Компьютерный андеграунд 2008: вред за деньги

Сегодня на территории отеля "Марриотт-Грандъ" прошла традиционная конференция Лаборатории Касперского "Компьютерный андеграунд 2007-2008: итоги и прогнозы", которую посетил журналист "Вебпланеты".

Спикерами сегодняшней встречи стали: вирусный аналитик Александр Гостев, спам-аналитик Дарья Гудкова и PR-менеджер дочерней компании InfoWatch Петр Винокуров.

Ложные прогнозы

С докладом "Вирусные итоги и прогнозы" первым выступил Александр Гостев. По его словам, 2007 год в первую очередь ознаменовался похоронами некоммерческих вредоносных программ. За весь период не было зарегистрировано ни одной более-менее значимой эпидемии вируса, который не нес бы за собой финансовую подоплеку. И если из 2006 можно вспомнить вирус Nyxem.E, просто удалявший файлы, то в прошедшем году подобных программ не было.

Из двенадцати прогнозов на 2007 не сбылись четыре. Интеграция вирусных программ в P2P-клиенты так и не набрала популярности, несмотря на заметный рост популярности разнообразных трекеров.

Не обратили особого внимания злоумышленники и на новую операционную систему Microsoft Windows Vista, хотя в ней и без того дыр немало.

Не сбылся также прогноз о росте вредоносных программ под ставшую популярной после начала сотрудничества с Intel Mac OS X. За весь год было зарегистрировано всего 35 случаев. Впрочем, как выяснилось после конференции в ходе вопросов, данной прогноз можно номинально назвать сбывшимся, так как по сравнению с 2006 годом (4 вируса под маковскую операционную систему) рост составил почти 900%. И, тем не менее, это все же нельзя назвать повальной заинтересованностью, несмотря на впечатляющие цифры.

Что касается небольшого количества вирусов для Unix-подобных систем (всего 602 вируса), то тут можно найти два объяснения - во-первых, пользователи Linux и иже с ними - достаточно опытные пользователи компьютера, а потому они уделяют должное внимание безопасности ПК; во-вторых, пользователи Linux - люди жадные и бедные, а потому воровать у них попросту нечего.

Отдельной строкой хотелось бы отметить, что количество вирусов под Windows в этом году достигло 99,66% - а это значит, что Люцифер сражается с божественной системой Билла Гейтса числом зверя. Об этом стоит помнить!

Новые заразы: MalWare 2.0

Внушительный рост показали AdWare-программы, число которых за прошедший год увеличилось практически в пять раз (456,79%). Это подтверждают и участившиеся случаи создания рекламных ботнетов юными американцами.

Изменилась также форма работы разнообразного MalWare, которую уже успели окрестить модным сегодня словечком "дваноль". MalWare старого поколения, такие как вирусы (с 1986 года), черви (1988), трояны (1992), бэкдоры (1998), email-черви (1999, знаменитый Melissa-worm) и сетевые черви (2001) ориентировались на поражение конкретного компьютера пользователя, где создали вирусов сами выискивали жертву. Новое поколение MalWare-программ заражает Сеть, а оттуда уже определенные ПК. Технология работы того же Santy абсолютно не похожа на своих предшественников: Santy не заражал пользовательские компьютеры, а через Google находил новые сайты (несмотря на обещания Брина и компании защитить рядовых пользователей), атаковал их и заражал, производя подмену главной страницы, которая уже содержала вредоносный код. Собрат Samy прописался на портале Yahoo, используя уязвимости в движке портала, которые удалось закрыть.

Вирусописатели отказались от практики рассылки уже готовых вирусов, а решили конструировать вредоносное ПО уже непосредственно на компьютерах пользователей. Теперь тело червя пользователь может получить любым способом, но обнаружить его большинству антивирусных программ довольно проблематично - он ведет себя тихо, пока его не активирует детонатор-загрузчик, после чего мозаика собирается воедино и начинает работать. Проблема еще и в том, что от новой версии до ее модификации иногда проходит менее получаса.

