Ewolucja złośliwego oprogramowania 2012

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Top 20 państw, w których zasoby sieciowe były zainfekowane szkodliwym oprogramowaniem

Przeprowadzając łącznie 1 595 587 670 ataków sieciowych, cyberprzestępcy wykorzystali 6 537 320 unikatowych domen – o 2,5 miliona więcej niż w poprzednim roku. Serwery ze szkodliwym kodem zostały wykryte w strefach internetowych 202 państw na całym świecie. Zaledwie 20 z tych państw odpowiadało za 96,1% całego szkodliwego hostingu zidentyfikowanego przez firmę Kaspersky Lab.

Dwa najwyższe miejsca w rankingu Top 20 zajmują Stany Zjednoczone (25,5%) oraz Rosja (19,6%). Trzeci rok z rzędu na trzecim i czwartym miejscu znalazły się odpowiednio Holandia (16,8%) i Niemcy (11,4%). O ile udział Stanów Zjednoczonych zwiększył się w 2012 roku zaledwie o 0,1 punktu procentowego, większy wzrost odnotowała Rosja (+5 punktów procentowych), Holandia (+7 punktów procentowych) oraz Niemcy ( +2,7 punktu procentowego).

Przed 2010 rokiem Chiny utrzymywały najwięcej szkodliwych serwisów, oferując „dom” dla ponad 50% wszystkich szkodliwych zasobów na całym świecie. W 2010 roku władzom chińskim udało się wyeliminować znaczną część szkodliwych serwisów hostingowych z cyberprzestrzeni tego państwa. Jednocześnie wprowadzono bardziej restrykcyjne przepisy dotyczące rejestrowania domen w strefie .cn. W efekcie udział Chin w szkodliwym hostingu znacznie zmniejszyła się. Od tego czasu obserwujemy stopniową konsolidację szkodliwych stron hostingowych w Stanach Zjednoczonych, Rosji, Holandii i Niemczech.

Stały wzrost udziału Rosji spowodowany był dwoma czynnikami. Po pierwsze, legalne strony często padają ofiarą ataków hakerskich, łącznie z największymi portalami w strefie .ru, a następnie są wykorzystywane do infekowania komputerów użytkowników przy użyciu exploitów. Po drugie, rosyjskie władze znane są z dość pobłażliwego stosunku wobec cyberprzestępców, przez co nadal istnieje ogromna liczba szkodliwych stron tworzonych w Rosji. Przepisy rosyjskie przewidują dość łagodne wyroki dla cyberprzestępców (zwykle w zawieszeniu); w Rosji rzadko dochodzi do odłączenia serwera kontroli botnetu. Na podstawie aktualnych współczynników wzrostu można przewidywać, że Rosja stanie się największym źródłem szkodliwych usług hostingowych już w przyszłym roku.

Cyberprzestępcy w Holandii i Niemczech są bardziej ostrożni. Zwykle rejestrują lub włamują się na ogromną liczbę stron; kiedy adresy URL szkodliwych stron znajdą się na czarnych listach dostawców usług hostingowych, szybko przenoszą szkodliwą zawartość na inne serwery.

Zagrożenia lokalne

Statystyki dotyczące lokalnych infekcji komputerów użytkowników stanowią istotny wskaźnik. Dane te dotyczą zagrożeń, które przeniknęły do systemu komputerowego innym kanałem niż internet, e-mail czy porty sieciowe.

Rozwiązania antywirusowe firmy Kaspersky Lab wykryły prawie 3 miliardy szkodliwych incydentów na komputerach wchodzących w skład Kaspersky Security Network.

W ramach tych incydentów wykryto łącznie 2,7 miliona różnych szkodliwych lub potencjalnie niechcianych programów.

Szkodliwe obiekty wykryte na komputerach użytkowników: Top 20

Szkodliwe programy tworzące poniższy ranking Top 20 stanowią najbardziej rozpowszechnione zagrożenia lokalne 2012 roku.

Próby infekcji zostały zablokowane na 13,5 miliona komputerów po wykryciu ich przy użyciu różnych metod heurystycznych jako Trojan.Win32.Generic (1 miejsce), Virus.Win32.Generic (8 miejsce), HiddenObject.Multi.Generic (12 miejsce) oraz Trojan-Dropper.Script.Generic (19 miejsce).

Na drugim miejscu znajdują się różne szkodliwe programy wykryte przy użyciu technologii chmury jako DangerousObject.Multi.Generic. Technologie chmury są skuteczne wtedy, gdy nie są jeszcze dostępne sygnatury lub heurystyka umożliwiająca wykrycie określonego szkodliwego programu, ale producent rozwiązań antywirusowych posiada już informacje o danym zagrożeniu w swojej chmurze. W ten sposób wykrywane jest najnowsze szkodliwe oprogramowanie. Ponad 9,6 miliona maszyn użytkowników było chronionych w czasie rzeczywistym przy pomocy Urgent Detection System (UDS), który wchodzi w skład Kaspersky Security Network.

Siedem programów z rankingu Top 20 posiada mechanizm samodzielnego rozprzestrzeniania się lub jest wykorzystywanych jako komponent mechanizmu rozprzestrzeniania robaków: Trojan.Win32.Starter.yy (4 miejsce), Net-Worm.Win32.Kido.ih (6 miejsce), Net-Worm.Win32.Kido.ir (7 miejsce), Virus.Win32.Sality.aa (8 miejsce), Virus.Win32.Nimnul.a (11 miejsce), Virus.Win32.Sality.ag (15 miejsce) oraz Virus.Win32.Suspic.gen (16 miejsce).

W 2012 roku ponad 2 miliony użytkowników zetknęło się z oszustwem wykorzystującym numery SMS premium (Hoax.Win32.ArchSMS.gen, 9 miejsce). Oszuści próbują nakłonić użytkowników do wysłania SMS-a na numer premium, głównie poprzez obiecanie dostępu do instalatora archiwum gry, programu, e-booka itd. W większości przypadków, po wysłaniu wiadomości premium użytkownicy nie otrzymują w zamian nic.

Trojan.WinLNK.Runner.bl (13 miejsce) oraz Worm.Win32.AutoRun.hxw (14 miejsce) to werdykty wykrycia dla szkodliwych plików .lnk (tj. skróty). Pliki .lnk w szkodliwym oprogramowaniu z tych rodzin uruchamiają cmd.exe z parametrem zapewniającym wykonanie szkodliwego pliku .exe. Robaki powszechnie wykorzystują takie pliki, aby rozprzestrzeniać się za pośrednictwem urządzeń USB.