Введение
24 января 2006 года “Лаборатория Касперского” провела очень интересное мероприятие для журналистов, касающееся вирусных итогов 2005 года. Специалисты компании рассказали об основных тенденциях в развитии вредоносных программ в 2005 году и защиты от них. Отдельный доклад был посвящён спаму, одной из самых острых проблем современной компьютерной индустрии. Конференцию открыл сам гуру компании Евгений Касперский.
Евгений Касперский: стало совсем плохо
Евгений начал с анализа событий 2005 года. “Раньше было плохо, сейчас стало совсем плохо”. Десять лет назад были школьники, которые писали вирусы для удовольствия, а сегодня этим занимаются взрослые дяди, чтобы заработать деньги. И таких коммерческих вирусописателей становится всё больше. На пользователей обрушивается всё больше троянских программ и червей. Сегодня подавляюще большинство “писателей” создают вредоносные программы для того, чтобы заработать деньги. За 2005 год произошло двойное увеличение троянских программ, которое поступает в “Лабораторию Касперского”. Размер антивирусных баз тоже вырос практически вдвое.
В чём причина таких тенденций. Как отметил Евгений, в любом сообществе имеется криминальная составляющая. Она зависит от соотношения размера общества, экономической ситуации и активности полиции. Если полиция действует активно, то некоторых злодеев поймают, а кто-то просто взвесит все “за” и “против” и не будет заниматься ничем криминальным. Если экономика процветает, то намного лучше заработать деньги честным, а не криминальным путём.
Как кажется Евгению, до баланса указанных факторов в Интернете ещё очень далеко. Сегодня Интернет является нишей, куда устремляются новые криминальные группы. Сколько их? Оценка Евгения: несколько сотен индивидуумов и криминальных групп, занимающихся нелегальным добыванием денег. В них работает несколько тысяч человек. Возможно, даже больше, чем в антивирусных компаниях. Каждый месяц появляются десятки тысяч вредоносных программ. К счастью, многие из них повторяют друг друга, поэтому их можно определять одной записью. Так что реально каждый месяц “Лаборатория Касперского” добавляет около пяти тысяч записей.
Евгений Касперский привел несколько любопытных примеров того, как делают деньги. Самый громкий пример: весенний арест хакера в Израиле, который заразил троянской программой отделение японского банка в Лондоне. Злоумышленник собирался перевести на свой счёт 420 миллионов долларов США. Конечно, были случаи и с меньшими суммами.
Но не следует думать, что злоумышленники всегда похищают деньги напрямую. Здесь Евгений привёл пример итальянца, который написал телефонного “трояна”. Программа звонила на платный телефонный номер, в результате чего владельцам заражённых компьютеров приходили достаточно большие счета. За две недели итальянец смог заработать около ста тысяч евро.
И примеров подобного “творческого” подхода становится всё больше. Полиция охотится за хакерами с попеременным успехом, но проследить всех злоумышленников в Интернете попросту невозможно.
Бизнес и домашние пользователи сегодня находятся под постоянной атакой компьютерного криминала. Если вирусы размножались, иногда вредили, то “трояны” что-то делают втайне от пользователя. Причём действия направлены не на ваше благо, а на благо злоумышленника. “Троян” может рассылать спам, воровать личную информацию, выполнять распределённые атаки.
Евгений отметил, что за прошедший год снизилось число преступлений компьютерного рэкета. Дело в том, что в подобных преступлениях злодеев обычно ловят в момент передачи денег, поэтому ускользнуть от органов правопорядка сложнее.
Сегодня, как указал Евгений, смещаются акценты к требованиям к антивирусным и защитным программам. Акцент смещается в сторону качества. Раньше качество детектирования было не толь важно: на первом месте стояли цена продукта и маркетинг. Сейчас же главным требованием является качество распознавания зловредного кода.
Юрий Машевский: народ разводят, как кроликов
Конференцию продолжил Юрий Машевский, вирусный аналитик “Лаборатории Касперского”. Как можно заметить по статистике, финансовый ущерб от вирусов в 2005 году уменьшился (около $14 млрд. против $17 млрд. в 2004). Но в эти цифры входят только затраты, потраченные на восстановление инфраструктуры и не учитываются те суммы, которые были потеряны из-за атак. По оценке ФБР реальный ущерб составил в 2005 году $63 млрд., а по мнению “Лаборатории Касперского” он ещё выше.
