Home → Analizy → Zagrożenia → Ewolucja zagrożeń IT → Ewolucja zagrożeń IT: II kwartał 2012 r.
W II kwartale 2012 r. liczba trojanów atakujących platformę Android zwiększyła się prawie trzykrotnie w stosunku do pierwszego kwartału. W ciągu minionych trzech miesięcy do naszych baz danych zostało dodanych ponad 14 900 nowych szkodliwych programów.

Dynamiczny rozwój zagrożeń atakujących Androida wskazuje na to, że coraz więcej autorów wirusów koncentruje się na tworzeniu szkodliwych programów dla urządzeń mobilnych. Rozwój mobilnych zagożeń, podobnie jak w przypadku zagrożeń dla Windowsa, doprowadził do powstania czarnego rynku dystrybucji szkodliwego oprogramowania. Głównymi kanałami dystrybucji są nieoficjalne sklepy internetowe z aplikacjami oraz programy partnerskie. Jednocześnie, mobilne szkodliwe oprogramowanie staje się coraz bardziej złożone: szkodliwi użytkownicy ciężko pracowali, żeby wymyśleć nowe techniki zaciemniania i ochrony kodu, kóre komplikują proces analizy zagrożeń.
Prawie połowę (49%) wszystkich zagrożeń wykrytych przez Kaspersky Lab w drugim kwartale 2012 r. stanowiły wielofunkcyjne trojany, które kradną dane z telefonów (kontakty, adresy e-mail, numery telefonu itd.) i potrafią pobierać dodatkowe moduły z serwerów utrzymywanych przez szkodliwych użytkowników.
Jedną czwartą szkodliwego oprogramowania dla Androida stanowiły trojany SMS. Szkodniki te kradną pieniądze z kont ofiar i – niepostrzeżenie dla nich - wysyłają je na płatne numery za pośrednictwem wiadomości tekstowych z ich urządzeń mobilnych. Kilka lat temu programy te można było znaleźć tylko w byłych republikach Związku Radzieckiego, w Azji Wschodniej i Chinach. Dzisiaj są już na całym świecie: w II kwartale 2012 r. Kaspersky Lab chronił przed zagrożeniami SMS użytkowników z 47 państw.
Około 18% zagrożeń dla Androida wykrytych w drugim kwartale tego roku stanowiły backdoory, które umożliwiają szkodliwym użytkownikom przejęcie pełnej kontroli nad zainfekowanym urządzeniem. Programy te są wykorzystywane do budowy botnetów złożonych z mobilnych urządzeń.

Obecnie tylko niewielka liczba trojanów szpiegujących atakuje Androida – zaledwie 2% ogółu. Z drugiej strony są to szkodliwe programy, które stanowią największe zagrożenie dla użytkowników. Programy te polują na najcenniejsze dane, które zapewniają szkodliwym użytkownikom dostęp do kont bankowych.
W czerwcu eksperci z Kaspersky Lab wykryli nową wersję szkodliwego programu przechwytującego przychodzące wiadomości tekstowe. Zagrożenie to podszywa się pod aplikację Android Security Suite Premium. Jednak cechą, która wyróżnia ten program spośród innych, jest to, że wszystkie jego serwery kontroli zostały zarejestrowane na jedną osobę. Dane te były oczywiście fałszywe, jednak dokładnie te same zostały wykorzystane do zarejestrowania wielu domen kontroli dla Zbota (ZeuSa). Z tego można wnioskować, że celem przechwytywania wiadomości tekstowych jest uzyskanie kodów służących do autoryzacji transakcji bankowych i że zagrożenie to należy do rodziny Trojan-Spy.AndroidOS.Zitmo.
Liczba zagrożeń atakujących komputery Mac wykrytych w II kwartale 2012 r. zmniejszyła się w porównaniu z pierwszym kwartałem tego roku. Do naszych antywirusowych baz danych zostały dodane wpisy pozwalające na wykrycie 50 nowych szkodliwych programów dla Mac OS X.
