Компания “Лаборатория Касперского” провела свою традиционную конференцию “Вирусные итоги”, во время которой рассказала о распространении и развитии вирусов и спама в прошедшем 2008 году. Впервые для анализа вирусной ситуации были использованы данные сети Kaspersky Security Network, которая аккумулирует данные о киберугрозах, собирая информацию о них от самих пользователей продуктов “Лаборатории Касперского”. Так, если позапрошлый год, как утверждают представители “Лаборатории”, можно было назвать годом смерти некоммерческого вредоносного ПО, то в прошлом году уже практически исчезли вирусы, черви и трояны, написанные отдельными энтузиастами для достижения корыстных целей. Практически все вирусы создаются сегодня для перепродажи третьим лицам. Как и в предыдущие годы, большинство вредоносных программ создается для кражи аккаунтов различных платежных систем и онлайн-игр. Специалисты отмечают высокий профессионализм подобного рода разработок.
Организация труда вирусописателей все чаще напоминает принципы работы добропорядочных софтверных компаний. Одни люди занимаются собственно разработкой программ, другие – поиском их покупателей. Многие даже оказывают техническую поддержку своим “творениям” помогая им обходить антивирусную защиту. Общее число вирусов, добавленных антивирусными компаниями в свои сигнатурные базы, по сравнению с 2007 годом возросло в четыре раза. Руководитель глобального центра исследований “Лаборатории Касперского” Александр Гостев объясняет этот факт повсеместной интернетизацией населения Китая. Но если китайские вирусописатели лидируют в количестве вирусов, то в их качестве никто еще не превзошел русскоязычных злоумышленников. В частности, в 2008 году ими были созданы и распространены руткиты Rustock.C и SInowal. Представители “Лаборатории Касперского” признают, что в них была реализована инновационная технологическая модель, до сих пор во вредоносном ПО не встречавшаяся.
Еще одна излюбленная мишень вирусописателей – социальные сети. Важно отметить, что злоумышленники используют их не только для кражи конфиденциальной информации, но и для осуществления различных фишинговых схем. Согласно экспертным оценкам, эффективность распространения вируса в социальных сетях в 10 раз больше, чем в традиционной среде. Дело в том, что пользователи все ещё очень доверчиво относятся к “незнакомцам” и “незнакомкам”, обращающимся к ним через социальные сети.
Что касается прогнозов на следующий год, то они весьма неутешительны. Прежде всего, специалисты “Лаборатории Касперского” предсказывают окончание относительного “затишья” на вирусном фронте, характеризовавшегося отсутствием глобальных эпидемий. Бурное распространение в конце 2008 года червя Kido может стать лишь первой ласточкой, предвещающей новую всемирную бурю. Осложняет ситуацию также и тот факт, что из-за мирового финансового кризиса оказываются не у дел тысячи высококвалифицированных программистов, многих из которых криминальный мир вполне может привлечь на свою сторону. Вместе с тем, продолжится процесс передела сфер влияния криминальных группировок в сфере киберпреступности. По словам представителей “Лаборатории Касперского” их насчитывается уже так много, что в 2009 году следует ожидать жестокой конкурентной борьбы между ними. Фактически, победителем в этой войне может стать тот, кто за максимально короткий срок сумеет заразить максимальное количество компьютеров.