В 2005 году произошло четыре крупные эпидемии против около пятидесяти в 2004 году. То есть число вирусных эпидемий существенно снизилось. С чем это связано? Юрий выделил три фактора.
- Активизировалась деятельность правоохранительных систем. Наладилось более тесное взаимодействие между международными отделами. Ряд арестов авторов наиболее “прославившихся” вредоносных программ наглядно показал: если сделаешь плохо большому количеству людей, то тебя всё равно найдут и посадят. Причём сдадут свои же подельники (Microsoft выплатила $250 тыс. за информацию об авторе одного из червей).
- Увеличилась скорость реакции антивирусной индустрии. Антивирусные компании стали быстрее “душить” эпидемии. Среднее время выхода обновления для антивирусной программы сегодня составляет 1 час 22 минуты. Если эпидемия опасная, то “Лаборатория Касперского” выпускает urgent-обновление не более, чем за 30 минут. Так что уже через каких-то полчаса пользователи будут защищены.
- Изменилась политика самих авторов вредоносных программ. Раньше вирусы рассылали “на всех”, но сейчас всё чаще используется тактика целевых атак. В криминальном мире на первом месте находится финансовая составляющая. И для получения денег, скажем, не нужно заражать миллионы компьютеров. Достаточно просто целенаправленно воздействовать на тысячу компьютеров компании. Хакеры заражают, например, тысячу компьютеров. Используют их какое-то время. Потом предыдущую тысячу лечат и заражают другую тысячу.
Затем Юрий подробно рассказал о крупнейших вирусных эпидемиях 2005 года.
В январе 2005 года появилось практически одновременно две модификации червей Bagle.ax и Bagle.ay. Сразу эпидемию остановить не удалось, поскольку использовались очень интересные способы рассылки. Если раньше черви рассылали себя просто по адресной книжке, то Bagle сканировал файлы на компьютере в поисках адресов электронной почты и рассылал себя по ним. Автор использовали интересный приём: из найденных адресов убирались адреса антивирусных и других компаний, исследовательских институтов. Модификация .ay выкладывала своё тело в каталоге с вставкой “Share”. Червь использовал для распространения и пиринговые сети. Спустя год новые варианты червя продолжают оставаться головной болью для пользователей Интернета и антивирусных компаний.
Следующая эпидемия – червь Mytob.c в марте 2005 года. На протяжении трёх недель он занимал в почтовом трафике более 30 процентов. Распространялся не только через почту, но и через уязвимость в службе LSASS. Ситуация оказалась традиционной: “заплатка” Microsoft вышла раньше, но администраторы ленились её своевременно ставить, поэтому эпидемия и разразилась.
В мае появился червь Sober.p, в котором автор продолжил пропаганду своих праворадикальных политических убеждений. Sober.p стал ещё одним ярким примером “политических” вирусов. Кроме того, именно в данном черве автором впервые был применён оригинальный способ рассылки от лица правоохранительных органов. Спустя полгода этот же приём привёл к эпидемии Sober.y.
Sober.y появился в ноябре 2005 года. Десятки миллионов писем “из ФБР” буквально наводнили почтовые серверы в Западной Европе. На пике своей активности Sober.y составлял примерно 80% от всего почтового трафика, вплотную приблизившись по этому показателю к лидерам прошлых лет Mydoom.A и NetSky.Q.
Кроме четырёх крупных интересно вспомнить и другие эпидемии 2005 года. По словам Юрия, на январь 2005 года пришёлся пик активности PHP-червей Santy, Asan и аналогичных. Черви использовали для поиска уязвимых серверов системы Google и MSN. Заражение сайтов происходило через уязвимость в популярных PHP-движках.
В феврале 2005 года можно отметить несколько эпидемий IM-червей. Это относительно новый класс вирусов, которые распространяются через популярные системы обмена сообщениями (AOL, MSN, ICQ). Пользователи “покупались” вновь за запуск ссылок. Поскольку черви распространялись по контакт-листу, то многие особо не задумывались, запуская вредоносную программу по ссылке, полученной в якобы “письме от друга”.
В марте в течение одного дня в сеть было выпущено более 10 вариантов почтового червя Bagle. В течение 2004 года авторы программы пытались проверить индустрию антивирусную индустрию на прочность, применяя разные хитрые приёмы. В 2005 году авторы перешли на заработок денег. Надо сказать, авторы Bagle до сих пор пытаются активно противодействовать антивирусной индустрии.