Po tym, jak w zeszłym kwartale został wykryty botnet FlashFake – złożony z ponad 700 000 komputerów Mac – Apple zaczął aktywniej reagować na kwestie dotyczące bezpieczeństwa swojego systemu operacyjnego. Przykładem może być opublikowanie krytycznych łat dla Oracle Javy w tym samym czasie co ich wersje windowsowe oraz zapowiedź funkcji bezpieczeństwa dla kolejnej wersji Mac OS X: domyślne ustawienia instalacji aplikacji tylko z oficjalnego sklepu oraz wykorzystywanie sandboksa dla aplikacji pobieranych ze sklepu, automatyczna instalacja aktualizacji itd.

Prognoza Kaspersky Lab, według której w drugim kwartale nadal będą przeprowadzane ataki na użytkowników komputerów Mac, sprawdziła się. Pod koniec czerwca 2012 r. nasze radary antywirusowe wykryły nowy ukierunkowany atak na ujgurskich użytkowników Maków w Chinach. W przeciwieństwie do poprzednich ataków, szkodliwi użytkownicy nie wykorzystali exploitów w celu dostarczenia zagrożeń na komputery swoich ofiar. Tym razem konkretnej grupie osób wysłano e-maile z załącznikiem spakowanym przy użyciu ZIP-a. Archiwum ZIP zawierało pliki JPG oraz aplikację dla systemu Mac z ikonką dokumentu tekstowego. Jest to klasyczny przykład socjotechniki. Głównym komponentem ataku był plik wykonywalny podszywający się pod dokument tekstowy - backdoor dla systemu Mac OS X, który działa zarówno w architekturze i386 jak i PowerPC i jest wykrywany przez produkty firmy Kaspersky Lab jako Backdoor.OSX.MaControl.b. Rozwiązania Kaspersky Lab wykryły również wykorzystywanego w tym samym ataku backdoora dla Windowsa.
Backdoor ten wykonuje wiele funkcji, głównie jednak umożliwia szkodliwym użytkownikom uzyskiwanie plików z zainfekowanej maszyny. Dane konfiguracyjne z serwerów kontroli są szyfrowane przy pomocy dość prostej metody, która pozwoliła nam stwierdzić, że centrum kontroli jest zlokalizowane w Chinach.
Produkty firmy Apple są dość popularne wśród wielu wpływowych postaci ze świata polityki oraz znanych biznesmenów, a informacje przechowywane na urządzeniach tych osób są interesujące dla określonej kategorii szkodliwych użytkowników. To oznacza, że ataki APT na użytkowników komputerów Mac nadal będą przeprowadzane. Ewolucja ataków ukierunkowanych mogłaby doprowadzić do powstania zagrożeń wieloplatformowych, które będą posiadały podobny kod i będą działały na kilku najpopularniejszych systemach operacyjnych.
W II kwartale tego roku w mediach pojawiły się informacje dotyczące wycieku baz zawierających hasła z kilku znanych serwisów internetowych. Jedna z największych rewelacji dotyczyła upublicznienia części bazy danych (6,5 miliona zahashowanych haseł) popularnego portalu społecznościowego LinkedIn. 6 czerwca, dzień po opublikowaniu danych, firma potwierdziła wyciek i poinformowała, że w wyniku szybkiej reakcji opublikowane hasła zostały zawieszone i użytkownicy muszą stworzyć nowe.
Niestety, zanim informacje te zostały opublikowane, ponad połowa haseł została już pobrana z bazy danych. W jaki sposób udało się dokonać tego tak szybko? Duże znaczenie ma tu fakt, że LinkedIn, z jakiegoś powodu, przechowywał swoje hashe bez tak zwanego ciągu zaburzającego (ang. salting) – czyli dodawania losowych bitów do źródłowego hasła przed hashowaniem. Ponieważ technologia ta nie została użyta, hash SHA-1 został bardzo szybko odnaleziony poprzez skanowanie z wcześniej obliczonymi hashami z popularnych haseł ze słowników. Innym czynnikiem, który przyczynił się do tak szybkiego uzyskania haseł, jest fakt, że ponad połowa z nich była bardzo prosta, co ułatwiło ich złamanie. Po tym incydencie LinkedIn poinformował, że od tej pory będzie wykorzystywał zarówno hashowanie jak i ciąg zaburzający w celu przechowywania haseł.
