Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: II kwartał 2012 r.

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab

Spis treści

II kwartał w liczbach

  • Według danych dostarczonych przez KSN, w II kwartale 2012 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały ponad 1 miliard zagrożeń.
  • Łącznie wykryto 89,5 miliona adresów URL zawierających szkodliwy kod.
  • W sumie wykrytych zostało 14 900 plików pochodzących ze szkodliwych programów atakujących Androida.

Przegląd

Mobilne szkodliwe oprogramowanie

W II kwartale 2012 r. liczba trojanów atakujących platformę Android zwiększyła się prawie trzykrotnie w stosunku do pierwszego kwartału. W ciągu minionych trzech miesięcy do naszych baz danych zostało dodanych ponad 14 900 nowych szkodliwych programów.


Liczba modyfikacji szkodliwego oprogramowania atakującego system Android

Dynamiczny rozwój zagrożeń atakujących Androida wskazuje na to, że coraz więcej autorów wirusów koncentruje się na tworzeniu szkodliwych programów dla urządzeń mobilnych. Rozwój mobilnych zagożeń, podobnie jak w przypadku zagrożeń dla Windowsa, doprowadził do powstania czarnego rynku dystrybucji szkodliwego oprogramowania. Głównymi kanałami dystrybucji są nieoficjalne sklepy internetowe z aplikacjami oraz programy partnerskie. Jednocześnie, mobilne szkodliwe oprogramowanie staje się coraz bardziej złożone: szkodliwi użytkownicy ciężko pracowali, żeby wymyśleć nowe techniki zaciemniania i ochrony kodu, kóre komplikują proces analizy zagrożeń.

Prawie połowę (49%) wszystkich zagrożeń wykrytych przez Kaspersky Lab w drugim kwartale 2012 r. stanowiły wielofunkcyjne trojany, które kradną dane z telefonów (kontakty, adresy e-mail, numery telefonu itd.) i potrafią pobierać dodatkowe moduły z serwerów utrzymywanych przez szkodliwych użytkowników.

Jedną czwartą szkodliwego oprogramowania dla Androida stanowiły trojany SMS. Szkodniki te kradną pieniądze z kont ofiar i – niepostrzeżenie dla nich - wysyłają je na płatne numery za pośrednictwem wiadomości tekstowych z ich urządzeń mobilnych. Kilka lat temu programy te można było znaleźć tylko w byłych republikach Związku Radzieckiego, w Azji Wschodniej i Chinach. Dzisiaj są już na całym świecie: w II kwartale 2012 r. Kaspersky Lab chronił przed zagrożeniami SMS użytkowników z 47 państw.

Około 18% zagrożeń dla Androida wykrytych w drugim kwartale tego roku stanowiły backdoory, które umożliwiają szkodliwym użytkownikom przejęcie pełnej kontroli nad zainfekowanym urządzeniem. Programy te są wykorzystywane do budowy botnetów złożonych z mobilnych urządzeń.


Rozkład szkodliwych programów atakujących platformę Android w II kwartale 2012 r. według zachowania

Obecnie tylko niewielka liczba trojanów szpiegujących atakuje Androida – zaledwie 2% ogółu. Z drugiej strony są to szkodliwe programy, które stanowią największe zagrożenie dla użytkowników. Programy te polują na najcenniejsze dane, które zapewniają szkodliwym użytkownikom dostęp do kont bankowych.

W czerwcu eksperci z Kaspersky Lab wykryli nową wersję szkodliwego programu przechwytującego przychodzące wiadomości tekstowe. Zagrożenie to podszywa się pod aplikację Android Security Suite Premium. Jednak cechą, która wyróżnia ten program spośród innych, jest to, że wszystkie jego serwery kontroli zostały zarejestrowane na jedną osobę. Dane te były oczywiście fałszywe, jednak dokładnie te same zostały wykorzystane do zarejestrowania wielu domen kontroli dla Zbota (ZeuSa). Z tego można wnioskować, że celem przechwytywania wiadomości tekstowych jest uzyskanie kodów służących do autoryzacji transakcji bankowych i że zagrożenie to należy do rodziny Trojan-Spy.AndroidOS.Zitmo.

Zagrożenia atakujące komputery Mac

Liczba zagrożeń atakujących komputery Mac wykrytych w II kwartale 2012 r. zmniejszyła się w porównaniu z pierwszym kwartałem tego roku. Do naszych antywirusowych baz danych zostały dodane wpisy pozwalające na wykrycie 50 nowych szkodliwych programów dla Mac OS X.