В апреле-мае 2005 года можно выделить десятки новых вариантов червя Mytob. Они распространяется через электронную почту и различные уязвимости. В 2005 году червь быстро занял ведущие рейтинги в TOP20.
В июне появилась вредоносная троянская программа Gpcode. После того, как пользователи заражался, программа шифровала файлы на диске. Пользователю составлялось письмо, в котором авторы вымогали определённую сумму за расшифровку данных. “Лаборатория Касперского” весьма оперативно выпустила лечение “троянца”. Как сказал Юрий, в данной программе содержался обман: вместо указанного сложного способа шифрования использовался примитивный и простой. Пользователи начали в массовом порядке перечислять деньги, что мотивировало автора выпускать новые версии программы. Так что в таких случаях не надо платить деньги: нужно обратиться в антивирусную компанию.
В августе вредоносные программы начали использовать недавно обнаруженную уязвимость в службе Plug’n’Play (MS05-039). Как показала ситуация, предыдущие эпидемии научили далеко не всех администраторов. Некоторые по-прежнему не ставят “заплатки” вовремя. Кстати, после выхода каждого патча авторы внимательно исследуют, какую уязвимость он закрывает. В данном случае она была раскрыта через три дня, после чего стали появляться первые вредоносные программы.
В декабре была обнаружена очередная критическая уязвимость Windows при обработке файлов WMF. “Дырка” появилась на этот раз у авторов вирусов раньше, чем исправление Microsoft. Кстати, Microsoft на выпуск обновления потребовалось 10 дней. Это относительно небольшой срок для решения серьёзной проблемы. Кстати, в форумах даже какое-то время появлялись сообщения о продаже информации об этой уязвимости.
Что касается типов вредоносных программ, то сегодня подавляющее их большинство относится к почтовым и сетевым червям. Около 3% занимают троянские программы, но, как считает “Лаборатория Касперского”, их число будет увеличиваться (за счёт почтовых червей).
Юрий интересно рассказал про ключевые тенденции 2005 года. Начнём с появления большого количества червей для интернет-пейджеров. Пользователи были к этому не готовы. Кроме того, черви научились грамотно использовать методы социальной инженерии. Например, письмо со ссылкой на вирус “от друга”. Как оказалось, пользователи научены горьким опытом и не запускают файлы, полученные по электронной почте. Но для многих интернет-пейджеры оказались совершенно другой сферой: пользователи почему-то без колебаний открывали полученные файлы.
Серьёзно усилилась проблема “ботнетов”, сетей заражённых машин, созданных злоумышленниками. Авторы вредоносных программ зарабатывают деньги, и ботнет – их ресурс. С помощью заражённых машин можно рассылать спам, воровать информацию и выполнять многие другие действия.
Юрий считает, что 2005 год можно считать закатом эпохи почтовых червей, которые уступают позиции троянским программам. Что интересно, разработка троянской программы стоит дешевле, чем такой же, но с “самоходным” функционалом (то есть червя). Если заспамить “троян”, то он дойдёт до цели быстрее, нежели почтовый червь собственными силами.
В 2005 году наблюдался рост количества сетевых и почтовых червей с “троянским” функционалом. Раньше авторы просто хотели самоутвердиться, то теперь их неправедный труд направлен на получение финансовых средств. То есть кроме “червивого” функционала у вредоносной программы всё чаще появляется дополнительный спектр возможностей, который помогает управлять удалённой машиной.
Ещё одна тенденция минувшего года: развитие методов социальной инженерии. В 2005 году появились новые методы. Например: пользователю приходит письмо с благодарностью за удачно проведённый вечер и ссылка на фотографию. Из любопытства многие переходят по ссылке. Используется и фактор эмоциональности: “твоя половина ходит налево”, затем идёт ссылка на “доказательство”. Появились программы, нацеленные на пользователей онлайн-игр: они воруют пароли, другую информацию.
Как отметил Юрий, в 2005 году продолжилось стирание грани между рекламными (adaware) и вредоносными программами. Они начинают использовать руткиты, незаметное встраивание в операционную систему.
Кстати, руткит (rootkit) – это технологии сокрытия кода в системе. Программы, использующие руткиты, маскируют процессы и файлы в системе, скрывают сетевую активность. Руткит позволяет увеличить время нахождение вредоносной программы на компьютере пользователей.
В 2005 году увеличилось число вредоносных программ для мобильных устройств. Появились черви, распространяющиеся через MMS-сообщения.
