Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: III kwartał 2012 r.

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab

Spis treści

III kwartał w liczbach

  • Według danych KSN, w trzecim kwartale 2012 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały 1 347 231 728 zagrożeń.
  • 28% wszystkich zaatakowanych urządzeń mobilnych działało pod kontrolą systemu Android w wersji 2.3.6, który został wprowadzony do sprzedaży we wrześniu 2011 r.
  • 56% exploitów zablokowanych w trzecim kwartale wykorzystuje luki w Javie.
  • Łącznie wykryto 91,9 milionów adresów URL rozprzestrzeniających szkodliwy kod, co stanowi 3% wzrost w porównaniu z II kwartałem 2012.

Przegląd

Mobilne szkodliwe oprogramowanie i systemy operacyjne

W trzecim kwartale 2012 r. do naszej kolekcji szkodliwego oprogramowania dodanych zostało ponad 9 000 nowych szkodliwych plików .dex. Jest to o 5 000 plików mniej niż w II kwartale, ale o 3 500 więcej niż w pierwszym kwartale 2012 r.

Wynika to z tego, że w drugim kwartale do naszej kolekcji zostały dodane pliki, które od jakiegoś czasu były wykrywane heurystycznie (należy zauważyć, że jedna definicja heurystyczna jest wykorzystywana do wykrywania dużej liczby różnych programów). W trzecim kwartale sytuacja wyglądała standardowo, a liczba nowych plików dodanych do naszej kolekcji była zgodna z trendem obserwowanym od początku roku.


Liczba modyfikacji szkodliwego oprogramowania atakującego system operacyjny Android

Warto przyjrzeć się, które wersje Androida najczęściej stają się celem cyber-ataków.


Rozkład wykrywanego szkodliwego oprogramowania według wersji Androida, III kwartał 2012 r.

Najczęściej atakowaną wersją był Android 2.3.6 “Gingerbread”, który odpowiada za 28% wszystkich zablokowanych prób zainstalowania szkodliwego oprogramowania. Nie jest to żadną nowością: wersja ta została wypuszczona we wrześniu 2011 r., jednak ze względu na znaczną segmentację rynku urządzeń z Androidem pozostaje jedną z najpopularniejszych wersji.

Aby sprawdzić, czy istnieje korelacja między rozkładem wersji systemu Android na urządzeniach mobilnych a rozkładem wersji systemu operacyjnego na urządzeniach atakowanych przez cyberprzestępców, musimy porównać nasze dane z oficjalnymi liczbami dotyczącymi rozkładu wersji systemu Android z developer.android.com. Poniżej przedstawiamy rozkład procentowy wersji tego systemu operacyjnego obejmujący dwa ostatnie tygodnie września.

Źródło: http://developer.android.com/about/dashboards/index.html

Porównujemy go z naszymi danymi dla tego samego okresu:


Rozkład szkodliwego oprogramowania wykrytego w ciągu ostatnich 14 dni września 2012 r. według wersji systemu Android

Jak można zauważyć, między wykresami istnieją znaczne różnice: w 48% wszystkich przypadków ofiary cyberprzestępców wykorzystywały Gingerbread, który został zainstalowany na 55% wszystkich urządzeń, podczas gdy w 43% wszystkich przypadków ofiary posiadały Ice Cream Sandwich, jedną z nowszych wersji Androida, która jest zainstalowana na 23,7% wszystkich urządzeń.

Bez wątpienia urządzenia, na których zainstalowane zostały późniejsze wersje systemów operacyjnych, są lepiej dostosowane do aktywnej pracy online. Niestety, aktywniejsze surfowanie po Sieci często prowadzi do tego, że użytkownicy trafiają na strony zawierające szkodliwą zawartość. Poniżej zamieściliśmy statystyki KSN dla urządzeń mobilnych, aby pokazać, jakie rodzaje programów najczęściej atakują urządzenia użytkowników.


Rozkład szkodliwego oprogramowania atakującego system Android wykrytego na urządzeniach użytkownika według zachowania, III kwartał 2012 r.*

Ponad połowa wszystkich szkodliwych programów wykrytych na smartfonach użytkowników okazała się trojanami SMS, tj. szkodliwymi programami, które kradną pieniądze z kont mobilnych ofiar poprzez wysyłanie wiadomości SMS na numery o podwyższonej opłacie.