Aby nie stać się ofiarą podobnego ataku, użytkownicy powinni przede wszystkim stosować długie, złożone hasła, które są trudniejsze do złamania. Trzeba również pamiętać, że wykorzystywanie tego samego hasła dla różnych serwisów znacząco zwiększa zakres potencjalnych szkód w przypadku włamania się do jednego konta.
Kaspersky Lab zaleca również, aby administratorzy stron internetowych wykorzystywali podczas przechowywania haseł przynajmniej hashowanie oraz ciąg zaburzający. Niezależnie od tego warto pamiętać, że stosowanie bezpiecznych algorytmów hashowania (takich jak SHA-1 czy MD5) oraz soli w przypadku systemów generujących GPU podczas skanowania haseł nie zawsze oznacza pełną ochronę przed atakami hakerskimi. Bardziej niezawodnym rozwiązaniem jest wykorzystywanie algorytmów, takich jak PBKDF2 (Password-Based Key Derivation Function 2) czy bcrypt, które nie tylko domyślnie wykorzystują ciąg zaburzający, ale również pomagają spowolnić proces skanowania haseł.
Największym incydentem w ostatnim czasie związanym z oprogramowaniem spyware było wykrycie robaka Flame.
International Telecommunication Union poprosił Kaspersky Lab o pomoc w poszukiwaniu nieznanego szkodliwego programu, który usuwał poufne dane z komputerów zlokalizowanych na Bliskim Wschodzie. W czasie tej operacji Kaspersky Lab wykrył nowy szkodliwy program, który otrzymał nazwę Worm.Win32.Flame.
Chociaż główna funkcja Flame’a różni się od znanych cyberbroni, takich jak Duqu czy Stuxnet, wszystkie te szkodliwe programy mają wiele wspólnego: rozkład geograficzny ataków oraz określony cel połączony z wykorzystywaniem konkretnych luk w zabezpieczeniu oprogramowania. To pozwala uplasować Flame’a wśród innych cybernetycznych superbroni stosowanych na Bliskim Wschodzie przez nieznanych szkodliwych użytkowników.
Flame jest znacznie bardziej złożony niż Duqu i składa się z bardzo „sprytnego” zestawu narzędzi do przeprowadzania ataków. Rozmiar programu wynosi prawie 20 MB. Jest to backdoor, który wykazuje również cechy robaka: potrafi samodzielnie rozprzestrzeniać się w lokalnych sieciach i za pośrednictwem nośników wymiennych, gdy otrzyma odpowiednie polecenia. Najbardziej niebezpiecznym sposobem rozprzestrzeniania Flame’a jest replikacja tego szkodnika w sieciach lokalnych, które są już zainfekowane szkodliwym oprogramowaniem podszywającym się pod aktualizacje dla systemu Windows. Co więcej, jego kod posiada certyfikaty, które początkowo zostały wydane przez firmę Microsoft. Microsoft odkrył, że jego podpisy cyfrowe są nielegalnie wykorzystywane i natychmiast je unieważnił. Firma niezwłocznie opublikowała poradnik bezpieczeństwa na ten temat i wydała aktualizację KB2718704.
Flame ukradł różne dane z zainfekowanych komputerów zlokalizowanych na Bliskim Wschodzie (w Iranie, Sudanie, Syrii itd.), łącznie z plikami wideo i audio, jak również odbitkami AutoCAD.
Szkodnik ten jest jednym z najbardziej złożonych współczesnych cyberzagrożeń. Ma duży rozmiar, posiada niezwykle skomplikowaną strukturę i stanowi doskonały przykład tego, jak szpiegostwo może ewoluować w XXI wieku.
Wszystkie podawane tutaj statystyki opierają się na danych zebranych przez system Kaspersky Security Network oraz jego moduły bezpieczeństwa. Statystyki te zostały uzyskane od użytkowników KSN, którzy wyrazili zgodę na udostępnienie danych dotyczących szkodliwej aktywności na ich komputerach. Miliony użytkowników produktów firmy Kaspersky Lab w 213 krajach biorą udział w globalnej wymianie informacji dotyczącej szkodliwej aktywności.