Русский "Желатин"

Год 2007 прежде всего запомнится по вирусу Zhelatin, который создан одноименной российском хакерской группировкой и известен на Западе под именем Storm Worm. Если ранее сетевую атаку можно было остановить удалением из цепи лишь одного зараженного компьютера, то сейчас блокировка даже списка ip-адресов ведет к выпаданию из цепи лишь определенного звена, не нанося существенных потерь ботнету в целом. По данным "Лаборатории Касперского", ботнет "Желатин" мог достигать отметки в 2 миллиона компьютеров.

Решение проблемы, конечно, есть - вскрыв код программы, можно вычислить основной, раздающий инструкции сервер. Но и тут не все так просто, DNS сервера может меняться настолько часто, что времени для вычисления Основного Виновника Проблемы и последующей его блокировки практически не остается. И даже ликвидация основного сервера не отменяет уже полученных инструкций для зараженных машин. Ну, отсидел создатель самого заразного вируса 2004 года, а его детище все продолжает плодиться.

По мнению Брюса Стерлинга, именно "Желатин" был замешан в в конфликте с Эстонией. Как заявил Стерлинг во время лекции в Корейском университете, "данная кибервойнушка - лишь малая толика того, что может ботнет, а потому истинные возможности кибероружия нам предстоит узнать в будущем".

Что касается рассылки MalWare по электронной почте, то тут Россия заняла выгодную для себя десятую позицию, пропустив перед собой Эмираты и Малайзию:

Это ни в коем случае не говорит о том, что на территории РФ MalWare не создают. Делают, конечно, просто рассылка происходит с зарубежных адресов. Зато по количеству спама мы отличились, о чем немного позже.

Что чаще крадут?

Последним несбывшимся прогнозом является новый таргетинг злоумышленников. Если по представлению сотрудников "ЛК" в 2007 основной целью должны были остаться банковские данные и реквизиты, то на деле все оказалось совсем не так, пальму первенства отвоевали пароли к онлайн-играм.

В этом случае злоумышленники действуют по принципу "тише едешь — дальше будешь". Продажа крутого игрового персонажа приносит пускай и небольшой, но надежный и безопасный доход. Если в прошлом банки искали, находили и сажали хакеров, то создатели онлайн-игр на таком не заморачиваются - уж больно много мороки, проще либо отшить пострадавшего игрока, либо компенсировать убытки. Для злоумышленников тишь да гладь — риск уголовного преследования в таком случае минимален.

Новый спам: и вам, и нам

Дарья Гудкова сразу поздравила всех присутствующих с тем, что наконец-то появился спамер, который лично для "ЛК" прислал поздравления с Новым годом, пообещав рост количества рекламных писем в будущем году.

Спам в сети был и будет, несмотря на попытки чиновников регулировать его распространение. Если говорить о типе спамерских рассылок, то в моду снова начинают входить сообщения с изображенями, которые на этот раз замаскированы от фильтров гораздо лучше. Об этом говорит и статистика, по которой 13% всего спама весит от 20 до 50 КБ.

Более высоких показателей уровень графической рекламы не достиг из-за особой популярности pdf и mp3 спама, которые особой популярностью не пользовались. Авторы последнего настолько переусердствовали с созданием спам-трека, что получился просто веселый микс, текст которого понять абсолютно невозможно.

В 2007 году Россия сделала рывок и вышла на второе место по уровню спамеров, уступив лишь США. Стоит отметить, что много стран Латинской Америки вошли в двадцатку и в сумме своей составляют довольно значимый процент, что, в свою очередь, подтверждает аналитика компании F-Secure.

Продемонстрированные на презентации графики дали интересное представление о разнице между спамерами и вирусописателями - первые работают круглые сутки (количество спама не снижается даже ночью), вторые работают в нормальном человеческом режиме, а ночью пишут вирусы. Точь-в-точь как американские старушки. Может быть, неуловимые киберпреступники - это всего лишь хорошо организованная сеть пенсионеров США?