Po tym, jak w zeszłym kwartale został wykryty botnet FlashFake – złożony z ponad 700 000 komputerów Mac – Apple zaczął aktywniej reagować na kwestie dotyczące bezpieczeństwa swojego systemu operacyjnego. Przykładem może być opublikowanie krytycznych łat dla Oracle Javy w tym samym czasie co ich wersje windowsowe oraz zapowiedź funkcji bezpieczeństwa dla kolejnej wersji Mac OS X: domyślne ustawienia instalacji aplikacji tylko z oficjalnego sklepu oraz wykorzystywanie sandboksa dla aplikacji pobieranych ze sklepu, automatyczna instalacja aktualizacji itd.


Liczba nowych zagrożeń dla platformy Mac OS X dodanych do antywirusowej bazy danych firmy Kaspersky Lab w drugim kwartale 2012 r.

Prognoza Kaspersky Lab, według której w drugim kwartale nadal będą przeprowadzane ataki na użytkowników komputerów Mac, sprawdziła się. Pod koniec czerwca 2012 r. nasze radary antywirusowe wykryły nowy ukierunkowany atak na ujgurskich użytkowników Maków w Chinach. W przeciwieństwie do poprzednich ataków, szkodliwi użytkownicy nie wykorzystali exploitów w celu dostarczenia zagrożeń na komputery swoich ofiar. Tym razem konkretnej grupie osób wysłano e-maile z załącznikiem spakowanym przy użyciu ZIP-a. Archiwum ZIP zawierało pliki JPG oraz aplikację dla systemu Mac z ikonką dokumentu tekstowego. Jest to klasyczny przykład socjotechniki. Głównym komponentem ataku był plik wykonywalny podszywający się pod dokument tekstowy - backdoor dla systemu Mac OS X, który działa zarówno w architekturze i386 jak i PowerPC i jest wykrywany przez produkty firmy Kaspersky Lab jako Backdoor.OSX.MaControl.b. Rozwiązania Kaspersky Lab wykryły również wykorzystywanego w tym samym ataku backdoora dla Windowsa.

Backdoor ten wykonuje wiele funkcji, głównie jednak umożliwia szkodliwym użytkownikom uzyskiwanie plików z zainfekowanej maszyny. Dane konfiguracyjne z serwerów kontroli są szyfrowane przy pomocy dość prostej metody, która pozwoliła nam stwierdzić, że centrum kontroli jest zlokalizowane w Chinach.

Produkty firmy Apple są dość popularne wśród wielu wpływowych postaci ze świata polityki oraz znanych biznesmenów, a informacje przechowywane na urządzeniach tych osób są interesujące dla określonej kategorii szkodliwych użytkowników. To oznacza, że ataki APT na użytkowników komputerów Mac nadal będą przeprowadzane. Ewolucja ataków ukierunkowanych mogłaby doprowadzić do powstania zagrożeń wieloplatformowych, które będą posiadały podobny kod i będą działały na kilku najpopularniejszych systemach operacyjnych.

Wyciek danych i haseł z portalu LinkedIn

W II kwartale tego roku w mediach pojawiły się informacje dotyczące wycieku baz zawierających hasła z kilku znanych serwisów internetowych. Jedna z największych rewelacji dotyczyła upublicznienia części bazy danych (6,5 miliona zahashowanych haseł) popularnego portalu społecznościowego LinkedIn. 6 czerwca, dzień po opublikowaniu danych, firma potwierdziła wyciek i poinformowała, że w wyniku szybkiej reakcji opublikowane hasła zostały zawieszone i użytkownicy muszą stworzyć nowe.

Niestety, zanim informacje te zostały opublikowane, ponad połowa haseł została już pobrana z bazy danych. W jaki sposób udało się dokonać tego tak szybko? Duże znaczenie ma tu fakt, że LinkedIn, z jakiegoś powodu, przechowywał swoje hashe bez tak zwanego ciągu zaburzającego (ang. salting) – czyli dodawania losowych bitów do źródłowego hasła przed hashowaniem. Ponieważ technologia ta nie została użyta, hash SHA-1 został bardzo szybko odnaleziony poprzez skanowanie z wcześniej obliczonymi hashami z popularnych haseł ze słowników. Innym czynnikiem, który przyczynił się do tak szybkiego uzyskania haseł, jest fakt, że ponad połowa z nich była bardzo prosta, co ułatwiło ich złamanie. Po tym incydencie LinkedIn poinformował, że od tej pory będzie wykorzystywał zarówno hashowanie jak i ciąg zaburzający w celu przechowywania haseł.