Zaprezentowane w tej sekcji statystyki zostały dostarczone przez rozwiązanie antywirusowe, które chroni użytkowników, jak tylko szkodliwy kod zostanie załadowany z zainfekowanej strony internetowej. Infekcje można znaleźć na stronach internetowych, na których użytkownicy mogą tworzyć własne treści (np. fora), a nawet na legalnych stronach, które padły ofiarą włamania hakerów.
W II kwartale 2012 r. zneutralizowano 434 143 004 ataków z zasobów sieciowych zlokalizowanych w różnych państwach. Na tych zasobach wykryto 145 007 unikatowych modyfikacji szkodliwych i potencjalnie niechcianych programów.
Top 20 szkodliwych programów w internecie
| Pozycja | Nazwa* | % wszystkich ataków** |
| 1 | Malicious URL | 85,8% |
| 2 | Trojan.Script.Iframer | 3,9% |
| 3 | Trojan.Script.Generic | 2,7% |
| 4 | Exploit.Script.Blocker | 0,6% |
| 5 | Trojan.JS.Popupper.aw | 0,4% |
| 6 | Trojan.Win32.Generic | 0,4% |
| 7 | Trojan-Downloader.JS.Iframe.cxk | 0,3% |
| 8 | Trojan-Downloader.JS.Expack.sn | 0,2% |
| 9 | Exploit.Script.Generic | 0,2% |
| 10 | Trojan-Downloader.Script.Generic | 0,2% |
| 11 | Trojan-Downloader.JS.Agent.gqu | 0,2% |
| 12 | Trojan-Downloader.Win32.Generic | 0,2% |
| 13 | Hoax.HTML.FraudLoad.h | 0,1% |
| 14 | Trojan-Downloader.SWF.FameGake.a | 0,1% |
| 15 | Trojan.JS.Iframe.aaw | 0,1% |
| 16 | Trojan.JS.Agent.bxw | 0,1% |
| 17 | AdWare.Win32.IBryte.x | 0,1% |
| 18 | AdWare.Win32.ScreenSaver.i | 0,1% |
| 19 | Trojan-Downloader.JS.Agent.grd | 0,1% |
| 20 | Trojan-Downloader.JS.JScript.ag | 0,1% |
*Statystyki te dotyczą szkodliwych programów wykrytych przez moduł antywirusowy i zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy wyrazili zgodę na udostępnienie danych dotyczących szkodliwej aktywności na ich komputerach.
**Łączna liczba unikatowych incydentów zarejestrowanych przez moduł antywirusowy na komputerach użytkowników.
Umieszczone na czarnej liście szkodliwe odsyłacze stanowiły najczęściej wykrywane szkodliwe programy w internecie w II kwartale. Ich odsetek zwiększył się o 1,5% w porównaniu z pierwszym kwartałem tego roku i wynosił 85,5% wszystkich wykrytych szkodliwych programów. W większości obejmowały one różne strony internetowe przekierowujące użytkowników. Czytelnicy być może przypominają sobie, że najpopularniejszym sposobem infekcji jest wykorzystywanie ataków drive-by. Ponadto, użytkownicy klikają niebezpieczne odsyłacze sami z siebie, np. szukając pirackiego oprogramowania. Jak zwykle, znaczna część szkodliwych adresów została wykryta na stronach związanych z pakietami exploitów.
Trzynaście programów w rankingu Top 20 to szkodniki, które wykorzystują luki w oprogramowaniu i dostarczają inne szkodliwe programy na komputer ofiary. Dwa z nich to szkodliwe programy, które zostały wykryte heurystycxznie: Exploit.Script.Blocker oraz Exploit.Script.Generic.
Ilość oprogramowania adware nadal spada i w drugim kwartale 2012 r. do rankingu Top 20 zaklasyfikowały się tylko dwa programy tego typu. Programy te działają jako dodatki do przeglądarki w postaci nowego panelu wyszukiwania i zmieniają stronę główną. Zasadniczo są to legalne programy, a ich autorzy płacą za ich instalację. Jednak niektórzy dystrybutorzy takich programów chętnie przyjmą zapłatę bez uzyskania zgody użytkownika przed zainstalowaniem programu.
