RSS-каналы
Уровень опасности: 1
Главная→Блог→Исследования→19 окт 2010→KSN в действии-2
KSN в действии-2
Эксперт «Лаборатории Касперского»
опубликовано 19 окт 2010, 16:22 MSK
Сюжеты: Статистика по зловредам, Kido, ZeuS
Нашей выборкой для получения информации об активности новых модификаций вредоносных программ и еще неизвестных зловредов будут 64% российских участников KSN, с компьютеров которых пришли нотификации о детектировании вредоносного кода. Далее вся статистика подсчитывается на основе данных, полученных с их компьютеров.
Для начала посмотрим, какие вердикты преобладали в сентябре при детектировании вредоносных программ всеми подсистемами Антивируса Касперского на компьютерах пользователей из нашей выборки.
|
Вердикт |
Проценты |
|
Blocked |
63,25% |
|
DangerousObject.Multi.Generic |
24,08% |
|
Trojan.Win32.Generic |
12,92% |
|
Exploit.Script.Generic |
8,14% |
|
Net-Worm.Win32.Kido.ih |
7,84% |
|
Trojan.Script.Iframer |
7,68% |
|
Trojan-Downloader.Script.Generic |
7,32% |
|
Trojan.Script.Generic |
7,28% |
|
Net-Worm.Win32.Kido.ir |
5,92% |
|
Trojan-Downloader.JS.Iframe.cbz |
5,15% |
TOP 10 вердиктов Антивируса Касперского в сентябре
Сумма в правой колонке более чем 100%, показывает, что в среднем в течение месяца на компьютере одного пользователя было зафиксировано более одного вердикта.
Blocked - это вердикт веб-антивируса, который указывает на то, что пользователь пытался посетить сайт из черного списка. То, что этот вердикт занял первую строчку рейтинга ‑ ситуация нормальная, учитывая, что заражения через Веб и PPI на текущий момент являются очень острыми проблемами для Рунета. Только по этой информации уже можно сказать, что активность вирусов и червей не так опасна для пользователей, как работа "партнёрок".
DangerousObject.Multi.Generic - это вердикт "облака". Если веб-антивирус - это первый рубеж обороны, то "облако" ‑ предпоследний, который блокирует работу определённой программы на основании метаданных. В статье Юрия Машевского есть схема, которая показывает временной лаг от момента начала распространения вредоносной программы до появления её детектирования у пользователей. Как "DangerousObject.Multi.Generic" детектируются программы, которые уже известны "Лаборатории" как вредоносные, но еще не попали в антивирусные базы.
Процесс защиты пользователя "облачной" технологией
Особенность периода, отраженного на схеме, заключается еще и в том, что в это время известна только хэш-функция вредоносного кода, самого кода нет, и, как следствие, нет его анализа и классификации. Получается, что в течение сентября у каждого четвертого пользователя антивирус блокировал работу какой то программы, которую еще не проанализировали в антивирусной лаборатории (заметим, что Kido блокировался только у каждого четырнадцатого пользователя).
Через некоторое время после выхода обновлений можно увидеть, какие вердикты получили файлы, заблокированные "облаком", от других подсистем. Получив таким образом список вердиктов заблокированных "облаком" файлов, мы получим список новых вредоносных программ и их модификаций, которые распространяли злоумышленники в сентябре.
|
Вердикт |
Процент от всех детектирований <облаком> |
|
Trojan.Win32.Generic |
9,21% |
|
P2P-Worm.Win32.Palevo.avir |
4,02% |
|
Trojan.Win32.Pakes.Krap.hr |
2,92% |
|
Trojan-Spy.Win32.Zbot.aofi |
2,08% |
|
P2P-Worm.Win32.Palevo.avbw |
1,91% |
|
P2P-Worm.Win32.Palevo.avxj |
1,68% |
|
Trojan-Downloader.Win32.Generic |
1,68% |
|
Trojan-Spy.Win32.Zbot.aodl |
1,53% |
|
IM-Worm.Win32.Sohanad.qc |
1,50% |
|
Trojan.Win32.VB.akru |
1,41% |
TOP 10 вердиктов вредоносных программ, заблокированных "облаком" на территории России в сентябре
В данной таблице вердикты приведены с точностью до модификации, что в контексте создания вредоносных программ соответствует только одному инциденту, связанному с распространением еще недетектирующегося экземпляра вредоносного кода. Значит, для полной картины необходимо сгруппировать вердикты из левой колонки по семействам вредоносных программ.
