Kaspersky Security Bulletin 2007. Вредоносные программы в электронной почте

1. Развитие угроз в 2007 году
2. Тенденция года: развитие вредоносных программ, ориентированных на кражу паролей к онлайн-играм
3. Спам в 2007 году
4. Вредоносные программы в электронной почте
   • Из каких стран рассылаются вредоносные письма
   • Какие вредоносные программы рассылаются по почте
     • Почтовые черви (Email-Worm)
     • Zhelatin (Storm Worm)
     • Вредоносные программы других поведений
   • Наиболее распространенные семейства вредоносных программ в электронной почте
   • Заключение

Как известно, электронная почта является одним из популярных средств распространения вредоносных программ. Фишинг, сообщения со ссылками на зараженные веб-страницы, всевозможный спам, в котором широко используются методы социальной инженерии с целью заставить пользователя сделать те или иные действия, угодные «автору» рассылки, - все это серьезные проблемы, связанные с использованием электронной почты. Однако эта глава годового отчета будет посвящена только вредоносным программам, которые рассылаются по E-mail в виде прикрепленных к письмам файлов.

Из каких стран рассылаются вредоносные письма

Попробуем разобраться, в каких странах рассылается больше всего зараженных электронных писем. На диаграмме отражено процентное соотношение вредоносных файлов по регионам, где зарегистрированы серверы, с которых отправлена зараженная почта.

Распределение числа вредоносных программ по странам–источникам
зараженных электронных писем

В пятерку лидеров вошли США, Германия, Швеция, Испания и Малайзия. Отметим, что зараженные письма могут и не выходить за пределы страны. Поэтому на основе этих данных нельзя сказать определенно, что страны, занявшие лидирующие позиции, наиболее опасны в качестве источников вредоносного почтового трафика.

Какие вредоносные программы рассылаются по почте

Статистика, собранная Антивирусом Касперского, работающим на почтовых серверах по всему миру, позволяет выделить десять наиболее популярных поведений вредоносных программ, распространяемых по электронной почте в виде приложений. Поведения, не вошедшие в эту десятку, составляют около 1% от всего объема детектированных вложений.

Состав мирового вредоносного Email-трафика (группировка по поведениям)

Рассмотрим поведения, попавшие в TOP10.

Почтовые черви (Email-Worm)

Более половины всех вредоносных программ, рассылаемых по электронной почте, относятся к почтовым червям (55%). Доминирование Email-Worm среди почтовых зловредов закономерно: эти вредоносные программы не только массово рассылаются злоумышленниками, но и умеют рассылать себя сами.

Отметим, что в соответствии с установленными правилами классификации программы, имеющие не только функцию почтового червя, но и функционал более опасного поведения (например, Net-Worm и Worm) относят к более опасному поведению. Функция почтового червя (самораспространение) в таком случае считается лишь дополнительной функцией вредоносной программы. Таким образом, к числу самораспространяющихся программ можно смело добавить обнаруженных в почте представителей Net-Worm (6%) и Worm (0,56%). Это означает, что доля распространяющихся по Email программ с функционалом почтовых червей на самом деле не 55%, а 61%.

В течение 2007 года отмечались спады и резкие скачки числа почтовых червей.

Число новых вредоносных программ поведения Email-Worm

На графике, отражающем изменение в течение года числа новых задетектированных вредоносных программ поведения Email-Worm, хорошо видны три значительных пика. Все они связаны с активизацией нашумевшего червя Email-Worm.Win32.Zhelatin, известного в Сети также под именем Storm Worm. Семейство Zhelatin в 2007 году заняло лидирующую позицию среди почтовых червей по числу новых вариантов вредоносных файлов.

Распределение вредоносных программ поведения Email-Worm по семействам

Zhelatin (Storm Worm)

Авторы червя Zhelatin выбрали новую стратегию, которая должна была обеспечить «выживаемость» их детища. Чтобы выпускать новые версии чаще, чем выходят обновления антивирусных баз, злоумышленники, по-видимому, создали целую «фабрику» по автоматическому производству вредоносного кода. На этой «фабрике» постоянно конструировались новые вредоносные программы, которые проверялись антивирусом. Бракованные (детектируемые) экземпляры отбрасывались, а те, что успешно проходили проверку, автоматически копировались на несколько специально подготовленных веб-серверов в Интернете, с которых и происходило распространение новых версий программы. Здесь разработчики антивируса встают перед неразрешенной проблемой: код, который создает новые версии вредоносных программ, нам физически недоступен, и мы не можем его проанализировать и создать детектирующую подпрограмму, как мы обычно делаем для детектирования полиморфных вирусов.