Aby nie stać się ofiarą podobnego ataku, użytkownicy powinni przede wszystkim stosować długie, złożone hasła, które są trudniejsze do złamania. Trzeba również pamiętać, że wykorzystywanie tego samego hasła dla różnych serwisów znacząco zwiększa zakres potencjalnych szkód w przypadku włamania się do jednego konta.

Kaspersky Lab zaleca również, aby administratorzy stron internetowych wykorzystywali podczas przechowywania haseł przynajmniej hashowanie oraz ciąg zaburzający. Niezależnie od tego warto pamiętać, że stosowanie bezpiecznych algorytmów hashowania (takich jak SHA-1 czy MD5) oraz soli w przypadku systemów generujących GPU podczas skanowania haseł nie zawsze oznacza pełną ochronę przed atakami hakerskimi. Bardziej niezawodnym rozwiązaniem jest wykorzystywanie algorytmów, takich jak PBKDF2 (Password-Based Key Derivation Function 2) czy bcrypt, które nie tylko domyślnie wykorzystują ciąg zaburzający, ale również pomagają spowolnić proces skanowania haseł.

Flame – ciąg dalszy sagi o oprogramowaniu szpiegującym

Największym incydentem w ostatnim czasie związanym z oprogramowaniem spyware było wykrycie robaka Flame.

International Telecommunication Union poprosił Kaspersky Lab o pomoc w poszukiwaniu nieznanego szkodliwego programu, który usuwał poufne dane z komputerów zlokalizowanych na Bliskim Wschodzie. W czasie tej operacji Kaspersky Lab wykrył nowy szkodliwy program, który otrzymał nazwę Worm.Win32.Flame.

Chociaż główna funkcja Flame’a różni się od znanych cyberbroni, takich jak Duqu czy Stuxnet, wszystkie te szkodliwe programy mają wiele wspólnego: rozkład geograficzny ataków oraz określony cel połączony z wykorzystywaniem konkretnych luk w zabezpieczeniu oprogramowania. To pozwala uplasować Flame’a wśród innych cybernetycznych superbroni stosowanych na Bliskim Wschodzie przez nieznanych szkodliwych użytkowników.

Flame jest znacznie bardziej złożony niż Duqu i składa się z bardzo „sprytnego” zestawu narzędzi do przeprowadzania ataków. Rozmiar programu wynosi prawie 20 MB. Jest to backdoor, który wykazuje również cechy robaka: potrafi samodzielnie rozprzestrzeniać się w lokalnych sieciach i za pośrednictwem nośników wymiennych, gdy otrzyma odpowiednie polecenia. Najbardziej niebezpiecznym sposobem rozprzestrzeniania Flame’a jest replikacja tego szkodnika w sieciach lokalnych, które są już zainfekowane szkodliwym oprogramowaniem podszywającym się pod aktualizacje dla systemu Windows. Co więcej, jego kod posiada certyfikaty, które początkowo zostały wydane przez firmę Microsoft. Microsoft odkrył, że jego podpisy cyfrowe są nielegalnie wykorzystywane i natychmiast je unieważnił. Firma niezwłocznie opublikowała poradnik bezpieczeństwa na ten temat i wydała aktualizację KB2718704.

Flame ukradł różne dane z zainfekowanych komputerów zlokalizowanych na Bliskim Wschodzie (w Iranie, Sudanie, Syrii itd.), łącznie z plikami wideo i audio, jak również odbitkami AutoCAD.

Szkodnik ten jest jednym z najbardziej złożonych współczesnych cyberzagrożeń. Ma duży rozmiar, posiada niezwykle skomplikowaną strukturę i stanowi doskonały przykład tego, jak szpiegostwo może ewoluować w XXI wieku.

Statystyki

Wszystkie podawane tutaj statystyki opierają się na danych zebranych przez system Kaspersky Security Network oraz jego moduły bezpieczeństwa. Statystyki te zostały uzyskane od użytkowników KSN, którzy wyrazili zgodę na udostępnienie danych dotyczących szkodliwej aktywności na ich komputerach. Miliony użytkowników produktów firmy Kaspersky Lab w 213 krajach biorą udział w globalnej wymianie informacji dotyczącej szkodliwej aktywności.

Zagrożenia online

Zaprezentowane w tej sekcji statystyki zostały dostarczone przez rozwiązanie antywirusowe, które chroni użytkowników, jak tylko szkodliwy kod zostanie załadowany z zainfekowanej strony internetowej. Infekcje można znaleźć na stronach internetowych, na których użytkownicy mogą tworzyć własne treści (np. fora), a nawet na legalnych stronach, które padły ofiarą włamania hakerów.

