako procento všech jednotlivých uživatelé produkty společnosti Kaspersky Lab, na jejichž počítače škodlivý program nebyl zjištěn.
10 nejrozšířenějších na internetu
V horní části grafu vidíme směs škodlivých programů, které byly zjištěny pomocí inteligentního Cloud technologií v 35,56%). Tyto technologie posilují antivirové databáze: když neexistuje žádný podpis, nebo heuristická údaje zjišťovat konkrétní kus malware, může dojít ke společnosti antivirového cloud zdroje již mají údaje o ohrožení. V tomto případě je detekovaný objekt označen jako DangerousObject.Multi.Generic.
Na druhém místě je verdikt poskytuje heuristické analýzy při proaktivní detekci celé řady škodlivých programů - Trojan.Win32.Generic (31,49%).
Patnácté místo je obsazené Trojan.WinLNK.Runner.bl, který se používá pro automatické spuštění a distribuci využije pro klávesové zkratky Windows. První programy tohoto typu se objevily po Stuxnet byl objeven a jsou stále velmi oblíbené autory virů.
V uplynulém roce Kido držel pevně na třetí místo. První čtvrtletí letošního roku došlo ke zajímavou změnu: poprvé po čtyřech letech Net-Worm.Win32.Kido klesl o dvě pozice a byl předstihly Virus.Win32.Sality a Trojan.Win32.Starter.yy. To ukazuje, že hlavní způsob distribuce pro Kido - přes zranitelnost MS08-067 - ztrácí účinnost jejího působení jako stále více a více počítačů na celém světě aktualizovat své systémy. Tak dlouho, jak souborů škodlivin (virus) zůstávají v platnosti, oni udrží své postavení v žebříčku, bez ohledu na to, zda uživatelé aktualizovat svůj operační systém.
Země s nejvyšším rizikem lokální infekce pro uživatele počítačů
Tato čísla ukazují průměrnou sazbu PC infekce v různých zemích.
Úrovně počítačové infekce zemi nebo regionu *
* Vyloučili jsme z našich propočtů v zemích, kde počet uživatelů KL je relativně nízká (méně než 10000).
Procento všech místních hrozeb uživatelských počítačů, ve srovnání se všemi unikátních uživatelů KL produktů v zemi.
Procento všech místních hrozeb uživatelských počítačů, ve srovnání se všemi unikátních uživatelů KL produktů v zemi.
V průměru byl alespoň jeden nebezpečný soubor detekován na 42,2% všech počítačů KSN uživatelů na světě - buď na počítači, nebo na vyměnitelné médium připojené k němu.
Bangladéš zůstává nejnebezpečnější výpočetní prostředí: sazba pro tuto zemi se stále zvyšuje a nyní dosahuje 96,8%. Naše výrobky detekován a zablokován škodlivé programy téměř na každém z počítačů našich uživatelů v zemi.
Místní nakažených může být také rozděleny do jednotlivých kategorií. Tyto kategorie mají tendenci být stabilnější než ty, pro webové hrozby, kterým čelí jednotlivé země.
- Maximální úroveň místní infekce (více než 60%): 23 asijských zemích (Indii, Vietnam, Mongolsko aj.), Středního východu (Írán, Irák) a části Afriky (Súdán, Angola, Nigérie, Kamerun).
- Vysoká úroveň lokální infekce (41-60%): 49 zemí, včetně Egypta, Kazachstánu, Ruska, Ekvádoru a Brazílii.
- Mírný stupeň lokální infekce (21-40%): 41countries včetně Turecka, Mexiku, Izraeli, Lotyšsku, Portugalsku, Itálii, USA, Austrálii a Francii.
- Nejnižší úroveň místní infekce (20% nebo méně): 18 zemí včetně Kanady, Nového Zélandu, Puerto Rico, 13 evropských zemí (včetně Norska, Finska, Nizozemí, Irsku, Německu, Estonsku) plus Japonsko a Hong Kong.
Riziko lokální PC infekce po celém světě
10 zemí, kde se uživatelé potýkají nejmenší riziko lokální infekce přes internet, byly:
| Hodnost | Země | % Jedinečných uživatelů |
| 1 | Dánsko | 10,1% |
| 2 | Švýcarsko | 14,3% |
| 3 | Japonsko | 14,4% |
| 4 | Švédsko | 15,3% |
| 5 | Německo | 15,7% |
| 6 | Rakousko | 16,2% |
| 7 | Nový Zéland | 16,4% |
| 8 | Lucembursko | 16,6% |
| 9 | Finsko | 16,9% |
| 10 | Hongkong | 17,6% |
Chyby
V prvním čtvrtletí roku 2012 celkem 34,825,675 bylo zranitelných programů a souborů zjištěna na počítače uživatelů KSN - v průměru 9 různých zranitelností na každém příslušném počítači.