Zhelatin стал своего рода этапом в развитии вредоносных программ, авторы реализовали в нем практически все достижения вирусописательской мысли последних лет. Изначально «полезной нагрузкой» червя Zhelatin был сбор E-mail адресов с компьютера жертвы и пересылка их на серверы злоумышленников (очевидно, адреса собирались для последующей продажи спамерам). Затем на основе обновленного Zhelatin вирусописатели решили строить зомби-сеть. Ботнеты, созданные с помощью «штормового червя», по-своему уникальны это peer-to-peer зомби-сети. В такой сети зомби-компьютеры соединяются с центром управления лишь при его доступности, а в случае если сервер не найден или не работает, они способны работать самостоятельно, подключаясь друг к другу и передавая сообщения по цепочке. У каждого зомби-компьютера имеется небольшой список ближайших соседей, с которыми он устраивает коммуникацию. Явные деструктивные функции в тело Zhelatin не включались, однако авторы предусмотрели возможность сокрытия его от глаз пользователя и реализовали внутри червя Rootkit-механизм.

Еще за год до появления «штормового червя» мы подозревали, что скоро нас ожидает появление «фабрики» червей. Мы не спешили рассказывать об этом потому, что технология должна была быть весьма опасной, и мы готовились дать достойный ответ новой угрозе.

Впрочем, следует отметить, что автор Zhelatin был не первым, кто использовал автоматическое «производство» новых модификаций программы. В 2006 году аналогичный почтовый червь Email-Worm.Win32.Warezov начал очень активно распространяться в сентябре-октябре месяце. К нам приходили десятки новых модификаций ежедневно. Уже тогда мы знали, что время новых червей наступило. Именно два этих червя, Warezov и Zhelatin, в 2007 году являлись основными виновниками изменений числа новых детектируемых вредоносных программ класса Email-Worm. Это можно видеть на следующем графике.

Число новых вредоносных программ семейств Warezov и Zhelatin

Как видим, кривые, отражающие число новых вредоносных файлов Zhelatin и Warezov, практически повторяют соответствующую кривую для программ класса Email-Worm в целом.

С почтовыми червями все более или менее понятно: они есть и пока не собираются исчезать, хотя и однозначной тенденции к резкому увеличению числа различных вариантов почтовых червей нет. Это увеличение происходит стихийно, что отражает приведенный выше график.

Вредоносные программы других поведений

На втором месте в списке наиболее распространенных во вредоносном почтовом трафике поведений стоят Trojan-Downloader (15%). Эти программы являются универсальными загрузчиками произвольного вредоносного кода из Интернета. Использование в рассылке Trojan-Downloader вместо целевой вредоносной программы позволяет создателям вредоносного кода увеличить шансы на то, что удаленная система будет заражена. Сначала Trojan-Downloader отключает службы антивирусной защиты, а затем скачивает из Интернета другую вредоносную программу, которую немедленно запускает. Если Trojan-Downloader удается успешно отключить антивирус на зараженном компьютере, то программа, которую он скачивает, может быть абсолютно любой, в том числе давно известной и детектируемой всеми антивирусами. Таким образом, у разработчиков вредоносного кода нет необходимости выпускать новую версию целевой вредоносной программы после того, как ее стали детектировать антивирусы. Вместо этого достаточно использовать компактный и простой Trojan-Downloader, на разработку которого требуется минимум усилий. Это объясняет популярность поведения Trojan-Downloader.

Вслед за Trojan-Downloader с небольшим отрывом идет поведение Trojan-Spy (13%). Это программы, созданные для кражи той или иной конфиденциальной информации: как с корпоративного компьютера - с целью проникновения в сеть организации, так и с домашнего - для того, чтобы мошенник мог использовать украденные данные в своих целях.

Следующие три поведения из списка по долевым показателям значительно отстают от трех первых – доля каждого из них во вредоносном почтовом трафике составляет всего 3%.

Trojan-Dropper. Назначение программ данного поведения такое же, что и у программ, относящихся к Trojan-Downloader: установка на компьютер другой вредоносной программы. Единственное различие между этими двумя поведениями заключается в том, что Trojan-Dropper несет другую вредоносную программу внутри себя, а Trojan-Downloader скачивает ее из Интернета. Судя по статистике, злоумышленники предпочитают пользоваться преимуществами онлайн-загрузки вредоносного кода, т.е. используют Trojan-Downloader.