Większość ataków online jest przeprowadzanych przy użyciu exploitów, które wykorzystują błędy w oprogramowaniu pozwalające szkodliwym użytkownikom na wykonanie szkodliwych programów bez wzbudzenia podejrzeń ofiary./p>
Które aplikacje są najbardziej podatne na exploity? Odpowiedź została przedstawiona na diagramie poniżej: Adobe Acrobat Reader, Java, Android Root oraz Adobe Flash Player. Użytkownicy powinni instalować aktualizacje dla tych programów – a nawet, zezwalać na ich automatyczną aktualizację.

Aby zidentyfikować geograficzne źródło ataku, nazwę domeny porównuje się z rzeczywistym adresem IP, w którym zlokalizowana jest dana domena, i określa się geograficzną lokalizację adresu IP (GEOIP).
W II kwartale 2012 r. 85% zasobów online zlokalizowanych na całym świecie (o 1% więcej niż w I kwartale 2012 r.) było wykorzystywanych do rozprzestrzeniania szkodliwych programów.

Lista Top 10 państw posiadających zasoby, w których zaszyty jest szkodliwy kod, nie uległa znaczącym zmianom – znalazły się na niej te same państwa co w zeszłym kwartale. W ciągu ostatnich trzech miesięcy odsetek serwisów hostingowych zlokalizowanych w Stanach Zjednoczonych znacząco wzrósł (+7 punktów procentowych). Spowodowane to było głównie pogorszeniem się „wyników” innych państw z pierwszej dziesiątki: Rosji (-1,5 punktu procentowego), Niemiec (-1,9 punktu procentowego), Holandii (-1,2 punktu procentowego), Wielkiej Brytanii (-1 punkt procentowy) oraz Francji (-1,7 punktu procentowego). Drugie miejsce w tym kwartale zajęła Rosja (14%), spychając Holandię na trzecią pozycję (12%).
Aby ocenić ryzyko infekcji dla użytkowników w danym państwie, Kaspersky Lab określił częstotliwość wykrywania szkodliwych programów przez moduł ochrony WWW oprogramowania antywirusowego w różnych państwach w II kwartale.

*Podczas obliczeń wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).
**Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.
Listę Top 20 tworzą w większości byłe republiki Związku Radzieckiego, jak również państwa z Afryki i Południowo-Wschodniej Azji.
Państwa te można przydzielić do różnych grup ryzyka.
Najniższe współczynniki infekcji zostały odnotowane w Tajwanie (15,2%), Japonii (18,1%), Danii (18,9%), Luksemburgu (19,7%) oraz Republice Czeskiej (20%). Warto wspomnieć, że w grupie tej znalazły się również niektóre państwa z Afryki, mimo że odnotowują one wyższe współczynniki lokalnej infekcji.

W drugim kwartale 2012 r. średnio 39,7% komputerów z systemem KSN (tj. cztery na każde dziesięć komputerów na świecie) zostało wystawionych na ataki podczas surfowania po internecie przez użytkowników. Średnia ta zwiększyła się o 11 punktów procentowych w stosunku do pierwszego kwartału.
Ta sekcja raportu zawiera analizę statystyk opartych na danych dostarczonych przez skaner on-access oraz statystyk ze skanowania różnych dysków, łącznie z nośnikami wymiennymi (skaner na żądanie).
W drugim kwartale 2012 r. rozwiązania firmy Kaspersky Lab skutecznie zablokowały 1 041 194 194 prób lokalnych infekcji komputerów użytkowników należących do sieci Kaspersky Security Network.
Skaner on-access zarejestrował łącznie 383 667 unikatowych modyfikacji szkodliwego oprogramowania oraz potencjalnych niechcianych programów próbujących uruchomić się na komputerach użytkowników.