Szkodliwe programy w internecie (ataki za pośrednictwem sieci)

W II kwartale 2012 r. zneutralizowano 434 143 004 ataków z zasobów sieciowych zlokalizowanych w różnych państwach. Na tych zasobach wykryto 145 007 unikatowych modyfikacji szkodliwych i potencjalnie niechcianych programów.

Top 20 szkodliwych programów w internecie

Pozycja Nazwa* % wszystkich ataków**
1 Malicious URL 85,8%
2 Trojan.Script.Iframer 3,9%
3 Trojan.Script.Generic 2,7%
4 Exploit.Script.Blocker 0,6%
5 Trojan.JS.Popupper.aw 0,4%
6 Trojan.Win32.Generic 0,4%
7 Trojan-Downloader.JS.Iframe.cxk 0,3%
8 Trojan-Downloader.JS.Expack.sn 0,2%
9 Exploit.Script.Generic 0,2%
10 Trojan-Downloader.Script.Generic 0,2%
11 Trojan-Downloader.JS.Agent.gqu 0,2%
12 Trojan-Downloader.Win32.Generic 0,2%
13 Hoax.HTML.FraudLoad.h 0,1%
14 Trojan-Downloader.SWF.FameGake.a 0,1%
15 Trojan.JS.Iframe.aaw 0,1%
16 Trojan.JS.Agent.bxw 0,1%
17 AdWare.Win32.IBryte.x 0,1%
18 AdWare.Win32.ScreenSaver.i 0,1%
19 Trojan-Downloader.JS.Agent.grd 0,1%
20 Trojan-Downloader.JS.JScript.ag 0,1%


*Statystyki te dotyczą szkodliwych programów wykrytych przez moduł antywirusowy i zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy wyrazili zgodę na udostępnienie danych dotyczących szkodliwej aktywności na ich komputerach.

**Łączna liczba unikatowych incydentów zarejestrowanych przez moduł antywirusowy na komputerach użytkowników.

 

Umieszczone na czarnej liście szkodliwe odsyłacze stanowiły najczęściej wykrywane szkodliwe programy w internecie w II kwartale. Ich odsetek zwiększył się o 1,5% w porównaniu z pierwszym kwartałem tego roku i wynosił 85,5% wszystkich wykrytych szkodliwych programów. W większości obejmowały one różne strony internetowe przekierowujące użytkowników. Czytelnicy być może przypominają sobie, że najpopularniejszym sposobem infekcji jest wykorzystywanie ataków drive-by. Ponadto, użytkownicy klikają niebezpieczne odsyłacze sami z siebie, np. szukając pirackiego oprogramowania. Jak zwykle, znaczna część szkodliwych adresów została wykryta na stronach związanych z pakietami exploitów.

Trzynaście programów w rankingu Top 20 to szkodniki, które wykorzystują luki w oprogramowaniu i dostarczają inne szkodliwe programy na komputer ofiary. Dwa z nich to szkodliwe programy, które zostały wykryte heurystycxznie: Exploit.Script.Blocker oraz Exploit.Script.Generic.

Ilość oprogramowania adware nadal spada i w drugim kwartale 2012 r. do rankingu Top 20 zaklasyfikowały się tylko dwa programy tego typu. Programy te działają jako dodatki do przeglądarki w postaci nowego panelu wyszukiwania i zmieniają stronę główną. Zasadniczo są to legalne programy, a ich autorzy płacą za ich instalację. Jednak niektórzy dystrybutorzy takich programów chętnie przyjmą zapłatę bez uzyskania zgody użytkownika przed zainstalowaniem programu.

„Dziurawe” aplikacje celem szkodliwych użytkowników

Większość ataków online jest przeprowadzanych przy użyciu exploitów, które wykorzystują błędy w oprogramowaniu pozwalające szkodliwym użytkownikom na wykonanie szkodliwych programów bez wzbudzenia podejrzeń ofiary./p>

Które aplikacje są najbardziej podatne na exploity? Odpowiedź została przedstawiona na diagramie poniżej: Adobe Acrobat Reader, Java, Android Root oraz Adobe Flash Player. Użytkownicy powinni instalować aktualizacje dla tych programów – a nawet, zezwalać na ich automatyczną aktualizację.


Oprogramowanie podatne na exploity, II kwartał 2012 r.

Państwa, w których zaszyte jest szkodliwe oprogramowanie w zasobach sieciowych

Aby zidentyfikować geograficzne źródło ataku, nazwę domeny porównuje się z rzeczywistym adresem IP, w którym zlokalizowana jest dana domena, i określa się geograficzną lokalizację adresu IP (GEOIP).

