Hi-Tech

Компания "Лаборатория Касперского" представила обзор активности компьютерных вирусов в 2002 году. Всего "Лабораторией Касперского" зафиксированы двенадцать крупных и 34 менее значительных эпидемий новых вирусов, которые проходили на фоне непрекращающегося распространения ранее появившихся вирусов Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.

В течение года вредоносные программы продолжали активно проникать на новые платформы и приложения. Уже в январе, с разницей всего в два дня, появились flash-вирус "LFM" и вирус "Donut", который впервые использовал для своего распространения технологию .NET. Оба вируса, впрочем, оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражает SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении прошедшего года непрерывно атаковали членов файлобменной сети Kazaa. Не прекращались и атаки на пользователей операционных систем Linux и FreeBSD.

Несомненным лидером по количеству вызванных заражений в 2002 г. является интернет-червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и с тех пор не покидает ведущих позиций во всех вирусных хит-парадах. В течение минувшего года свирепствовали две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17 апреля 2002 г.) и Klez.E, обнаруженный 11 января 2002 г. В общей сложности, каждые шесть из десяти зарегистрированных случаев заражения были вызваны именно Klez.

Ближайшим конкурентом Klez оказался интернет-червь Lentin. Несмотря на трехкратное отставание по числу заражений, он имеет все шансы в следующем году завоевать "высшую ступень на пьедестале". Данные "Лаборатории Касперского" за последние три месяца свидетельствуют о том, что Lentin уже обгоняет Klez по количеству спровоцированных инцидентов. Показатели конкурентов этих двух лидеров выглядят скромнее. Недавний возмутитель спокойствия червь Tanatos (также известен как Bugbear) вызвал масштабную эпидемию только в октябре, а затем его активность пошла на спад. Интересно отметить, что четыре верхних позиции в рейтинге заняли вредоносные программы, использующие для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом, на них приходится свыше 85% всех инцидентов.

Целиком десятка самых активных вирусов 2002 года, по версии "Лаборатории Касперского", выглядит так (в скобках указан процент от общего числа заражений):

1. I-Worm.Klez (61,22%)
2. I-Worm.Lentin (20,52%)
3. I-Worm.Tanatos (2,09%)
4. I-Worm.BadtransII (1,31%)
5. Macro.Word97.Thus (1,19%)
6. I-Worm.Hybris (0,60%)
7. I-Worm.Bridex (0,32%)
8. I-Worm.Magistr (0,30%)
9. Win95.CIH (0,27%)
10. I-Worm.Sircam (0,24%)

Как видно, восемь из десяти позиций в хит-параде занимают сетевые черви. Макровирусы и вирусы, распространяющиеся в исполняемых файлах представлены двумя весьма пожилыми программами: Macro.Word97.Thus (пятое место) и Win95.CIH (девятое место). Последний стал самым старым вирусом десятки: первая эпидемия Win95.CIH, известного также как "Чернобыль", прокатилась по миру еще в 1998 г. В минувшем году, впрочем, сообщалось о появлении новой модификации этого вируса CIH.1106.

На самом же деле все обстоит несколько сложнее. Гегемония сетевых червей продолжалась вплоть до сентября. Затем доля компьютерных вирусов и троянов стала заметно расти. Уже в декабре вирусы прочно удерживали вторую позицию с 31,3% заражений, за ними следовали троянские программы с 16,6% заражений. В целом за 2002 г. доля червей составила 89,1%, вирусов - 7,0%, троянов - 3,9%.

Динамика распространенности различных типов вредоносных программ в 2002 г.

В конце года наметилась и интересная тенденция в качественном составе вредоносных программ. Если раньше почти 100% всех инцидентов приходились на один-два, максимум, три вируса, то начиная с сентября ситуация коренным образом изменилась. С этого времени все больше заражений приходится на вирусы, не вошедшие в хит-парады. А в декабре этот показатель достиг 62%. Однако снижения общего количества заражений не отмечено. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ, доля каждой из которых невелика, но в совокупности они составляют достаточно внушительный объем и представляют реальную угрозу для пользователей.

В структуре распространенности сетевых червей традиционно преобладают почтовые черви (прежде всего, Klez и Lentin). Появляется все больше почтовых червей, которые применяют метод прямого соединения с SMTP-сервером, поскольку уязвимости в почтовых клиентах постепенно ликвидируются, и использовать их для рассылки вирусов становится затруднительно. Почтовыми червями являются 95,6% сетевых червей. Еще 2,5% приходятся на черви для локальных сетей, 1,7% - на черви для пиринговых сетей. Доля червей для IRC составляет 0,2%.

Среди вирусов преобладают вредоносные программы, написанные на макроязыках офисных пакетов. Их доля составляет 56,1%. Многие из макровирусов появились много лет назад, но до сих пор представляют реальную опасность. Немного отстают от лидеров Windows-вирусы (40,9%). Больше всего заражений вызвали Elkern, CIH, FunLove и Spaces. Практически незаметными в течение 2002 г. оказались скрипт-вирусы (2,7%), еще 0,3% пришлось на другие типы этого класса вредоносных программ.

В категории "троянские программы" единолично лидируют утилиты несанкционированного администрирования (backdoor, 54%), которые позволяют злоумышленникам незаметно управлять зараженным компьютером на расстоянии. Более чем вдвое отстают от них так называемые PSW-трояны (17,9%) - вредоносные программы, похищающие с зараженных компьютеров системную информацию и пароли. Остальные 28,1% приходятся на другие типы троянов, которые засылаются на компьютеры для выполнения специфических задач.

Источники заражения вирусами

Абсолютное лидерство среди источников вирусной угрозы сохраняет электронная почта (96,4% от всех зарегистрированных инцидентов). Следом за ней идет интернет (веб-сайты, FTP-сайты, пиринговые сети, IRC-каналы и пр.). На их долю приходятся 2,3% заражений. На долю сменных носителей информации (дискеты, компакт-диски) приходится 1,3% заражений. То есть, электронную почту в качестве основного канала распространения используют не только сетевые черви, но также вирусы и трояны. Отличие состоит лишь в том, что первые действуют активно (имеют функции самораспространения), а вторые и третьи - пассивно (рассылаются непосредственно вирусописателями или зараженными пользователями).

Наблюдались в 2002 г. и вирусные мистификации, когда напуганные пользователи самостоятельно распространяли информацию о несуществующих вирусах. Наибольший резонанс в минувшем году имели слухи о вирусах JDBGMGR и Ace-?, а также SULFNBK, Virtual Card for You, California IBM и Girl Thing. В "Лаборатории Касперского отмечают, что хотя мистификации и не наносят компьютерам никакого ущерба, они загружают каналы передачи данных, нервируют других пользователей и дискредитируют людей, поверивших в эти слухи.