Top 10 jsou uvedeny v následující tabulce.
| № | Secunia ID - Unikátní chyba číslo | Zranitelnost jméno a odkaz na popis | Jaká chyba umožňuje škodlivé uživatelé | Procento uživatelů počítačů, na jehož chyba byla zjištěna | Datum poslední změny | Hodnocení |
| 1 | SA 48009 | Oracle Java JDK / JRE / SDK Více chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními získání přístupu k citlivým údajům manipulovat s daty DoS útok | 29,07% | 10.04.2012 | Velmi kritický |
| 2 | SA 46113 | Adobe Flash Player Více chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními XSS Bypass bezpečnostního systému | 22,13% | 22.09.2011 | Velmi kritický |
| 3 | SA 48281 | Adobe Flash Player dvě chyby zabezpečení | "Získejte přístup k systému přístup k citlivým údajům Gain " | 20,81% | 10.04.2012 | Velmi kritický |
| 4 | SA 46512 | Oracle Java SE Několik chyb | DoS útok. získat přístup k systému. získání přístupu k citlivým datům. Hijack komunikační relace a kanálů s daty falešného obsahu | 19,31% | 27.10.2011 | Velmi kritický |
| 5 | SA 23655 | Microsoft XML Core Services Více chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními DoS útoku XSS | 15,26% | 13.07.2011 | Velmi kritický |
| 6 | SA 47133 | Adobe Reader / Acrobat Více chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními | 14,50% | 11.01.2012 | Velmi kritický |
| 7 | SA 46618 | Apple QuickTime Několik chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními získat přístup k citlivým datům XSS | 12,15% | 06.01.2012 | Velmi kritický |
| 8 | SA 46882 | Winamp AVI / IT Zpracování souborů Slabá místa | Získat přístup k systému a spustit libovolný kód s právy místních uživatelů | 10,89% | 29.12.2011 | Velmi kritický |
| 9 | SA 41917 | Adobe Flash Player Více chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními získáte přístup k citlivým datům systému Bypass bezpečnosti | 10,22% | 28.10.2010 | Velmi kritický |
| 10 | SA 47932 | Adobe Shockwave Player Více chyb | Získat přístup k systému a spustit libovolný kód s místními uživatelskými oprávněními | 9,93% | 15.02.2012 | Velmi kritický |
* Procento všechny uživatele, jejichž počítače alespoň jednu zranitelnost byla zjištěna
Chyba zabezpečení v Javě Oracle byla zjištěna jedna třetina všech zranitelných počítačů. Vzhledem k tomu, Java zranitelnosti sloužil jako vektor některé z nejvíce notoricky známých infekcí, včetně Mac botnet a šíření of the 'fileless Hasičské bot, uživatelé by měli aktualizovat složku co nejdříve. Pokud nepoužíváte virtuální stroj Java, je dobré ho odstranit z počítače.
Náš žebříček je vybaven dvěma Java chyby. Pět pozice jsou pořízena produktů společnosti Adobe, včetně Flash a Shockwave přehrávače a Reader, populární aplikace pro čtení PDF dokumentů. Je třeba poznamenat, že desítky využije byly vytvořeny pro tyto programy v několika posledních letech, z nichž většina jsou veřejně dostupné. To je důvod, proč je pro uživatele nezbytné zajistit, aby tyto programy jsou oprava v čase.
Prodejci výrobků s Top 10 zranitelností
Každý z Top 10 zranitelnosti mohou ohrozit zabezpečení počítače, protože všichni útočníci umožní získat plnou kontrolu systému přes exploity. Z deseti chyb, čtyři umožňují útočníkům získat přístup k citlivým datům v počítači a dvě navíc je možné obejít bezpečnostní systémy a provádět DoS útoky na počítače, kde je nainstalován zranitelné aplikace. Tři chyby otevřít cestu k XSS útokům. Top 10 je také chyby, které umožňují útočníkům manipulovat s daty, získat důležité informace o systému a provést spoofing (tj. cybercriminal může projít kolem sebe pryč jako vlastník uživatelský účet v počítači).