W II kwartale 2012 r. 85% zasobów online zlokalizowanych na całym świecie (o 1% więcej niż w I kwartale 2012 r.) było wykorzystywanych do rozprzestrzeniania szkodliwych programów.


Rozkład zasobów online, w których zaszyty jest szkodliwy kod, według państwa; II kwartał 2012 r.

Lista Top 10 państw posiadających zasoby, w których zaszyty jest szkodliwy kod, nie uległa znaczącym zmianom – znalazły się na niej te same państwa co w zeszłym kwartale. W ciągu ostatnich trzech miesięcy odsetek serwisów hostingowych zlokalizowanych w Stanach Zjednoczonych znacząco wzrósł (+7 punktów procentowych). Spowodowane to było głównie pogorszeniem się „wyników” innych państw z pierwszej dziesiątki: Rosji (-1,5 punktu procentowego), Niemiec (-1,9 punktu procentowego), Holandii (-1,2 punktu procentowego), Wielkiej Brytanii (-1 punkt procentowy) oraz Francji (-1,7 punktu procentowego). Drugie miejsce w tym kwartale zajęła Rosja (14%), spychając Holandię na trzecią pozycję (12%).

Państwa, w których użytkownicy są najbardziej narażeni na infekcję za pośrednictwem internetu

Aby ocenić ryzyko infekcji dla użytkowników w danym państwie, Kaspersky Lab określił częstotliwość wykrywania szkodliwych programów przez moduł ochrony WWW oprogramowania antywirusowego w różnych państwach w II kwartale.


20 państw, w których użytkownicy są najbardziej narażeni na ryzyko infekcji za pośrednictwem internetu*, II kwartał 2012 r.

*Podczas obliczeń wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

**Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

 

Listę Top 20 tworzą w większości byłe republiki Związku Radzieckiego, jak również państwa z Afryki i Południowo-Wschodniej Azji.

Państwa te można przydzielić do różnych grup ryzyka.

  1. Wysokie ryzyko.  Grupa ta, dla której ryzyko infekcji wynosi 41-60%, obejmuje 18 państw z listy Top 20, w tym Rosję (59,5%), Kazachstan (54%), Ukrainę (47,3%), Indie (48%), Indonezję (42,2%) oraz Malezję (41,8%).
  2. Umiarkowane ryzyko. W II kwartale 103 państwa posiadały ryzyko infekcji na poziomie 21-40%, w tym Hiszpania (37,8%), Włochy (34,8%), Kanada (36%), Stany Zjednoczone (35,7%) oraz Wielka Brytania (31,6%).
  3. Niskie ryzyko. W II kwartale 2012 r. najbezpieczniejsza grupa - z ryzykiem infekcji na poziomie 12,3–20% - obejmowała 16 państw.

Najniższe współczynniki infekcji zostały odnotowane w Tajwanie (15,2%), Japonii (18,1%), Danii (18,9%), Luksemburgu (19,7%) oraz Republice Czeskiej (20%). Warto wspomnieć, że w grupie tej znalazły się również niektóre państwa z Afryki, mimo że odnotowują one wyższe współczynniki lokalnej infekcji.


Ryzyko infekcji online na świecie w II kwartale 2012 r.

W drugim kwartale 2012 r. średnio 39,7% komputerów z systemem KSN (tj. cztery na każde dziesięć komputerów na świecie) zostało wystawionych na ataki podczas surfowania po internecie przez użytkowników. Średnia ta zwiększyła się o 11 punktów procentowych w stosunku do pierwszego kwartału.

Zagrożenia lokalne

Ta sekcja raportu zawiera analizę statystyk opartych na danych dostarczonych przez skaner on-access oraz statystyk ze skanowania różnych dysków, łącznie z nośnikami wymiennymi (skaner na żądanie).

Obiekty wykrywane na komputerach użytkowników

W drugim kwartale 2012 r. rozwiązania firmy Kaspersky Lab skutecznie zablokowały 1 041 194 194 prób lokalnych infekcji komputerów użytkowników należących do sieci Kaspersky Security Network.

Skaner on-access zarejestrował łącznie 383 667 unikatowych modyfikacji szkodliwego oprogramowania oraz potencjalnych niechcianych programów próbujących uruchomić się na komputerach użytkowników.