Obiekty wykryte na komputerach użytkowników: Top 20
| Miejsce | Nazwa | % indywidualnych użytkowników* |
| 1 | Trojan.Win32.AutoRun.gen | 17,8% |
| 2 | Trojan.Win32.Generic | 17,.4% |
| 3 | DangerousObject.Multi.Generic | 16,1% |
| 4 | Trojan.Win32.Starter.yy | 7,4% |
| 5 | Virus.Win32.Sality.bh | 6,7% |
| 6 | Virus.Win32.Virut.ce | 5,4% |
| 7 | Net-Worm.Win32.Kido.ih | 5,1% |
| 8 | Virus.Win32.Sality.aa | 4,2% |
| 9 | HiddenObject.Multi.Generic | 3,6% |
| 10 | Virus.Win32.Nimnul.a | 3,1% |
| 11 | Trojan.WinLNK.Runner.bl | 2,2% |
| 12 | Worm.Win32.AutoRun.hxw | 2,0% |
| 13 | Trojan.Win32.Hosts2.gen | 1,4% |
| 14 | Virus.Win32.Sality.ag | 1,4% |
| 15 | Worm.Win32.Mabezat.b | 1,0% |
| 16 | AdWare.Win32.GoonSearch.b | 0,8% |
| 17 | AdWare.Win32.BHO.aqbp | 0,7% |
| 18 | Trojan-Dropper.Script.Generic | 0,5% |
| 19 | AdWare.Win32.HotBar.dh | 0,3% |
| 20 | Trojan-Downloader.WMA.Wimad.ag | 0,3% |
Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez skaner on-access oraz skaner na żądanie na komputerach użytkowników z zainstalowanym produktem firmy Kaspersky Lab; użytkownicy ci zgodzili się udostępnić dane dotyczące szkodliwej aktywności na ich komputerach.
* Liczba indywidualnych użytkowników, na komputerach których moduł antywirusowy wykrył dane obiekty, jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na komputerach których wykryto szkodliwy program.
Na pierwszym miejscu listy, z odsetkiem 17,8%, znalazło się uaktualnione, wykrywane heurystycznie zagrożenie rozprzestrzeniające się za pośrednictwem nośników wymiennych, głównie dysków flash. Uplasowanie się tego zagrożenia na pierwszym miejscu rankingu w drugim kwartale świadczy o tym, że ślady szkodliwych programów zostały wykryte na bardzo dużej części nośników wymiennych.
Na drugim miejscu znalazł się werdykt dostarczony przez analizę heurystyczną podczas proaktywnego wykrywania różnych szkodliwych programów: Trojan.Win32.Generic (17.4%).
Szkodliwe programy wykryte przy użyciu technologii opartych na chmurze (16,1%) spadły z pierwszego miejsca na trzecie. Technologie te działają wtedy, gdy antywirusowe bazy danych nie posiadają jeszcze sygnatur ani heurystyki umożliwiającej wykrywanie szkodliwych programów, a „chmura” firmy antywirusowej dysponuje już danymi o zagrożeniu. W takim przypadku zagrożenie otrzymuje nazwę DangerousObject.Multi.Generic.
W drugim kwartale programy adware znalazły się na 16, 17 oraz 20 miejscu rankingu. Pojawiła się również jedna nowość: AdWare.Win32.GoonSearch (0,8%). Programy z tej rodziny to dodatki do przeglądarki IE, były jednak przypadki, gdy zostały zainstalowane na komputerach użytkowników bez ich zgody; programy te zwalczają również działania rozwiązań antywirusowych.
Net-Worm.Win32.Kido (5,1%) nadal odnotowywał spadek w II kwartale 2012 r. Awansował z kolei inny przedstawiciel infektorów plików: oprócz wirusów Virus.Win32.Sality.bh, Virus.Win32.Sality.aa, Virus.Win32.Nimnul.a oraz Trojan.Win32.Starter.yy, Kaspersky Lab zarejestrował również pojawienie się szkodnika Virus.Win32.Virut.ce (5,4%), który infekuje maszyny i przyłącza je do dużego botnetu wykorzystywanego do rozprzestrzeniania innych szkodliwych programów.
Poniższy diagram pokazuje średni współczynnik infekcji w różnych państwach. Około 36,5% komputerów należących do sieci KSN przynajmniej jeden raz odnotowało wykrycie szkodliwego pliku (na komputerze lub na podłączonym do komputera nośniku wymiennych). To o 5,7 punktów procentowych mniej niż w pierwszym kwartale tego roku.

* Nie uwzględniliśmy państw, w których według naszych kalkulacji liczba użytkowników produktów firmy KL jest stosunkowo niewielka (mniej niż 10 000).
** Odsetek wszystkich lokalnych zagrożeń na komputerach użytkowników w porównaniu z wszystkimi unikatowymi użytkownikami produktów firmy KL w danym państwie..