Rozkład szkodliwego oprogramowania atakującego system Android wykrywanego na urządzeniach użytkowników według rodziny w III kwartale 20012 r.*

* Werdykty wykrycia dostarczone przez moduł skanowania plików Kaspersky Mobile Security. Informacje zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy wyraźnie zgodzili się na udostępnienie informacji o zagrożeniach wykrywanych na ich komputerach.

Wśród wszystkich rodzin mobilnego szkodliwego oprogramowania najbardziej rozpowszechnioną była rodzina OpFake (38,3% wszystkich wykrytych szkodliwych programów dla Androida pośród wszystkich rodzin mobilnego szkodliwego oprogramowania). Wszystkie programy w tej rodzinie maskują się pod postacią przeglądarki Opera Mini. Trzecie miejsce w rankingu zajęła rodzina FakeInst, której członkowie podszywają się pod instalatory popularnych programów (17%). Te dwa rodzaje szkodliwego oprogramowania są najczęściej dystrybuowane za pośrednictwem tak zwanych alternatywnych sklepów z aplikacjami stworzonych przez cyberprzestępców.

Piątym pod względem popularności szkodliwym oprogramowaniem wykrywanym na urządzeniach użytkowników są wszechstronne trojany, z których większość należy do rodziny Plangton. Po zainstalowaniu się na urządzeniu trojany te gromadzą dane serwisowe z telefonu, wysyłają je do serwera kontroli i czekają na polecenia cyberprzestępców. W szczególności, szkodliwe programy z tej rodziny potrafią potajemnie zmieniać zakładki i stronę główną.

5% szkodników stanowił not-a-virus:RiskTool.AndroidOS.SMSreg, który rejestruje użytkowników na drogich serwisach. Programy z tej rodziny atakują użytkowników z takich krajów jak Stany Zjednoczone, Holandia, Wielka Brytania i Malezja.

4% szkodników stanowiły programy z rodziny Exploit.AndroidOS.Lotoor. W celu uzyskania kontroli nad urządzeniem cyberprzestępcy muszą przeprowadzić jailbreak (tj. obejść ochronę telefonu, aby uzyskać pełny dostęp do systemu plików). Szkodliwe oprogramowanie należące do tej rodziny jest wykorzystywane do uzyskiwania przywilejów administratora, które zapewniają praktycznie nieograniczone możliwości manipulowania systemem.

Również 4% mobilnego szkodliwego oprogramowania stanowią różne programy wyświetlające reklamy, wykrywane wspólnie jako AdWare. “Najpopularniejszy” z nich należy do rodziny Hamob i wyświetla reklamy wbudowane w aplikacje.

Podsumowując, w III kwartale ataki cyberprzestępców były najczęściej skierowane na Androida w wersji 2.3.6 Gingerbread i 4.0.4 Ice Cream Sandwich. Osoby atakujące posiadają wystarczające umiejętności obchodzenia ograniczeń dotyczących instalowania oprogramowania z niezaufanych źródeł, głównie wykorzystując metody socjotechniki. Na wolności najbardziej rozpowszechnione są trojany, które stosują różne metody w celu kradzieży pieniędzy z kont mobilnych użytkowników, jednak stopniowo są one zastępowane bardziej wyrafinowanymi, wszechstronnymi trojanami.

Exploity: luki w Javie są wykorzystywane w ponad połowie wszystkich ataków

W atakach online zwykle wykorzystywane są różne exploity, które pozwalają atakującym pobrać szkodliwe oprogramowanie na komputery ofiar podczas ataków drive-by bez konieczności stosowania socjotechniki. Skuteczne wykorzystanie exploitów zależy od obecności luk w kodzie popularnych aplikacji zainstalowanych na maszynach użytkowników.

Wykres poniżej pokazuje, które dziurawe aplikacje były atakowane przez exploity w III kwartale. W tym kwartale zmieniliśmy metodologię i uwzględniliśmy w statystykach exploity wykrywane heurystycznie.


Aplikacje posiadające luki wykorzystywane przez exploity, III kwartał 2012 r.

Luki w Javie były wykorzystywane w ponad 50% wszystkich ataków. Według Oracle, różne wersje tej wirtualnej maszyny są instalowane na ponad 1,1 miliarda komputerów. Co istotne, aktualizacje dla tego oprogramowania są instalowane raczej na żądanie niż automatycznie, co zwiększa „okres życia” luk. Ponadto, exploity dla Javy można dość łatwo wykorzystać w każdej wersji Windowsa i - przy dodatkowym nakładzie pracy cyberprzestępców - tak jak w przypadku Flashfake’a, można stworzyć exploity wieloplatformowe. To wyjaśnia szczególne zainteresowanie lukami w Javie ze strony cyberprzestępców.