Продолжение следует...
|
19 окт 2010, 16:56
|
|
19 окт 2010, 17:56
Продолжение в части ?1 Ну что, Сергей, продолжаем? ;) |
|
19 окт 2010, 20:03
1. Я имел в виду, что на много-много репаков делается или 1на распаковывающая рекорда (если пакер легальный) или сразу детектирующая рекорда (если пакер малварный). Краденый картон и смс фрод - дело очень палевное, и чем больше оно в ходу, тем больше заявлений в милицию) |
|
-1 |
Re:
1. А чего ж тогда до сих пор нет полноценной распаковывающей рекорды на пиратскую Темиду и АСПак ака Black.a? Так и палится сигнатурой без анпака.
На счёт палевного дела - ну кто не рискует - тот не пьёт шампанского. А пьют его многие, судя по Никитиной.
2. Принимается, согласен.
3. Тоже принимается, хотя не очень элегантное решение.
4. Не надо обижать нашего пользователя - кряк просто поставил эмулятор для обхода защиты донгла. Мы ломаем, например, VentaFax ;)
5. Уже не тот возраст, чтобы военкоматов бояться ;)
В жизни не поверю, что в сети количество контента и урлов с Кидо настолько велико, что забило ZBot и Palevo. "Да ну, Серега, не может этого быть" © Русаков (http://pics.livejournal.com/sww_/pic/00040dqp)
|
0 |
Re: Re:
1. Зато для этих гадских паков есть эмулятор и hips. Но спорить, что это и есть панацея, я конечно же не буду)
4. Пользователя ни кто не обижает. В конечном счете он сам принимает решение и антивирус просто советует ему сделать правильный выбор:
Пользоваться только лицензионным ПО и устанавливать обновления (сканер уязвимостей),
Не ходить по подозрительным сайтам (веб-антивирус),
Не читать спам (антиспам)
Не запускать не доверенное ПО (антивирус)
и т.д.
В суде "Занго против АВ компаний" это были аргументы в защиту АВ. Конечное решение за пользователями.
>> В жизни не поверю, что в сети количество контента и урлов с Кидо настолько велико, что забило ZBot и Palevo.
> и не забило) сейчас подготовлю финальную часть.
ПС Фотка с Кипра... не самая удачная)
|
-1 |
Re: Re: Re:
1. Там обойти - как пошутить о Ржевском :) Ставлю цикл после запуска на 90 секунд, потом реализовываю основной функционал. В итого эмулятор закрывается по истечению максимума времени, ничего не обнаружив.
Это так, только один пример.
4. Сканер уязвимостей к сожалению всё ещё имеет ряд багов. Возможно моя информация устарела - но после фалсов на Adobe в прошлом году я уже его не запускал. Возможно, что теперь как часы. Но знаете - блюдечко нашли, но осадочек остался...
Веб-антивирус реально нужен для рубки только вредоносных скриптов, выполняемых браузером на лету. И весьма жаль, что в настройках нет однозначной возможности оставить только этот режим: написано, что только для IE. А как же FF, Opera, Chrome? Реально, кроме как блокирования скриптов веб ни на что не нужен, а только делает избыточную проверку и тормозит. Потому как скачиваемый контент на исполнении и так проверится резидентом, зачем ещё одна проверка на вебе?
Антиспам - гы. Он у вас до сих пор не интегрируется с Outlook Express? А как на счёт ThunderBird? Да, на TheBat всё отлично - но он ведь не у всех...
На счёт недоверенного - молчу. У меня автоматом всё помещает в слабые ограничения, а там я уже сам разбираюсь. Не люблю я, когда система показывает себя умнее меня и сама что-то решает.
Жду финала :-)
А на счёт фотки - ну просто она как раз хорошо иллюстрировала подходящую фразу ;)
|
0 |
Re: Re: Re: Re:
1. Я же сказал: "Не панацея...")
4. Да, отсутствие поддержки для популярного ПО - это проблема, и в основном она связана с частыми обновлениями этого самого ПО, что требует постоянного мониторинга и поддержки. Но ничего. Все сделаем. Не сразу. Но все же сделаем) Это же касается и сканера уязвимостей. Доведём до ума. Идея то правильная.
Переползаем!)
Также в аналитике
В блоге
В предупреждениях
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».