Количество медикаментозной рекламы в прошлом году снизилось, как и уровень мошенничества - а это все потому, что российские фишеры наглы и ленивы.

Рост политической рекламы в Рунете в 2008 будет ниже прошлогоднего. Если выборы в Государственную Думу имели общественный резонанс и спровоцировали войну спамеров, то будущий президент РФ нам уже известен. Относительно новая для Рунета тенденция все же наметилась — спамеры бьют по большим предприятиям для изменения котировок на бирже, что говорит о повторении аналогичной тенденции западного Интернета.

Российские фишеры не изменили своим традициям и в прошлом году проявили свое неравнодушие к Яндекс-Деньгам и Вебмани. По мнению Дарьи, в ближайшем будущем российского фишинга станет существенно больше – к атакам на платежные системы добавятся атаки на банки и кредитные организации.

Скоро фуршет!

А как же выступление Петра Винокурова об инсайдерских угрозах, с которыми борется InfoWatch? Увы, тут было мало нового: инсайдеры угрожают, борцы борются. Можно почитать наш репортаж с прошлого РИФа, а также интервью с Натальей Касперской, где об этом рассказано даже немного больше, чем было в нынешнем докладе.

Поэтому перейдем сразу к вопросам, прозвучавшим из зала после официальной части. Отвечали Александр Гостев и Дарья Гудкова.

- Что будет с технологиями спама в этом году?
- Во-первых, мы считаем, что вероятно появление жестко таргетированной рекламы. Спамеры создали для себя немалые базы, теперь осталось их поделить только на целевые аудитории.

- Почему вы считаете, что медикаментозная реклама наиболее популярна в Сети? Вот у меня весь ящик забит любовным и откровенно порноспамом.
- Возможно, что именно ваш ящик попал в базы такого рода, но на самом деле любовного спама в Интернете не более 5%. Аккуратнее относитесь к информации на малознакомых сайтах.

- С чем вы связываете доминацию медицинского спама?
- Медикаменты типа виагры на Западе невозможно купить без рецепта, да что уж там говорить, даже на самые тривиальные лекарства требуют рецепт. В России такой проблемы нет, вот и видим тенденцию — в США медицинского спама во много раз больше.

- Насколько я понимаю, у есть защита от спама в IM?
- Решения как такового пока нет, но мы собираем статистику, решаем насколько серьезная это проблема. К примеру, за месяц работы одной ловушки было получено около 1000 спам-сообщений, из которых к области чистого спама относилось 88%, а вот оставшиеся 12% были различными ссылками на вредоносные сайты с последующим заражением ПК. В скором времени у нас на сайте появится статья, где мы объясним разницу между email и IM-спамом.

- Какой процент компьютеров хоть раз подвергся заражению?
- У нас нет подобной статистики. Дело в том, что мы можем узнать об этом, только если компания обнародует данные. Эмпирическим путем можно, конечно, ориентировочно высчитать это из цифр о потерях из-за вирусных эпидемий, но цифра будет крайне неточной. Кроме того, в России нет закона, обязывающего компании делиться с кем бы то ни было информацией о подобных проблемах.

- Зарегистрированы ли случаи заражения компьютеров, где пользователь сидел в Сети из под виртуальной машины (VMware)?
- Насколько нам известно, нет. Но выбиться из защищенной виртуальной машиной папки можно, нужно лишь найти необходимую уязвимость, а они есть везде.

- Насколько виновны в утечках компании, занимающиеся аутсорсингом?
В Штатах почти половина утечек (по официальным данным) связана с аутсорсингом. Большие корпорации предпочитают стоически молчать, но не озвучивать свои проблемы, хотя они и терпят убытки. В случае с аутсорсинговыми компаниями все просто - когда есть как минимум две знающих о проблеме компании, информация намного легче просачивается в прессу.

Другие репортажи