В IV квартале 2011 года защитные решения Microsoft обнаружили Conficker на 1,7 млн. компьютеров. Общее число атак, проведенных червем по этой базе, составило около 59 миллионов.

Несмотря на ограничительные меры, принятые специализированной рабочей группой и прочими активистами, Conficker, он же Kido, до сих пор возглавляет списки самых распространенных угроз в корпоративных сетях. Согласно статистике Microsoft, в октябре-декабре он был ответственен за 13,5% локальных заражений, зафиксированных в сфере бизнеса. Живучесть грозному червю обеспечивает широкий арсенал средств самозащиты и способов распространения. По данным Microsoft, 92% современных заражений Conficker происходит путем взлома или кражи административных паролей, 8% ― посредством эксплуатации брешей, которые жертвы не удосужились вовремя закрыть.

Тем не менее, в общем списке локальных угроз, обнаруженных MS-антивирусами в III-IV кварталах, Conficker занял лишь 6-е место. Наибольшее количество детектов пришлось на потенциально нежелательное ПО (PUPs) ― кейгены и adware. В пятерку лидеров вошли также autorun-черви и Sality. В абсолютном выражении число заражений сильно возросло в Германии (на 30,4% за квартал) и России (на 28,5%). В первой преобладают SpyEye, JS-компонент Blackhole и кейгены, во второй ― разные PUPs (57,2% детектов), троянцы (39,1%) и эксплойты (преимущественно Blackhole, 17,4%) . Из PUPs у россиян обнаружены фейковые инсталляторы Win32/Pameseg, требующие отправки дорогих SMS за установку приложений, а также кейгены и многокомпонентные программы показа рекламы Win32/Vundo, которые маскируются под расширение браузера и умеют загружать и запускать произвольные файлы.

Самые высокие уровни заражений, зафиксированных в IV квартале, наблюдались в Пакистане, Палестине и Турции, а также в Албании и Египте. Частота детектов в этих странах составила 22,7-32,9 на 1 тыс. прогонов MSRT (Malicious Software Removal Tool — специализированное средство удаления вредоносных программ для Microsoft Windows). Среднестатистический показатель по всему миру за тот же период намного ниже ― 7,1 (в России 7,2).

Актуальная статистика по Conficker и прочим угрозам с разбивкой по регионам представлена в глобальном отчете Microsoft за II полугодие, который можно скачать на сайте компании.

Во второй половине минувшего года эксперты Sophos регистрировали в среднем 30 тыс. вредоносных страниц в сутки ― в полтора раза больше, чем в предыдущем полугодии. Более 80% этих страниц были обнаружены на взломанных серверах безвинных организаций.

В настоящее время главным видом кибератак являются drive-by загрузки. В 10% случаев вредоносные объекты, обнаруженные Sophos в интернете, были отнесены к разряду эксплойтов, две трети из них были представлены набором Blackhole. 67% детектов пришлось на долю редиректов, около половины которых были привязаны к ресурсам с Blackhole. Согласно статистике Sophos, в настоящее время этот эксплойт-пак является главной угрозой в Сети и атакует в первую очередь уязвимости в Java, Flash Player и Adobe Reader. Blackhole быстро обновляется с появлением новых брешей и в случае успешной эксплуатации награждает пользователя ботом (чаще всего ZeuS), руткит-дроппером (TDSS или ZeroAccess) или фальшивым антивирусом.

Присутствие последних в Сети с середины года пошло на убыль, однако с ними все еще приходится считаться. По данным Sophos, в июле-декабре на долю лжеантивирусов приходилось 5,5% детектов. Эксперты полагают, что этот спад ― явление временное, злоумышленники, скорее всего, просто перейдут на другие механизмы распространения этих поддельных продуктов.

Наиболее атакуемой платформой, вопреки регулярным починкам, остается Windows. Подавляющее большинство современных кибератак на этой платформе проводятся посредством эксплойта сторонних приложений ― в первую очередь, Adobe Reader и Flash. Однако, как показал минувший год, пользователи Mac OS тоже не застрахованы от назойливого внимания злоумышленников. Появление череды поддельных антивирусов типа MacDefender тому прямое свидетельство.

Особый раздел в полугодовом отчете Sophos посвящен Conficker/Kido, который, несмотря на давность, все еще сильно досаждает владельцам ПК. Согласно статистике компании, этот могучий червь до сих пор возглавляет рейтинг опасных зловредов. В минувшем полугодии он был ответственен за 14,8% заблокированных попыток заражения. Его живучесть эксперты объясняют агрессивной способностью к самораспространению и небрежением пользователей, не удосужившихся вовремя установить надлежащие заплатки.