Obiekty wykryte na komputerach użytkowników: Top 20

Miejsce Nazwa % indywidualnych użytkowników*
1 Trojan.Win32.AutoRun.gen 17,8%
2 Trojan.Win32.Generic 17,.4%
3 DangerousObject.Multi.Generic 16,1%
4 Trojan.Win32.Starter.yy 7,4%
5 Virus.Win32.Sality.bh 6,7%
6 Virus.Win32.Virut.ce 5,4%
7 Net-Worm.Win32.Kido.ih 5,1%
8 Virus.Win32.Sality.aa 4,2%
9 HiddenObject.Multi.Generic 3,6%
10 Virus.Win32.Nimnul.a 3,1%
11 Trojan.WinLNK.Runner.bl 2,2%
12 Worm.Win32.AutoRun.hxw 2,0%
13 Trojan.Win32.Hosts2.gen 1,4%
14 Virus.Win32.Sality.ag 1,4%
15 Worm.Win32.Mabezat.b 1,0%
16 AdWare.Win32.GoonSearch.b 0,8%
17 AdWare.Win32.BHO.aqbp 0,7%
18 Trojan-Dropper.Script.Generic 0,5%
19 AdWare.Win32.HotBar.dh 0,3%
20 Trojan-Downloader.WMA.Wimad.ag 0,3%


Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez skaner on-access oraz skaner na żądanie na komputerach użytkowników z zainstalowanym produktem firmy Kaspersky Lab; użytkownicy ci zgodzili się udostępnić dane dotyczące szkodliwej aktywności na ich komputerach.
* Liczba indywidualnych użytkowników, na komputerach których moduł antywirusowy wykrył dane obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na komputerach których wykryto szkodliwy program.

Na pierwszym miejscu listy, z odsetkiem 17,8%, znalazło się uaktualnione, wykrywane heurystycznie zagrożenie rozprzestrzeniające się za pośrednictwem nośników wymiennych, głównie dysków flash. Uplasowanie się tego zagrożenia na pierwszym miejscu rankingu w drugim kwartale świadczy o tym, że ślady szkodliwych programów zostały wykryte na bardzo dużej części nośników wymiennych.

Na drugim miejscu znalazł się werdykt dostarczony przez analizę heurystyczną podczas proaktywnego wykrywania różnych szkodliwych programów: Trojan.Win32.Generic (17.4%).

Szkodliwe programy wykryte przy użyciu technologii opartych na chmurze (16,1%) spadły z pierwszego miejsca na trzecie. Technologie te działają wtedy, gdy antywirusowe bazy danych nie posiadają jeszcze sygnatur ani heurystyki umożliwiającej wykrywanie szkodliwych programów, a „chmura” firmy antywirusowej dysponuje już danymi o zagrożeniu. W takim przypadku zagrożenie otrzymuje nazwę DangerousObject.Multi.Generic.

W drugim kwartale programy adware znalazły się na 16, 17 oraz 20 miejscu rankingu. Pojawiła się również jedna nowość: AdWare.Win32.GoonSearch (0,8%). Programy z tej rodziny to dodatki do przeglądarki IE, były jednak przypadki, gdy zostały zainstalowane na komputerach użytkowników bez ich zgody; programy te zwalczają również działania rozwiązań antywirusowych.

Net-Worm.Win32.Kido (5,1%) nadal odnotowywał spadek w II kwartale 2012 r. Awansował z kolei inny przedstawiciel infektorów plików: oprócz wirusów Virus.Win32.Sality.bh, Virus.Win32.Sality.aa, Virus.Win32.Nimnul.a oraz Trojan.Win32.Starter.yy, Kaspersky Lab zarejestrował również pojawienie się szkodnika Virus.Win32.Virut.ce (5,4%), który infekuje maszyny i przyłącza je do dużego botnetu wykorzystywanego do rozprzestrzeniania innych szkodliwych programów.

Państwa charakteryzujące się najwyższym ryzykiem lokalnej infekcji

Poniższy diagram pokazuje średni współczynnik infekcji w różnych państwach. Około 36,5% komputerów należących do sieci KSN przynajmniej jeden raz odnotowało wykrycie szkodliwego pliku (na komputerze lub na podłączonym do komputera nośniku wymiennych). To o 5,7 punktów procentowych mniej niż w pierwszym kwartale tego roku.


Top 20: Poziom zainfekowania komputerów w różnych państwach w II kwartale 2012 r.

* Nie uwzględniliśmy państw, w których według naszych kalkulacji liczba użytkowników produktów firmy KL jest stosunkowo niewielka (mniej niż 10 000).
** Odsetek wszystkich lokalnych zagrożeń na komputerach użytkowników w porównaniu z wszystkimi unikatowymi użytkownikami produktów firmy KL w danym państwie..