W III kwartale wykryto wiele luk, które cyberprzestępcy niezwłocznie wykorzystali do przeprowadzenia ataków. Luka CVE-2012-1723, wykryta w lipcu, stanowi błąd w komponencie HotSpot, który może być wykorzystany przez osoby atakujące w celu użycia własnej klasy z obejściem sandboksa oferowanego przez wirtualną maszynę Javy. Kolejna luka, CVE-2012-4681, została znaleziona pod koniec sierpnia. Exploity wykorzystujące tę lukę zostały po raz pierwszy wykorzystane w atakach ukierunkowanych, szybko jednak zostały włączone do popularnych pakietów exploitów. Produkty firmy Kaspersky Lab skutecznie wykryły je przy użyciu technologii zaawansowanego wykrywania exploitów.

Na drugim miejscu znalazły się ataki przeprowadzane za pośrednictwem aplikacji Adobe Reader, które stanowiły jedną czwartą wszystkich zablokowanych ataków. Popularność exploitów dla Adobe Readera stopniowo słabnie z powodu stosunkowo prostego mechanizmu umożliwiającego wykrycie ich jak również automatycznych aktualizacji wprowadzonych w ostatnich wersjach Readera.

Exploity wykorzystujące luki w Windows Help i Support Center, jak również różne będy w przeglądarce Internet Explorer, odpowiadały za 3% wszystkich ataków. W szczególności, w III kwartale została wykryta nowa luka (CVE-2012-1876) w przeglądarce IE w wersjach 6-9. Podatna na ataki przeglądarka nie obsługuje poprawnie obiektów w pamięci, co pozwala zdalnym osobom atakującym podjąć próbę uzyskania dostępu do nieistniejącego obiektu, powodując przepełnienie sterty. Co ciekawe, luka ta została wykorzystana w marcu podczas zawodów hakerskich Pwn2Own na konferencji CanSecWest 2012.

Nasza rada dla użytkowników brzmi: instalujcie uaktualnienia popularnych programów, jak tylko zostaną udostępnione, i korzystajcie z aktualnej ochrony przed exploitami. Ponadto, firmy powinny również wykorzystywać technologie zarządzania łatami.

Cyber-szpiegostwo: Gauss, Madi i inni

W III kwartale miało miejsce wiele incydentów szpiegowskich. Najistotniejsze z nich były związane z aktywnością takich szkodników jak Madi, Gauss oraz Flame, które były rozprzestrzeniane głównie na Bliskim Wschodzie.

Jedna kampania, której celem było wniknięcie do systemów komputerowych, trwała niemal rok i była wymierzona głównie przeciwko użytkownikom w Iranie, Izraelu i Afganistanie. Przeprowadziliśmy szczegółowe badanie tego szkodliwego oprogramowania wraz z naszym partnerem, izraelską firmą Seculert. Szkodnik ten został nazwany “Madi” na podstawie ciągów i identyfikatorów wykorzystanych przez cyberprzestępców w swoim szkodliwym oprogramowaniu. Szkodliwe komponenty były rozprzestrzeniane za pośrednictwem ataków, które wykorzystywały zestaw dobrze znanych niewyrafinowanych technologii. Świadczy to o tym, że świadomość bezpieczeństwa internetowego ofiar pozostawia wiele do życzenia.

Ataki te obejmowały instalowanie na maszynach ofiar backdoorów napisanych w Delphi. Szkodniki te mogły zostać stworzone przez programistę amatora lub przez profesjonalistę, który znajdował się pod dużą presją czasu. Kampania wymierzona była w infrastrukturę firm inżynieryjnych o krytycznym znaczeniu, organizacje rządowe oraz banki i uniwersytety na Bliskim Wschodzie. Ofiary zostały wyselekcjonowane spośród użytkowników organizacji, których komunikacja przez dłuższy okres czasu znajdowała się pod ścisłym nadzorem.

Gauss został wykryty podczas dochodzenia zainicjowanego przez International Telecommunication Union (ITU) po odkryciu Flame’a. Zasadniczo, Gauss to sponsorowany przez rząd trojan “bankowy”. Oprócz kradzieży różnych danych z zainfekowanych maszyn działających pod kontrolą Windowsa program ten zawiera szkodliwą funkcję, która jest zaszyfrowana a jej cel - jak dotąd nieznany. Szkodnik ten aktywuje się tylko na systemach o określonej konfiguracji. Gauss opiera się na platformie Flame’a i posiada kilka cech wpólnych z tym szkodnikiem, takich jak procedury infekcji sterowników USB.