Listę Top 20 tworzą w większości państwa z Afryki i Azji Południowo-Wschodniej. W Bangladeszu produkty firmy Kaspersky Lab wykryły szkodliwe programy na 98 na każde 100 komputerów.
Współczynniki infekcji lokalnych można również przydzielić do różnych kategorii.

10 państw, w których użytkownicy są najmniej narażeni na ryzyko lokalnej infekcji:
| Pozycja | Państwo | % unikatowych użytkowników |
| 1 | Dania | 12,0 |
| 2 | Reunion | 13,4 |
| 3 | Republika Czeska | 13,6 |
| 4 | Japonia | 14,6 |
| 5 | Luksemburg | 15,0 |
| 6 | Szwecja | 15,0 |
| 7 | Szwajcaria | 16,2 |
| 8 | Finlandia | 16,3 |
| 9 | Niemcy | 17,2 |
| 10 | Holandia | 17,7 |
Dania, Luksemburg, Republika Czeska oraz Japonia znalazły się na liście państw o najniższym ryzyku infekcji podczas surfowania po Internecie. Jednak nawet w Danii szkodliwe programy można znaleźć na 12 na każde 100 komputerów.
W II kwartale 2012 r. na komputerach użytkowników systemu KSN wykryto w sumie 31 687 277 podatnych na ataki programów i plików. Średnio, Kaspersky Lab wykrywał dziewięć różnych luk na każdym komputerze.
10 najczęściej wykrywanych luk przedstawia tabela poniżej.
| Lp. | Secunia ID - unikatowy numer luki | Nazwa luki i odsyłacz do jej opisu | Na co pozwala luka szkodliwym użytkownikom | "Odsetek użytkowników, na komputerach których została wykryta luka" | Data ostatniej zmiany | Ranking |
| 1 | SA 48009 | Oracle Java JDK / JRE / SDK Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika Uzyskanie dostępu do poufnych danych Manipulowanie danymi Ataki DoS |
31,4% | 4/10/2012 | Wysoce krytyczna |
| 2 | SA 48281 | Adobe Flash Player Two Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika Uzyskanie dostępu do poufnych danych |
20,9% | 4/10/2012 | Wysoce krytyczna |
| 3 | SA 48500 | VLC Media Player Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika | 19,3% | 3/21/2012 | Wysoce krytyczna |
| 4 | SA 49472 | Oracle Java Multiple Vulnerabilities | Ataki DoS Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika. XSS Uzyskanie dostępu do poufnych danych Manipulowanie danymi |
16,5% | 7/18/2012 | Wysoce krytyczna |
| 5 | SA 47133 | Adobe Reader/Acrobat Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika | 14,4% | 1/11/2012 | Ekstremalnie krytyczna |
| 6 | SA 23655 | Microsoft XML Core Services Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika. Ataki DoS XSS " |
13,5% | 7/13/2011 | Wysoce krytyczna |
| 7 | SA 49086 | Adobe Shockwave Player Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika | 11,4% | 5/10/2012 | Wysoce krytyczna |
| 8 | SA 47447 | Apple QuickTime Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika | 11,3% | 6/29/2012 | Wysoce krytyczna |
| 9 | SA 47932 | Adobe Shockwave Player Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika | 9,8% | 2/15/2012 | Wysoce krytyczna |
| 10 | SA 49388 | Adobe Flash Player Multiple Vulnerabilities | Uzyskanie dostępu do systemu i wykonanie losowego kodu z prawami lokalnego użytkownika. Obejście systemu bezpieczeństwa. |
9,2% | 6/18/2012 | Wysoce krytyczna |
* Odsetek wszystkich użytkowników, na komputerach których wykryto przynajmniej jedną lukę.
Na pierwszym miejscu, podobnie jak w pierwszym kwartale tego roku, znajdują się produkty Java (tworzone przez Oracle). Luki w zabezpieczeniach Javy stanowią 31% luk wykrytych na komputerach. Na liście Top 10 znajdują się dwie luki w Javie.
Pięć na 10 miejsc w rankingu zajmują produkty firmy Adobe: Flash Player oraz Shockwave, jak również bardzo popularny Adobe Reader.