Рабочая группа по Conficker (Conficker Working Group, CWG) отмечает, что консолидация усилий в борьбе с этим могучим зловредом помогла ограничить его распространение и лишить боты связи с центрами управления. Однако искоренить инфекцию пока не удается, и угроза использования многомиллионного ботнета для проведения кибератак по-прежнему актуальна. Авторы червя тоже не выявлены, и их намерения неизвестны.

В состав CWG входят как специалисты по кибербезопасности, так и интернет-провайдеры, регистраторы доменов, академические исследователи, представители правительственных органов разных стран. В ходе борьбы с Kido/Conficker/Downadap они приобрели бесценный опыт по взаимодействию и сотрудничеству, преодолению национальных различий в обстановке сетевой эпидемии. CWG ведет постоянный мониторинг IP-адресов с признаками заражения, блокирует и перерегистрирует домены, которые боты могут использовать для получения команд и обновлений. За 2 года участники альянса вывели из игры несколько миллионов доменных имен, сгенерированных Conficker, и не намерены отказываться от этой тактики.

Общее число заражений (IP-адресов) удалось более-менее стабилизировать, но оно все еще составляет порядка 5 миллионов. В январе, по данным CWG, эта цифра колебалась в пределах 4-5 млн. Особенно велика популяция Conficker в Индии и Бразилии. Ситуация усугубляется тем, что зараженный компьютер может стать легкой жертвой других зловредов: поселившись в системе, червь отключает функцию обновления Windows и резидентный антивирус. По некоторым оценкам [PDF 899 Кб], ущерб, нанесенный Conficker интернет-сообществу, уже превышает 9 млн. долларов.

Топ-20 семейств вредоносных программ, задетектированных "облаком" на территории России в сентябре

Нашей выборкой для получения информации об активности новых модификаций вредоносных программ и еще неизвестных зловредов будут 64% российских участников KSN, с компьютеров которых пришли нотификации о детектировании вредоносного кода. Далее вся статистика подсчитывается на основе данных, полученных с их компьютеров.

Для начала посмотрим, какие вердикты преобладали в сентябре при детектировании вредоносных программ всеми подсистемами Антивируса Касперского на компьютерах пользователей из нашей выборки.

Подводя итоги 2009 года, Александр Гостев предсказывал "значительное увеличение инцидентов в P2P-сетях". Всё логично: злоумышленники пытаются заразить как можно больше пользователей, а где больше всего пользовательского трафика, там и рассадник троянцев. В теории все выглядит гладко, однако по различной статистике в нашей аналитике, статьях, "двадцатках" и т.д. никакой угрозы со стороны P2P не видно. В топах все время Kido , Sality и Virut.

С одной стороны, все понятно: вирусы и черви - долгоживущие программы, для устранения, которых требуется много времени и сил. Но где же в этой статистике TDSS , порно-блокеры, "Зевс" и множество других вредоносных программ, которыми ежедневно заражаются миллионы компьютеров пользователей интернета?

Дело в том, что статистика готовится по уже имеющимся вердиктам и кластеризации. При этом нужно понимать, что происходит при сборе статистики в трёх разных ситуациях:

• Заразив в локальной сети незащищенный антивирусом компьютер, червь регулярно пытается пробраться на другие компьютеры. Установленный на атакуемых компьютерах антивирус постоянно блокирует атаку и периодически рапортует об успешном детектировании червя.
• При посещении пользователем вредоносного сайта антивирус детектирует вредоносную программу и останавливает ее загрузку.
• После обновления антивируса на зараженном компьютере обнаружен и удалён троянец.

Некоммерческая организация Shadowserver Foundation, один из основателей и участников Рабочей группы по борьбе с Conficker (CWG), обновила и систематизировала статистику по распространению этого сетевого червя.

Бездействие Conficker (в классификации ЛК Net-Worm.Win32.Kido) отвлекло от него внимание интернет-сообщества в пользу более актуальных проблем. Однако потенциальную угрозу рано скидывать со счетов, ибо дремлющая армия Conficker насчитывает, по данным CWG, более 6 млн. участников сетевых процессов, готовых подчиниться чужой недоброй воле. Понятно, что статистика по IP-адресам с признаками заражения, публикуемая CWG, отражает ориентировочный верхний предел и не учитывает, например, возможность повторного инфицирования. Использование NAT, DHCP и портативных устройств тоже затрудняет оценку истинных масштабов заражения.

Исследователи Shadowserver проанализировали данные CWG о распространении Conficker и с июля пристально следят за изменением ситуации. Они составили сравнительные таблицы распределения трех основных вариантов червя (А+В и С) по региональным доменным зонам и ASN-сетям. Для каждого ASN-участника был введен также показатель серьезности угрозы — процент зараженных IP от всего адресного пространства. Актуальные результаты для 183 региональных TLD и 500 наиболее неблагополучных ASN публикуются на динамически обновляемой странице. Присутствие Conficker демонстрируют более 12 тыс. ASN-сетей, но в динамической таблице учтены только те из них, в которых найдено не менее 10 IP-очагов потенциальной угрозы.