Nasi eksperci zdołali również uzyskać nowe informacje dotyczące serwerów kontroli Flame’a (C&C). Badanie przeprowadzone przez ekspertów Kaspersky Lab we współpracy z naszymi partnerami – firmą Symantec, ITU-IMPACT i CERT-Bund/BSI – pozwoliło nam wyciągnąć kilka istotnych wniosków. Po pierwsze, kod dla serwerów kontroli opartych na tej platformie zaczął być rozwijany jeszcze w grudniu 2006 roku. Sądząc po komentarzach pozostawionych w kodzie źródłowym, nad projektem pracowało przynajmniej czterech programistów. Kod C&C obsługuje trzy protokoły komunikacyjne. Główne ustalenie jest takie, że obsługuje on żądania od szkodliwych programów o nazwach kodowych SP, SPE, FL oraz IP.

Z tych czterech szkodliwych programów obecnie znane są tylko dwa: Flame i SPE (znany również jako miniFlame).

Na podstawie danych zgromadzonych w badaniu można stwierdzić, że według wszelkich oznak z cyberszpiegostwem będziemy mieli do czynienia również w przyszłości. Celem pracy wykonanej przez Kaspersky Lab jest złagodzenie ryzyka związanego z pojawieniem się cyberbroni.

Statystyki

W tej sekcji zajmiemy się analizą danych statystycznych dostarczonych przez różne komponenty ochrony przed szkodliwym oprogramowaniem. Wszystkie dane statystyczne uwzględnione w tym raporcie zostały uzyskane przy pomocy Kaspersky Security Network (KSN). Pochodzą od użytkowników systemu KSN, którzy zgodzili się udostępnić informacje o zagrożeniach wykrywanych na ich komputerach. Miliony użytkowników produktów firmy Kaspersky Lab w 213 krajach uczestniczy w globalnej wymianie informacji dotyczących szkodliwej aktywności.

Zagrożenia online

Statystyki w tej sekcji są dostarczana przez moduły ochrony WWW, które chronią użytkowników, jak tylko szkodliwy kod zostanie załadowany z zainfekowanej strony internetowej. Szkodliwa zawartość może się znajdować na stronach internetowych, na których użytkownicy mogą tworzyć własne treści (np. forach), a nawet na legalnych stronach, na które włamali się hakerzy.

Wykrywalne obiekty online

W III kwartale 2012 r. zneutralizowano 511 269 302 ataków. Zostały one przeprowadzone z zasobów online zlokalizowanych w różnych państwach na całym świecie. W incydentach tych wykryto w sumie 165 732 unikatowych modyfikacji i potencjalnie niechcianych programów.

TOP 20 szkodliwych programów wykrytych w Internecie

Pozycja Nazwa* % wszystkich ataków**
1 Malicious URL 90,70%
2 Trojan.Script.Generic 2,30%
3 Trojan.Script.Iframer 1,60%
4 Trojan-Downloader.SWF.Voleydaytor.h 0,40%
5 Trojan.Win32.Generic 0,40%
6 Exploit.Script.Blocker 0,30%
7 AdWare.Win32.IBryte.x 0,20%
8 Trojan-Downloader.JS.Iframe.cyq 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.JS.Agent.gsv 0,20%
11 Trojan-Downloader.JS.JScript.bp 0,20%
12 Hoax.HTML.FraudLoad.i 0,20%
13 Trojan-Downloader.Script.Generic 0,10%
14 Trojan.HTML.Redirector.am 0,10%
15 Trojan-Downloader.Win32.Generic 0,10%
16 Trojan-Downloader.JS.Iframe.czo 0,10%
17 AdWare.Win32.ScreenSaver.e 0,10%
18 Backdoor.MSIL.Agent.gtx 0,10%
19 Trojan.JS.Popupper.aw 0,10%
20 Exploit.Java.CVE-2012-4681.gen 0,10%

 

*Statystyki te stanowią werdykty wykrywania dostarczone przez moduł ochrony WWW i pochodzą od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o zagrożeniach wykrywanych na icgh komputerach.
**Łączna liczba unikatowych incydentów zarejestrowanych przez moduł ochrony WWW na komputerach użytkowników.