Как мы уже отмечали, в 2005 году продолжил меняться вектор хакерских атак. Они постепенно уходят от шантажа пользователей и широковещательных атак в сторону точечных нападений на крупные банки и финансовые учреждения.
Наконец, отметим появление политических мотивов у авторов вредоносных программ и спама. Спам-рассылки начинают активно использоваться для изменения политических взглядов пользователей.
Отвечая на вопросы журналистов, Юрий отметил, что качество зловредного “софта” стало лучше. Но и пользователи становятся умнее, поскольку их учит жизнь. Но народ “по-прежнему разводят, как кроликов”. Скажем, в Японии пользователи уже не клюют на так называемые “письма от банков”, где присутствует просьба выслать реквизиты карточки или другую платёжную информацию. Не беда: группа хакеров разослала то же самое письмо по обычной почте на CD. И некоторые пользователи на такой трюк купились.
Что касается мобильных вредоносных программ, то здесь тенденция очевидна: чем больше будет смарт-фонов, тем больше будет и вирусов.
Как сказал Евгений Касперский, большинство вредоносных программ сегодня идёт из Китая. Действительно, там большое население и низкий уровень жизни. Китайские вредоносные программы воруют учётные записи онлайновых игр, различную виртуальную собственность. Очень популярны у китайских хакеров “бэкдоры”: программы удалённого управления компьютерами.
Вторая по значимости хакерская сила: испано- и португалоговорящие страны. Специализация этих хакеров: банковское воровство.
Примерно такое же количество вредоносных программ идёт из России и бывших стран СССР. Здесь лидируют proxy-программы, “трояны”, причём они воруют буквально всю информацию, до которой добираются. Популярны программы рассылки спама, “бэкдоры”. Раньше были популярны программы выполнения DOS-атак (“отказ в обслуживании”), но сегодня их стало меньше.
Как указал Евгений Касперский, только 5% всех новых “зловредов” пишутся детьми ради удовольствия. 75% создаются для получения денег, а оставшиеся 20% находятся где-то посередине.
Сегодня “Лаборатория Касперского” активно использует различные ловушки. По оценке Евгения, примерно 70% новых вредоносных программ, попадающих в базу, собираются автоматически.
Анна Власова: спам-индустрия в 2005 году
Следующий доклад на “итогах” “Лаборатории Касперского” читался впервые. Он оказался очень интересным. Анна Власова, руководитель группы спам-аналитиков, поведала о развитии спам-индустрии в 2005 году.
Можно ли считать спам вредным? По словам Анны, для рядового пользователя спам представляет собой угрозу. Возможно, не такую серьёзную, как вирусы, но психологически вредную. Для рядовых пользователей спам – это зло, с которым нужно бороться. С точки зрения технологий спам и вредоносные программы тесно пересекаются. Некоторые вирусы распространяются теми же средствами, что и спам.
“Лаборатория Касперского” не первый год занимается фильтрацией спама. В компании ведётся серьёзная аналитическая работа. Так что, как сказала Анна, “мы хорошо знаем то зло, с которым боремся”.
Становление спам-индустрии как бизнеса произошло за последние три года: с 2003 до 2005. Как считает Анна, качественный рост спама последний раз был в 2003 году. Тогда был сформирован круг потребителей и заказчиков спама. В 2003 году были разработаны основные технологии распространения спама, которые не меняются в качественном отношении. Поэтому после 2003 года наступил период относительной стабильности в спам-индустрии.
Что касается 2005 года, то спама стало ещё больше. Увеличилось количество спама. В долевом отношении ежемесячный прирост был спама небольшой: от 1,5 до 2 процентов в зависимости от месяца. В абсолютных единицах спама стало больше в 1,5-2 раза, но не стоит забывать, что почтовый трафик тоже увеличился, особенно в “Рунете”. В 2005 году наш почтовый трафик вырос примерно в два раза. В остальном Интернете рост оказался меньше.
В 2005 году произошло перераспределение тематических “лидеров” спама: основных групп спам-рассылок. На первом месте стоит предложение лекарств: виагра, циалис. Вторая тематика: рассылки “для взрослых”. Третья тематика: образование. Кстати, с 2003 года список тематик не изменился. Но в “Рунете” на первое место встала тематика образовательных услуг.