Согласно результатам анализа, число заражений вариантами А и В растет, а С — уменьшается. В настоящее время наибольшее количество инфицированных ASN-сетей обнаружено в доменной зоне .ru — более 1 тысячи. В США их около 600, на Украине — более 400, в Румынии, Бразилии и Южной Корее более 200. Лидером по числу зараженных IP является главная ASN-сеть Китая, Chinanet, но 1 миллион — лишь немногим более 1% ее адресного пространства. Высокий процент поражения — 10-20% и выше — наблюдается, как правило, в небольших сетях.

Из российских ASN в TOP 500 попали номера многих региональных провайдеров, а также питерского филиала ОАО «Северо-Западный Телеком», ВолгаТелеком, Уралсвязьинформ, ЦентрТелеком, ВымпелКом, ЮТК, НКС, Транстелеком, Ростелеком, Corbina, Синтерра, DiNet, столичного Scartel, DiNet, SkyNet, Комкор, МГТС, МСС, МТС, NetByNet, московского «Комстар-директ», Искрателеком.

В качестве дополнительной информации на динамической странице приведен перечень бесплатного инструментария для обнаружения и лечения Conficker, предоставляемого разными производителями.

Экспансия сетевых червей Downadup/Conficker/Kido на протяжении нескольких месяцев не давала покоя СМИ и безмерно тревожила все интернет-сообщество. С середины апреля эта тема практически не освещается, однако, как показывают наблюдения экспертов, потенциальную угрозу рано скидывать со счетов.

Исследователи компании IBM отмечают, что в апреле общее количество заражений вариантами Kido не претерпело значительных изменений. Число IP-адресов узлов, ежедневно участвующих в файлообменном процессе червя, также стабилизировалось.

Третьего мая сработал механизм самоуничтожения, встроенный в последнюю модификацию Kido. Тем не менее, весь последующий месяц в компании Symantec продолжали фиксировать дальнейшее распространение инфекции. Хотя этот процесс шел не так агрессивно, как в начале года, его темпы были стабильными. Эксперты регистрировали примерно 50 тыс. новых заражений в сутки (включая повторные).

В майском рейтинге 'Лаборатории Касперского' по вредоносным программам, обнаруженным на компьютерах пользователей, Kido по-прежнему занимает первое место.

Анализ поведения сети Kido позволил нам создать утилиту, с помощью которой мы смогли заглянуть внутрь использовавшихся всю прошлую неделю для «обновления» зараженных машин механизмов файлообменных процессов червя. За 24 часа наблюдений мы идентифицировали 200'652 уникальных IP участников сети, что гораздо меньше предварительных оценок числа зараженных Kido компьютеров.

Во многом так получилось потому, что в файлообменном процессе участвуют лишь самые последние версии Kido, до которых «обновилась» только незначительная часть машин, зараженных более ранними версиями зловреда.

Что касается распределения зараженных компьютеров, то мы наблюдаем картину, которая была изначально прогнозируема. По количеству участников сети «отличились» Бразилия и Чили:

Но, похоже, что в мире нет ни одного региона, который не был бы затронут эпидемией Kido. (Количество точек на карте не является показателем степени зараженности той или иной страны, поскольку в используемой нами базе данных GeoLocation точность определения географического расположения IP-адреса отличается для разных стран и регионов планеты.)

Более подробный взгляд на карту США показывает, что восточные области страны имеют больше действующих файлообменных узлов, чем западные:

Интересно, что наблюдая за сетью можно быстро идентифицировать (плотно взаимосвязанное) ядро сети, благодаря присутствию в каждом узле большого кэша клиентов. За первые 20 минут мы обнаружили, что 10,4% от общего количества участников сети не демонстрируют экспоненциального роста числа подключенных клиентов, которого следовало бы ожидать от участников с небольшими кэшами:

Следовательно, можно утверждать, что, как только один узел находит другой подключенный к сети инфицированный узел, между ними создается устойчивое соединение, которое вряд ли может распасться. Однако для некоторых хостов поиск первого инфицированного узла может оказаться весьма трудной задачей: мы видели несколько узлов, которые не имели соединений ни с какими другими узлами сети.

В предыдущем постинге мы описали, что происходит на зараженных Kido машинах после установки на них спамбота Iksmas.

Однако Kido загрузил на компьютеры не только Iksmas, но еще и поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены.

Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об «обнаружении вирусов», «сетевых атаках», «проблемах с браузером» и так далее...

Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате «лечения» и не только потерять 50 долларов США, но и «подарить» данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом.

Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент — троянец-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троянец, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.

Перехваченный нами вариант этого троянца осуществлял загрузку новых версий поддельного антивируса с сайта alsterstore.com. Об этом нами был извещен регистратор доменной зоны, и в течении 20 минут этот ресурс был закрыт.