Na pierwszym miejscu rankingu nadal znajdują się szkodliwe odsyłacze z naszej czarnej listy. Obecnie wywołują one 90% wszystkich alarmów antywirusowych, o 5 procent więcej niż w poprzednim kwartale. Spośród nich 4% szkodliwych odsyłaczy zostało zablokowanych w wyniku natychmiastowych aktualizacji w chmurze; odsyłacze prowadzą do stron, do których niedawno włamali się hakerzy, lub świeżo stworzonych stron cyberprzestępczych. Użytkownicy bez zainstalowanej ochrony antywirusowej są narażeni na atak drive-by w momencie odwiedzenia takich stron.

Na trzecim miejscu znajduje się Trojan-Downloader.SWF.Voleydaytor.h. Szkodnik ten jest wykrywany na różnych stronach dla dorosłych. Na komputery użytkowników dostarczane są różne szkodliwe programy, które „twierdzą”, że aktualizują program do odtwarzania filmów.

Na siódmym miejscu znajduje się oprogramowanie AdWare.Win32.IBryte.x, które rozprzestrzenia się jako downloader popularnego oprogramowania freeware. Po uruchomieniu pobiera on żądany przez użytkownika program freeware i jednocześnie instaluje moduł adware. Warto pamiętac, że równie łatwo można pobrać potrzebne programy z oficjalnych stron, oszczędzając sobie kłopotu późniejszego usuwania oprogramowania adware. Przeprowadzone niedawno badanie sugeruje, że problem ten w największym stopniu dotyka użytkowników Internet Explorera.

Ciekawy jest program Hoax.HTML.FraudLoad.i (na 12 miejscu). Na zagrożenie to najbardziej narażeni są użytkownicy, którzy lubią pobierać filmy i oprogramowanie za darmo. Ze stron internetowych wykrywanych pod tą nazwą użytkownicy rzekomo mogą pobierać zawartość, wcześniej jednak muszą wysłać płatną wiadomość. Jednak użytkownicy, którzy zrobią to, nie otrzymają żądanego pliku, ale plik TXT zawierający porady na temat tego, jak korzystać z wyszukiwarek, lub szkodliwy program.

Listę Top 20 zamyka Exploit.Java.CVE-2012-4681.gen, exploit wykryty pod koniec sierpnia, który jednocześnie wykorzystuje dwie luki w Javie. Exploity w Javie są szczególnie popularne wśród cyberprzestępców, ponieważ na świecie istnieją ponad trzy miliardy urządzeń, na których zainstalowane są wirtualne maszyny. Exploit ten jest interesujący z tego względu, że był wykorzystywany w atakach ukierunkowanych oraz w ramach zestawów exploitów do masowej infekcji.

12 miejsce w rankingu zajmują szkodliwe programy i komponenty, które dostarczają trojany na komputer użytkownika w połączeniu z exploitami.

Państwa, w których w zasobach www zaszyte jest szkodliwe oprogramowanie

Dane te pokazują, gdzie zlokalizowane są fizycznie strony zawierające szkodliwe programy. Geograficzne źródła ataków sieciowych są określane poprzez porównywanie nazwy domeny z rzeczywistym adresem IP, pod którym zlokalizowana jest określona domena i określanie lokalizacji tego adresu IP (GEOIP).

Zaledwie 10 państw na całym świecie hostuje 86% zasobów sieciowych wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania. Drugi kwartał z rzędu odsetek ten zwiększył się o jeden punkt procentowy.


Rozkład zasobów online, w których zaszyty jest szkodliwy kod według państwa. III kwartał 2012 r.

Wśród państw hostujących szkodliwą zawartość pojawił się nowy lider: Rosja (23,2%) wyprzedziła Stany Zjednoczone (20,3%). W ostatnich trzech miesiącach odsetek szkodliwych hostów w Rosji znacznie wzrósł (+8,6 punktów procentowych); jednocześnie spadek udziału Stanów Zjednoczonych (-9,7 punktów procentowych) niemal odzwierciedla wzrost Rosji. Zwiększyła się również liczba szkodliwych hostów w Holandii (+5,8 punktów procentowych). 60% całej szkodliwej zawartości jest zlokalizowanych w pierwszej trójce państw – Rosji, Stanach Zjednoczonych i Holandii. Bez skutecznych działań ze strony organów ścigania i dostawców usług hostingowych sytuacja ta będzie utrzymywała się przez kolejne kilka miesięcy.

Nie pojawiły się żadne znaczące zmiany wśród innych państw z pierwszej dziesiątki poza spadkiem udziału Wielkiej Brytanii o 2,6 punktów procentowych.