Listę Top 20 tworzą w większości państwa z Afryki i Azji Południowo-Wschodniej. W Bangladeszu produkty firmy Kaspersky Lab wykryły szkodliwe programy na 98 na każde 100 komputerów.

Współczynniki infekcji lokalnych można również przydzielić do różnych kategorii.

  1. Maksymalny poziom infekcji lokalnych (ponad 60%): 20 państw, głównie w Azji (Indie, Wietnam, Mongolia itd.), na Bliskim Wschodzie (Irak, Afganistan) oraz w Afryce (Sudan, Angola, Nigeria, Kamerun oraz inne).
  2. Wysoki poziom infekcji lokalnych  (41-60%): 51 państw, w tym Indonezja (58,3%), Kazachstan (46,1%), Chiny (43,9%), Ekwador (43,8%), Rosja (42,6%) oraz Zjednoczone Emiraty Arabskie (42,3%)..
  3. Umiarkowany poziom infekcji lokalnych (21-40%): 43 państwa, w tym Turcja, Meksyk, Izrael, Łotwa, Portugalia, Włochy, Stany Zjednoczone, Australia oraz Francja.
  4. Najniższy poziom infekcji lokalnych: 23 państwa, w tym Kanada, Nowa Zelandia, Puerto Riko, 13 państw europejskich (w tym Norwegia, Finlandia, Holandia, Irlandia, Niemcy oraz Estonia), jak również Japonia i Hong Kong.

Ryzyko lokalnej infekcji komputera PC na świecie w II kwartale 2012 r.

10 państw, w których użytkownicy są najmniej narażeni na ryzyko lokalnej infekcji:

Pozycja Państwo % unikatowych użytkowników
1 Dania 12,0
2 Reunion 13,4
3 Republika Czeska 13,6
4 Japonia 14,6
5 Luksemburg 15,0
6 Szwecja 15,0
7 Szwajcaria 16,2
8 Finlandia 16,3
9 Niemcy 17,2
10 Holandia 17,7

Dania, Luksemburg, Republika Czeska oraz Japonia znalazły się na liście państw o najniższym ryzyku infekcji podczas surfowania po Internecie. Jednak nawet w Danii szkodliwe programy można znaleźć na 12 na każde 100 komputerów.

Luki w zabezpieczeniach

W II kwartale 2012 r. na komputerach użytkowników systemu KSN wykryto w sumie 31 687 277 podatnych na ataki programów i plików. Średnio, Kaspersky Lab wykrywał dziewięć różnych luk na każdym komputerze.

10 najczęściej wykrywanych luk przedstawia tabela poniżej.

Lp. Secunia ID - unikatowy numer luki Nazwa luki i odsyłacz do jej opisu Na co pozwala luka szkodliwym użytkownikom "Odsetek użytkowników, na komputerach których została wykryta luka" Data ostatniej zmiany Ranking
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika
Uzyskanie dostępu do poufnych danych
Manipulowanie danymi
Ataki DoS
31,4% 4/10/2012 Wysoce krytyczna
2 SA 48281 Adobe Flash Player Two Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika
Uzyskanie dostępu do poufnych danych
20,9% 4/10/2012 Wysoce krytyczna
3 SA 48500 VLC Media Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika 19,3% 3/21/2012 Wysoce krytyczna
4 SA 49472 Oracle Java Multiple Vulnerabilities Ataki DoS
Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika.
XSS
Uzyskanie dostępu do poufnych danych
Manipulowanie danymi
16,5% 7/18/2012 Wysoce krytyczna
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika 14,4% 1/11/2012 Ekstremalnie krytyczna
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika.
Ataki DoS
XSS "
13,5% 7/13/2011 Wysoce krytyczna
7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika 11,4% 5/10/2012 Wysoce krytyczna
8 SA 47447 Apple QuickTime Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika 11,3% 6/29/2012 Wysoce krytyczna
9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika 9,8% 2/15/2012 Wysoce krytyczna
10 SA 49388 Adobe Flash Player Multiple Vulnerabilities Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika.
Obejście systemu bezpieczeństwa.
9,2% 6/18/2012 Wysoce krytyczna

* Odsetek wszystkich użytkowników, na komputerach których wykryto przynajmniej jedną lukę.

Na pierwszym miejscu, podobnie jak w pierwszym kwartale tego roku, znajdują się produkty Java (tworzone przez Oracle). Luki w zabezpieczeniach Javy stanowią 31% luk wykrytych na komputerach. Na liście Top 10 znajdują się dwie luki w Javie.