Jedyny nowy produkt na naszej liście Top 10 w II kwartale to luka wykryta w darmowym odtwarzaczu multimediów - VLC.

Wszystkie luki na liście Top 10 pozwalają szkodliwym użytkownikom wykorzystywać exploity w celu uzyskania pełnej kontroli nad systemem ofiary. Niektóre umożliwiają przeprowadzanie ataków DoS oraz zdobycie dostępu do poufnych informacji. Lista Top 20 zawiera również luki, które pozwalają szkodliwym użytkownikom manipulować danymi, obchodzić systemy bezpieczeństwa i przeprowadzać ataki XSS.

W drugim kwartale 2012 r. nadal mogliśmy obserwować stały wzrost liczby zagrożeń atakujących platformę Android. W ciągu minionych trzech miesięcy dodaliśmy do naszej kolekcji prawie 15 000 plików o rozszerzeniu dex. Szkodliwe programy dla Androida ewoluują również pod względem złożoności – twórcy wirusów wymyślają różne sposoby utrudniania wykrywania i analizy swoich programów. Wskazuje to na wzrost liczby autorów wirusów, którzy przerzucili się na rozwój mobilnego szkodliwego oprogramowania. Rozwija się również oferta istniejących na czarnym rynku usług rozprzestrzeniania mobilnych zagrożeń, co w nieodległej przyszłości doprowadzi do wzrostu liczby ataków na użytkowników urządzeń mobilnych przy jednoczesnym zwiększeniu się stopnia wyrafinowania tych ataków.
Wycieki spowodowane działaniem ugrupowań cyberprzestępczych, w wyniku których ucierpiały popularne serwisy, stały się częstsze w ostatnim kwartale i doprowadziły do ujawnienia haseł milionów użytkowników Internetu. Niestety, duża liczba użytkowników wybiera tę samą kombinację nazwy użytkownika i hasła dla różnych serwisów, zwiększając ryzyko utraty cennych danych osobistych. Trzeba jednak pamiętać, że użytkownicy sami są sobie winni, jeżeli stosują proste hasła i przez to dochodzi do szybkiego odszyfrowania zarchiwizowanych baz haseł. To samo dotyczy administratorów stron internetowych, którzy wykorzystują zbyt proste metody szyfrowania. Problem ten nie jest nowy i można rozwiązać go na wiele sposobów. Miejmy nadzieję, że częste ataki hakerskie spowodują, że administratorzy zaczną stosować pewniejsze algorytmy w celu przechowywania haseł.
W następnym kwartale odbędą się dwie ważne konferencje dla hakerów - BlackHat oraz Defcon. Podczas obu tych wydarzeń przedstawianych jest wiele nowych technik ataków, które zwykle natychmiast zostają wykorzystane przez cyberprzestępców. Dlatego też należy się spodziewać, że w trzecim kwartale szkodliwi użytkownicy zaczną wypróbowywać swoje nowe sztuczki.
W II kwartale 2012 r. w centrum zainteresowania mediów znalazł się cyberszpiegowski program Flame. Oprócz swojego ogromnego rozmiaru i szerokiego wachlarza narzędzi, który może wykorzystać do pobierania danych z zainfekowanych maszyn, Flame posiada również interesujący mechanizm rozprzestrzeniania się w sieciach lokalnych poprzez tworzenie fałszywego serwera aktualizacji Windows. Co więcej, w jednej z wersji niesławnego robaka Stuxnet wykryty został kod podobny do sekcji kodu Flame’a, który pojawił się już w 2009 r. Sugeruje to, że twórcy tych dwóch programów są w pewien sposób powiązani ze sobą.
Sytuacja dotycząca cyberbroni przypomina trochę puszkę Pandory, która po otworzeniu nie może już zostać zamknięta. Wiele państw na świecie wydało oficjalne oświadczenie, w którym zobowiązało się do opracowania standardów dla operacji w cyberprzestrzeni oraz stworzenia wyspecjalizowanych jednostek. W efekcie, historia cyberbroni nie ograniczy się jedynie do Duqu i Flame’a. Głównym wyzwaniem w tym przypadku jest brak jakiejkolwiek kontroli w postaci międzynarodowej regulacji cyberprzestrzeni.
Analizy
Blog