Państwa, w których użytkownicy byli najbardziej narażeni na ryzyko infekcji przez internet

Aby ocenić ryzyko infekcji użytkownika w danym państwie, Kaspersky Lab obliczył częstotliwość wykrytych szkodliwych programów przez moduł ochrony WWW w różnych państwach w ciągu kwartału. Dane te są oparte na liczbie alarmów oprogramowania antywirusowego na komputerach w każdym państwie, nie odzwierciedlają jednak liczby użytkowników KSN w każdym państwie.


Top 20 państw* o największym ryzyku infekcji** w III kwartale 2012 r.

*Przy obliczeniach wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).
**Odsetek unikatowych użytkowników w państwie, w których znajdują się komputery z zainstalowanymi produkatami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

W poprzednim kwartale w pierwszej 20 znalazy się wyłącznie państwa z byłego Związku Socjalistycznych Republik Radzieckich, Afryki i Azji Południowo-Wschodniej. Tym razem na liście znalazły się również dwa państwa z Europy Południowej, a mianowicie Włochy (36,5%) i Hiszpania (37,4%).

Państwa te można podzielić na cztery grupy:

  1. Grupa maksymalnego ryzyka obejmuje państwa, w których ponad 60% użytkowników przynajmniej raz trafiło na szkodliwe oprogramowanie będąc online. W III kwartale do kategorii tej zaklasyfikował się Tadżykistan (61,1%), odbierając Rosji (58%) pozycję lidera.
  2. Grupa wysokiego ryzyka obejmuje państwa, w których od 41% do 60% użytkowników przynajmniej raz trafiło na szkodliwe oprogramowanie będąc online. W grupie tej znajduje się 10 państw z listy Top 20, o osiem państw mniej niż w ostatnim kwartale. Oprócz Rosji (58%) w grupie tej znajduje się Kazachstan (54,9%), Białoruś (49,6%) oraz Ukraina (46,1%).
  3. Grupa umiarkowanego ryzyka (21-40%) obejmuje 99 państw, w tym Indie (38,4%), Hiszpanię (37,4%), Włochy (36,5%), Litwę (33,5%), Chiny (33,4%), Turcję (33,3%), Stany Zjednoczone (32,4%), Brazylię (32,9%), Wielką Brytanię (30,2%), Belgię (28,3%) i Francję (28,2%).
  4. Grupa niskiego ryzyka obejmuje 27 państw, w których od 10,6% do 21% użytkowników trafiło online na szkodliwe oprogramowanie. Najbezpieczniej można było surfować w Japonii (13,6%), Danii (17,7%), Tajwanie (15,4%), Hong Kongu (19,3%), Luksemburgu (19,7%), na Słowacji (20,7%) i w Singapurze (20,9%).

Ryzyko infekcji online na świecie, III kwartał 2012 r.

Należy zauważyć, że państwa afrykańskie znajdują się w grupie charakteryzującej się najwyższym bezpieczeństwem podczas surfowania po internecie. W naszej opinii niski poziom ataków online wynika z tego, że wykorzystywanie internetu nie jest szczególnie zaawansowane w tych państwach. Potwierdzeniem tej hipotezy jest fakt, że sytuacja dotycząca lokalnych infekcji w tych państwach z pewnością nie jest zdrowa (zobacz poniżej).

W III kwartale 2012 r. średnio 36,7% komputerów użytkowników systemu KSN zostało przynajmniej raz zaatakowanych podczas surfowania online. Średnia ta jest o 3 punkty procentowe niższa niż w poprzednim kwartale.

Zagrożenia lokalne

Sekcja ta zawiera analizę statystyk opartych na danych uzyskanych ze skanera on-access oraz statystykach skanowania dla różnych dysków, łącznie z nośnikami wymiennymi (skaner on-demand).

Szkodliwe obiekty wykryte na komputerach użytkowników

W III kwartale 2012 r. rozwiązania bezpieczeństwa firmy Kaspersky Lab skutecznie zablokowały 882 545 490 prób infekcji lokalnych wykrytych na komputerach należących do sieci Kaspersky Security Network.

Skanery on-access zablokowały w sumie 328 804 unikatowych modyfikacji szkodliwych oraz potencjalnie niechcianych programów, gdy próbowały uruchomić się na komputerach użytkowników.