На фоне общей криминализации Интернета спам-индустрия смещается в сторону криминализированного бизнеса. Спам стал рассылаться более активно, но при этом не появилось никаких принципиально-новых технологий рассылки. То есть распространение по-прежнему идёт через заражённые “зомби-сети” компьютеров.
В 2005 году на каждые 2-3 обычных письма приходилось 7-8 спамерских. Спамеры тоже отдыхают, поэтому количество спама уменьшалось в новогодние и майские праздники. В середине лета спама тоже было меньше. Пик количества спама приходится на конец августа и начало сентября. В этом отношении спам-индустрия тесно связана с рекламной.
Как мы уже упоминали, “лидер” 2005 года – образовательная тематика. Дальше примерно одинаковое количество занимают темы медицины, “для взрослых” и письма компьютерного мошенничества. Что интересно, в “Рунете”, в отличие от остального Интернета, очень большой сегмент спама занимают товары и услуги. За счёт чего возникает такая разница? Как сказала Алла, первая причина кроется в законодательстве. Во многих странах спам запрещён. Вторая причина: психологический подход. Запаздные пользователи западные знают, что спам – это плохо. А пользователи российского Интернета часто не представляют, что спам может кому-то мешать. Для малого российского бизнеса спам часто является просто разновидностью рекламы. На взгляд некоторых заказчиков, спам – это дешёвая и вроде бы эффективная реклама. Поэтому в российском спаме рекламируется всё, что может предложить малый бизнес. На западе через спам рекламируются только контрафактные товары: поддельные и сомнительные.
Русскоязычный спам отличается не только по содержанию, но и по формату. На западе много спам-писем рассылок используют “чистый” текст. В спаме на русском языке “чистый” текст встречается редко. Спам на русском чаще бывает украшен, содержит картинки, разные шрифты. Спам на иностранных языках намного более простой.
В русскоязычном спаме предлагают то, чего в спаме на других языках никогда не встречается: образовательные, юридические услуги, недвижимость, риэлторские услуги, крупную дорогую технику, полиграфию.
Текстовых трюков, осложняющих распознавание спама роботами, на русском языке часто не используется. Русскоязычный спам более сложен технически. Письма на русском языке часто очень красочны: используют разные цвета, подчёркивания и т.д. Здесь причиной является та же психологическая проблема: заказчик спама не захочет, чтобы текст был с точками. Он считает, что занимается легитимным бизнесом, поэтому желает разослать красиво написанное письмо. Так что спамерам приходится идти на дополнительные трюки, чтобы обмануть роботов.
Спам использует “чистый” текст.
Пример “красивого” спама.
Тематическая новинка 2005 года, по мнению Аллы: спам, маскирующийся под личные сообщения. Там содержится какое-либо личное сообщение (от Кати, Маши, Светы и т.д.), но, кроме того, даётся ненавязчивая реклама. Например: “ты представляешь, он опять меня кинул, но я пошла к магу censored, и он такой сделал приворот” – рассылкой примерно такого содержания рекламировались услуги одного колдуна.
В 2005 году продолжилась криминализация спама. Для криминализированного спама – от 6 до 12 процентов, в зависимости от месяца. К криминализированному сотрудники “Лаборатории Касперского” относят любые письма, связанные с мошенничеством: банковские транзакции, “лохотроны”, фишинг. Кстати, в 2005 году появился первый спам, где предлагалось купить наркотик “экстази”. Другой пример: предложение купить устройства для обмана игровых автоматов. При приближении к игровому автомату такое устройство срабатывает так, что пользователь будет всегда выигрывать.
По техническом способу рассылок спам переместился на криминальную арену: он распространяется тем же незаконным способом распространяется, что и вирусы. А именно, через “зомби-сети” (“ботнеты”).
Последняя новая тенденция 2005: использование спама в политических целях. Дошло даже до того, что один депутат использовал спам для саморекламы во время декабрьских выборов в московскую думу.
Спам иногда оказывается мощным информационным оружием в руках экстремистов. Спам постепенно превращается в серьёзный инструмент политических войн, по эффективности сравнимый с телевизионной рекламой.
В заключение Анна отметила, что по сравнению с прошлым годом спамерами не было предложено ни одной новой технологии рассылок. Что же нас ждёт в 2006 году? Вовлечение новых денежных средств, криминализация спам-бизнеса может привести к увеличению объёмов спама. Спам будет перетекать и в другие сферы, например, интернет-пейджеры. Раз существующие технологии рассылки работают, то спамеры будут продолжать их развивать.