Что же произойдет с антивирусными решениями? Конечно, они тоже претерпят существенные изменения. Директор по исследованиям и разработке “Лаборатории Касперского” Николай Гребенников рассказал о тенденциях, которыми, по его мнению, будет руководствоваться вся антивирусная индустрия в течение ближайшего будущего. Так, подход к защите, основанный на так называемых “черных списках”, в которые попадали заведомо вредоносные файлы, является тупиковым, поэтому разработчики будут развивать защиту и на основе “белых списков”. Иными словами, необходимо собирать и аккумулировать базы не только “плохих”, но и “хороших” файлов. Выявление новых вирусов только с помощью сигнатурного анализа осталось в прошлом. Сегодня, как уверяет Николай Гребенников, все антивирусные вендоры будут реализовывать в своих продуктах (а многие уже реализовали) систему интерактивного контроля приложений. К примеру, если раньше антивирус попросту не пропускал на компьютер неизвестные файлы, то теперь они подвергаются тщательному анализу и классификации на “потенциально плохие” или “подозрительные”, с соответствующим ограничением возможностей, а также на “потенциально хорошие”. Уже упомянутая выше сеть Kaspersky Security Network позволяет вирусным аналитикам “Лаборатории” определить степень возможной опасности любого подозрительного файла, поступившего от одного из пользователей и максимально быстро передать сведения о нем в соответствующую базу. Тем самым другие пользователи продуктов “Лаборатории Касперского” уже будут застрахованы от возможных угроз, связанных с этим файлом. И лишь потом вирусные аналитики завершают создание сигнатуры по данному файлу и помещают ее в сигнатурные базы. По этой модели, как считают Николай Гребенников и его коллеги, и будет развиваться вся антивирусная индустрия.
В области спама пока никаких радикальных всплесков активности не наблюдается, здесь, скорее, можно говорить не о революционных, а об эволюционных изменениях. Как рассказал директор лаборатории контентной фильтрации “Лаборатории Касперского” Андрей Никишин, если 2006 год можно было назвать годом графического спама, а в 2007 году спам-индустрия вовсю практиковала различные эксперименты с почтовыми вложениями, то 2008 год с полным правом можно назвать годом HTML-технологий в спаме. Среди использованных приемов можно вспомнить зашумление текста случайными и абсолютно бессмысленными фразами, помещенными в html-тэги (тэги-комментарии, тэги-цвета и т.д.). Большинство почтовых клиентов считают такие тэги вспомогательными и не показывают пользователям, которые видят только рекламный спамерский текст. Встречался также метод под названием “Мона Лиза”. Суть его заключается в том, что контактная информация показывается пользователю в виде картинки, состоящей из символов. Если раньше символами выступали буквы и пробелы, то в 2008 году спамеры комбинировали черные и белые ячейки html-таблицы.
Несколько изменилось и “лицо” спама. Можно сказать, что оно приобрело более криминальные черты. Это вполне объяснимо, так как в период экономического кризиса злоумышленники все чаще используют технологии, сулящие быстрое обогащение. Именно поэтому очень распространились преступления связанные с SMS-мошенничеством, когда жертве предлагалось отправить сообщение или позвонить на тот или иной короткий номер. Стоимость же такого звонка или сообщения была очень и очень высокой. Сюда же можно отнести нескончаемый поток порно-спама, буквально захлестнувший весь Рунет. Таким образом спамеры привлекали пользователей на платные порно-сайты, предлагая им заплатить за их просмотр минимальную сумму, отправив SMS-сообщение. На самом деле сумма, которая снималась со счета пользователя, была совершенно другой. Одной из основных мишеней стали пользователи социальных сетей “Одноклассники ру” и “Вконтакте”. Они получали сообщения, замаскированные под послания администрации этих ресурсов с просьбой зайти на ту или иную страницу, где требовалось ввести логин и пароль. Как правило, эта страница была создана мошенниками специально для воровства персональных данных, а ее URL хотя и был похож на адреса этих сетей, но, тем не менее, отличался от него.
Одной из наиболее популярных тем у спамеров является, конечно, мировой финансовый кризис. Во второй половине года это словосочетание можно было встретить в рекламе любых товаров и услуг. Большинство писем, использующих кризисную тематику, не относилось к категории “личные финансы”, в них не предлагались кредиты и способы быстрого заработка, а рекламировали различные антикризисные семинары и тренинги.
“Мы предполагаем, что в 2009 году спама не станет меньше и увеличится объем спама криминального характера. Кроме того, для большого числа предпринимателей в условиях кризиса спам может стать единственно доступным способом рекламы”, – говорит Андрей Никишин.