Top 20 szkodliwych obiektów wykrytych na komputerach użytkowników

Pozycja Nazwa % indywidualnych użytkowników*
1 Trojan.Win32.Generic 17,1%
2 DangerousObject.Multi.Generic 15,6%
3 Trojan.Win32.AutoRun.gen 14,5%
4 Trojan.Win32.Starter.yy 7,6%
5 Virus.Win32.Virut.ce 5,5%
6 Net-Worm.Win32.Kido.ih 4,8%
7 Virus.Win32.Sality.aa 3,9%
8 HiddenObject.Multi.Generic 3,9%
9 Virus.Win32.Generic 3,7%
10 Virus.Win32.Nimnul.a 3,2%
11 Trojan.WinLNK.Runner.bl 2,5%
12 Worm.Win32.AutoRun.hxw 1,8%
13 Virus.Win32.Sality.ag 1,5%
14 Trojan.Win32.Patched.dj 0,7%
15 Email-Worm.Win32.Runouce.b 0,5%
16 AdWare.Win32.BHO.awvu 0,4%
17 Trojan-Dropper.Script.Generic 0,4%
18 AdWare.Win32.GoonSearch.b 0,4%
19 Backdoor.Win64.Generic 0,3%
20 AdWare.Win32.RelevantKnowledge.a 0,3%

 

Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez skanery on-access i on-demand na komputerach użytkowników, na których zostały zainstalowane produkty firmy Kaspersky Lab, którzy zgodzili się na udostępnienie swoich danych statystycznych.
*Odsetek indywidualnych użytkowników, na komputerach których moduł antywirusowy wykrył dane obiekty jako odsetek indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach zostało wykryte szkodliwe oprogramowanie.

Na pierwszym miejscu w rankingu znajduje się Trojan.Win32.Generic (17,1%) – jest to werdykt wydany przez analizę heurystyczną podczas proaktywnego wykrywania różnorodnych szkodliwych programów.

Szkodliwe programy wykryte z pomocą technologii chmury (DangerousObject.Multi.Generic, 15,6%) awansowały o jedno miejsce na drugą pozycję. Technologie chmury są wykorzystywane wtedy, gdy ani metody oparte na sygnaturach ani heurystyczne nie potrafią od razu wykryć szkodliwego programu, a jednocześnie informacje o obiekcie istnieją już w chmurze. Zasadniczo, jest to werdykt wydawany dla najnowszych szkodliwych programów.

16, 18 i 20 miejsce zajmują programy adware. Nowością w III kwartale jest rodzina szkodliwego oprogramowania AdWare.Win32.RelevantKnowledge (0,3%). Programy należące do tej rodziny integrują się z przeglądarką internetową i okresowo wyświetlają okno zapytania.

Państwa, w których użytkownicy są najbardziej narażeni na lokalną infekcję

Poniższe dane pokazują średni współczynnik infekcji komputerów w różnych państwach. Spośród użytkowników systemu KSN, którzy dostarczają nam informacje, co najmniej jeden szkodliwy plik został wykryty na co trzecim komputerze (32,5%) – na dysku twardym lub podłączonym do niego nośniku wymiennym. Jest to o 3,9 punktów procentowych mniej w porównaniu z poprzednim kwartałem.


Poziomy infekcji komputerów według państwa* - ranking Top 20** III kwartał 2012 r.

*Odsetek unikatowych użytkowników w państwie posiadających komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe
**Przy obliczeniach wyłączyliśmy państwa, w których znajduje się mniej niż 10 000 użytkowników produktów Kaspersky Lab.

Współczynniki lokalnych infekcji można również sklasyfikować do oddzielnych kategorii według poziomu infekcji.

  1. Maksymalny poziom lokalnychj infekcji (ponad 60%): grupa ta obejmuje obecnie o 9 państw mniej i składa się z 11 krajów azjatyckich (Indii, Wietnamu, Nepalu itd.) krajów z Bliskiego Wschodu (Afganistan) oraz Afryki (Sudan, Mali, Tanzania itd.).
  2. Wysoki poziom lokalnych infekcji (41-60%): 39 państw, łącznie z Indonezją (53,5%), Egiptem (46%), Tajlandią (42,3%), Chinami (41,4%) i Filipinami (44,3%).
  3. Umiarkowany poziom infekcji lokalnych (21-40%): 56 państw, łącznie z Turcją, Meksykiem, Izraelem, Łotwą, Portugalią, Włochami, Rosją i Hiszpanią.
  4. Najniższy poziom infekcji lokalnych (poniżej 21%): grupa ta, w której znalazły się teraz nowości, składa się z 31 państw, w tym Stany Zjednoczone, Australia, Kanada, Nowa Zelandia, Puerto Rico, 19 państw europejskich (w tym Norwegia, Estonia i Francja) oraz dwa państwa azjatyckie: Japonia i Hong Kong.