Distribuce Top 10 zranitelností podle typu systému nárazu
Závěr
Počátek roku 2012 byl poznamenán kvalitativní změny v ekosystému botnet. Botmasters, kdo začal cítit přeplněné ve světě Windows aktivně se zaměřil na mobilní a Mac OS segmenty. Bohužel, málo uživatelů si uvědomit, že jejich smartphony jsou plně funkční počítače, které obsahují cenná data, které mohou být zajímat zločinci. V případě Mac OS X, je situace složitější: první operačního systému prodávající trval na tom, na dlouhou dobu, že žádný malware existuje pro platformu, a pak tvrdil, že Macy jsou bezpečnější než PC.
Mobilní zařízení a Mac jsou velmi atraktivní pro zločinci. Kromě omezenou konkurencí v segmentu, velká část mobilních zařízení a Mac fungovat bez jakýchkoli bezpečnostních řešení instalované na nich. Více než 5000 škodlivých programů pro Android byly zjištěny v 1. čtvrtletí 2012, což je o třetinu více než v loňském čtvrtletí obrázku. Více než 70 škodlivých programů pro Mac OS X byly zjištěny ve stejném období dvojnásobný oproti 4. čtvrtletí 2011. V letošním roce se počet hrozeb zaměřených na domácí zařízení v těchto dvou segmentů bude pokračovat rychle roste.
Jeden z nejvýznamnějších čtvrtletí technologický vývoj byl útok of the 'fileless Hasičské bota, která provádí všechny jeho funkce v paměti RAM, aniž by všechny soubory na pevném disku. Toto dělalo detekci malware obtížnější. Přestože bot zůstal na počítači pouze do byl restartován počítač, skutečnost, že byla distribuována přes banner sítě používané populárními legitimní stránky provedených opakovaných infekcí, a tudíž velké množství aktivních botů, velmi pravděpodobně. Společnost Kaspersky Lab jednal rychle ve spolupráci s banner sítě vlastníka omezit útok. Protože tento typ útoku je nemožné bez použití využije, může jen včasné záplatování v kombinaci s antivirovou ochranou přispět k zajištění počítače proti ní.
S ohledem na výše uvedené zabezpečení platformy iOS mobilní zůstává otevřenou otázkou. Apple prosazuje politiku, která činí distribuci škodlivého kódu prostřednictvím App Store velmi obtížné. Na druhou stranu, mohou vývojáři vytvářet řešení, která není poskytují účinnou ochranu proti možným útokům. Pokud se útočníci napadají mobilní zařízení založená na osvědčeném scénáři Windows, kde drive-by útoky vést k využije vykonávajících libovolný kód v systému, uživatelé skutečně být samy o sobě cílem zvládnout všechny malware běžící na jejich zařízení. Všechny technické předpoklady pro tohoto scénáře jsou v současné době.
V našem přezkoumání vývoje malwaru v roce 2011, jsme napsali, že zločinci by se hledat nové způsoby, jak provádějí cílené útoky. Bohužel, toto rychle se ukázalo být pravda: v prvním čtvrtletí roku 2012, byl zjištěn škodlivý software pro Mac OS X používané v cílených útoků. Stojí za zmínku, že v první fázi, útočníci použili exploit pro Java Virtual Machine, který může být instalován prakticky na jakékoli platformě.Zjištěném malwaru se ukázalo být backdoor, tj. programy dávají útočníkům plný přístup k infikovaných počítačů Mac. Firemní Mac uživatelé, kteří jsou přesvědčeni, že jejich počítače jsou "mimo podezření," a které tudíž nemají žádné bezpečnostní řešení nainstalovány na svých počítačích, ohrozit bezpečnost celé podnikové sítě. Je velmi pravděpodobné, že tento rok bude vidět více cílené útoky na firemní sítě vedené přes Mac OS X.
Společné úsilí donucovacích orgánů a IT společnosti přinášejí výsledky. V prvním čtvrtletí byly C & C serverů několika botnetů Zeus vzít v USA a Hlux.b botnet byl převzat. Několik skupiny a jednotlivci byli zatčeni, včetně autorů mobilního malwaru známých jako Foncy ve Francii, několik skupin zločinci za bankovních trojských koní Carberp v Rusku, a notoricky známý hacker TinHole, stejně jako několik hackerů ze skupiny Anonymous v Rumunsku.
Tyto úspěchy by měly mít vliv na vystřízlivění zločinci. Očekáváme, že počet útoků na domácí uživatele postupně stabilizovat v blízké budoucnosti.
Žádné komentáře:
Okomentovat