Exploit. Примечательно, что это поведение раньше встречалось в почтовом трафике довольно редко. Сообщения, содержащие эксплойты, как правило, рассылались в ходе целевых хакерских атак. Сегодня непросвещенных пользователей, которые запускают исполняемые файлы из вложений, становится все меньше, и эксплойты обретают популярность, поскольку их применение позволяет злоумышленникам исполнять код на компьютере пользователя уже при открытии письма. Пользователю не нужно сохранять исполняемый файл и запускать его с диска, все происходит тихо и незаметно, в автоматическом режиме. Мы полагаем, что в будущем доля эксплойтов во вредоносном почтовом трафике будет расти и у них есть шанс через несколько лет выйти на первое место среди вредоносных программ, пересылаемых по каналам электронной почты.

Интересным фактом является то, что в десятку наиболее распространенных поведений попало Password-protected-EXE. Сама по себе «маркировка» Password-protected-EXE не говорит о вредоносности файла. Таким образом, антивирус лишь предупреждает пользователя о том, что этот файл может нести в себе опасность. Password-protected-EXE – это самораспаковывающиеся архивы с паролем. Многие вредоносные программы рассылаются в таких самораспаковывающихся архивах с указанием пароля в тексте письма. Это делается для того, чтобы почтовые антивирусы, сканирующие проходящий через них трафик, не смогли вскрыть архив и обнаружить вредоносную программу, которая в нем содержится. При запуске такой программы у пользователя спрашивается пароль, и после того, как он введет правильный пароль, программа извлекает из себя один или несколько файлов, которые может выполнить.

Замыкают десятку самых распространенных в почте вредоносных программ поведения Trojan (1,51%) и Virus (1,15%). Trojan включает в себя различные троянские программы со всевозможными функциями, не позволяющими отнести программу к определенному поведению, и не представляет большого интереса. Что касается Virus, то в почту попадают зараженные вирусом файлы, которые, как правило, сами пользователи рассылают с инфицированных машин, не подозревая о том, что файлы заражены.

Наиболее распространенные семейства вредоносных программ в электронной почте

Интересной представляется другая диаграмма, отражающая TOP10 семейств вредоносных программ (без их группировки по поведениям).

Мировой вредоносный Email-трафик (по семействам)

Любопытно, что, несмотря на то, что по числу различных модификаций на первом месте в 2007 году находится семейство Zhelatin, при подсчете в почтовом трафике общего числа сообщений с вложением Zhelatin выяснилось, что он не попадает даже в первую десятку! На первом месте находится «ветеран» - почтовый червь Email-Worm.Win32.Netsky. Далее встречаются рассылки поддельных банковских писем, классифицируемых как Trojan-Spy.HTML.Bankfraud.

А из двух нашумевших почтовых червей (Zhelatin и Warezov) мы видим только Warezov, причем лишь на пятом месте в списке.

Zhelatin не сумел превзойти Warezov по распространенности в Email. Вполне вероятно, что авторы червя Zhelatin и не стремились к доминированию своего детища в почтовом трафике, однако реализацию функции почтового червя в нем все же можно признать неудачной – в отличие от реализации других функций вредоносной программы.

Заключение

По итогам года хочется отметить несколько основных моментов.

Прежде всего, внимание привлекает подход к созданию вредоносного кода, появившийся в 2006 году, а именно идея конструирования программ в автоматическом режиме с установленной периодичностью. Мы не думали, что такая «фабрика» сможет продержаться долго, однако она продержалась до сегодняшнего дня, и механизм, порождающий новые варианты Warezov продолжает где-то функционировать. В 2007 году у Warezov появился последователь - червь Zhelatin, который создавался похожим способом. Однако в целом вспышки эпидемий Zhelatin и Warezov имеют тенденцию к затуханию, а значит, их удается успешно нейтрализовать.

Другим значимым изменением является рост интереса к использованию эксплойтов. Доля эксплойтов, рассылаемых по почте, увеличивается, и это несколько настораживает, поскольку эксплойты в массовом применении несут очень серьезную опасность для пользователей с любым уровнем знаний: одинаково быстро позволить заразить компьютер может как начинающий пользователь, так и специалист.

Все меньше и меньше становится интерес к почтовому трафику. Это обусловлено ростом числа новых интернет-сервисов: вредоносные программы все в больших количествах уходят на просторы всемирной паутины. Это не означает, что можно забыть о почтовых вредоносах: стоит лишь немного расслабиться, и все может кардинально измениться!