Ryzyko infekcji lokalnych na świecie, III kwartał 2012 r.

10 państw, w których użytkownicy byli najmniej narażeni na lokalne infekcje, to:

Pozycja Kraj % unikatowych użytkowników
1 Dania 10,5
2 Japonia 10,6
3 Luksemburg 13,8
4 Szwajcaria 14,3
5 Szwecja 14,7
6 Niemcy 15
7 Finlandia 15,1
8 Holandia 15,1
9 Republika Czeska 15,2
10 Irlandia 15,5

 

Irlandia, która stanowi nowicjusza w tym rankingu, pojawiła się na 10 miejscu – w państwie tym 15,5% komputerów zablokowało szkodliwe programy z różnych nośników.

Luki w zabezpieczeniach

W III kwartale 2012 r. na komputerach użytkowników należących do sieci KSN wykryto w sumie 30 749 066 dziurawych programów i plików – średnia wynosiła osiem różnych luk na każdym komputerze z lukami.

W tabeli poniżej zostało przedstawionych 10 najczęściej wykrywnych luk.

Identyfikator firmy Secunia – Unikatowy numer luki Nazwa luki i odsyłacz do opisu Na co luka pozwala szkodliwym użytkownikom Odsetek użytkowników, na których komputerach wykryto lukę* Data ostatniej zmiany Ocena
1 SA 49472 Oracle Java Multiple Vulnerabilities atak DoS
uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika
Cross-Site Scripting
uzyskanie dostępu do poufnych danych
manipulacja danymi
35,00% 20.08.2012 wysoce krytyczna
2 SA 50133 Oracle Java Three Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika 21,70% 31.08.2012 niezwykle krytyczna
3 SA 50354 Adobe Flash Player Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika
uzyskanie dostępu do poufnych danych
19,00% 25.09.2012 wysoce krytyczna
4 SA 49388 Adobe Flash Player Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika
Obejście systemów bezpieczeństwa
18,80% 18.06.2012 wysoce krytyczna
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika 14,70% 11.01.2012 niezwykle krytyczna
6 SA 47447 Apple QuickTime Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika 13,80% 23.08.2012 wysoce krytyczna
7 SA 49489 Apple iTunes Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika 11,70% 10.07.2012 wysoce krytyczna
8 SA 46624 Winamp AVI / IT File Processing Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika 10,90% 03.08.2012 wysoce krytyczna
9 SA 50283 Adobe Shockwave Player Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika 10,80% 14.08.2012 wysoce krytyczna
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities uzyskanie dostępu do systemu i wykonanie losowego kodu z lokalnymi przywilejami użytkownika
Obejście systemów bezpieczeństwa
Uzyskanie dostępu do poufnych danych
9,70% 09.11.2010 niezwykle krytyczna

 

*Odsetek wszystkich użytkowników, na komputerach których została wykryta co najmniej jedna luka

Pierwsze dwa miejsca zajmują luki w Oracle Java, które zostały znalezione odpowiednio w 35% i 21,7% komputerów zawierających luki.

Pięć popularnych luk w zabezpieczeniach dotyczyło produktów Adobe: odtwarzacze Flash Reader i Shockwave oraz Reader, popularny program do czytania dokumentów PDF.

W rankingu znalazły się również dwa programy firmy Apple - QuickTime player oraz iTunes i popularny odtwarzacz multimedialny Nullsoft Winamp.


Producenci produktów posiadających luki z rankingu Top 10, III kwartał 2012 r.

Każda z najpopularniejszych 10 luk w zabezpieczeniach może zagrozić bezpieczeństwu komputera, ponieważ wszystkie z nich pozwalają cyberprzestępcom uzyskać pełną kontrolę systemu przy użyciu exploitów. Podobne jak w II kwartale, trzy luki umożliwiają osobom atakującym uzyskanie dostępu do poufnych danych. Obie luki we Flash Playerze pozwalają cyberprzestępcom obejść zintegrowane z aplikacją systemy bezpieczeństwa. W pierwszej 10 znajdują się również luki, które umożliwiają osobom atakującym manipulowanie danymi i przeprowadzanie ataków DDoS oraz XSS.


Rozkład 10 najpopularniejszych luk według rodzaju wpływu na system, III kwartał 2012 r.

Produkty firmy Microsoft nie występują już w rankingu Top 10 produktów zawierających luki. Wynika to z tego, że mechanizm automatycznych aktualizacji został dobrze rozwinięty w najnowszych wersjach systemu Windows.

Źródło:
Kaspersky Lab