Pięć na 10 miejsc w rankingu zajmują produkty firmy Adobe: Flash Player oraz Shockwave, jak również bardzo popularny Adobe Reader.

Jedyny nowy produkt na naszej liście Top 10 w II kwartale to luka wykryta w darmowym odtwarzaczu multimediów - VLC.


Producenci aplikacji, w których wykryto luki z listy Top 10 w II kwartale 2012 r.

Wszystkie luki na liście Top 10 pozwalają szkodliwym użytkownikom wykorzystywać exploity w celu uzyskania pełnej kontroli nad systemem ofiary. Niektóre umożliwiają przeprowadzanie ataków DoS oraz zdobycie dostępu do poufnych informacji. Lista Top 20 zawiera również luki, które pozwalają szkodliwym użytkownikom manipulować danymi, obchodzić systemy bezpieczeństwa i przeprowadzać ataki XSS.


Rozkład 10 najczęściej wykrywanych luk według rodzaju wpływu na system

Podsumowanie

W drugim kwartale 2012 r. nadal mogliśmy obserwować stały wzrost liczby zagrożeń atakujących platformę Android. W ciągu minionych trzech miesięcy dodaliśmy do naszej kolekcji prawie 15 000 plików o rozszerzeniu dex. Szkodliwe programy dla Androida ewoluują również pod względem złożoności – twórcy wirusów wymyślają różne sposoby utrudniania wykrywania i analizy swoich programów. Wskazuje to na wzrost liczby autorów wirusów, którzy przerzucili się na rozwój mobilnego szkodliwego oprogramowania. Rozwija się również oferta istniejących na czarnym rynku usług rozprzestrzeniania mobilnych zagrożeń, co w nieodległej przyszłości doprowadzi do wzrostu liczby ataków na użytkowników urządzeń mobilnych przy jednoczesnym zwiększeniu się stopnia wyrafinowania tych ataków.

Wycieki spowodowane działaniem ugrupowań cyberprzestępczych, w wyniku których ucierpiały popularne serwisy, stały się częstsze w ostatnim kwartale i doprowadziły do ujawnienia haseł milionów użytkowników Internetu. Niestety, duża liczba użytkowników wybiera tę samą kombinację nazwy użytkownika i hasła dla różnych serwisów, zwiększając ryzyko utraty cennych danych osobistych. Trzeba jednak pamiętać, że użytkownicy sami są sobie winni, jeżeli stosują proste hasła i przez to dochodzi do szybkiego odszyfrowania zarchiwizowanych baz haseł. To samo dotyczy administratorów stron internetowych, którzy wykorzystują zbyt proste metody szyfrowania. Problem ten nie jest nowy i można rozwiązać go na wiele sposobów. Miejmy nadzieję, że częste ataki hakerskie spowodują, że administratorzy zaczną stosować pewniejsze algorytmy w celu przechowywania haseł.

W następnym kwartale odbędą się dwie ważne konferencje dla hakerów - BlackHat oraz Defcon. Podczas obu tych wydarzeń przedstawianych jest wiele nowych technik ataków, które zwykle natychmiast zostają wykorzystane przez cyberprzestępców. Dlatego też należy się spodziewać, że w trzecim kwartale szkodliwi użytkownicy zaczną wypróbowywać swoje nowe sztuczki.

W II kwartale 2012 r. w centrum zainteresowania mediów znalazł się cyberszpiegowski program Flame. Oprócz swojego ogromnego rozmiaru i szerokiego wachlarza narzędzi, który może wykorzystać do pobierania danych z zainfekowanych maszyn, Flame posiada również interesujący mechanizm rozprzestrzeniania się w sieciach lokalnych poprzez tworzenie fałszywego serwera aktualizacji Windows. Co więcej, w jednej z wersji niesławnego robaka Stuxnet wykryty został kod podobny do sekcji kodu Flame’a, który pojawił się już w 2009 r. Sugeruje to, że twórcy tych dwóch programów są w pewien sposób powiązani ze sobą.

Sytuacja dotycząca cyberbroni przypomina trochę puszkę Pandory, która po otworzeniu nie może już zostać zamknięta. Wiele państw na świecie wydało oficjalne oświadczenie, w którym zobowiązało się do opracowania standardów dla operacji w cyberprzestrzeni oraz stworzenia wyspecjalizowanych jednostek. W efekcie, historia cyberbroni nie ograniczy się jedynie do Duqu i Flame’a. Głównym wyzwaniem w tym przypadku jest brak jakiejkolwiek kontroli w postaci międzynarodowej regulacji cyberprzestrzeni.