Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: I kwartał 2014 r.

Tagi:

I kwartał 2014 r. w liczbach

  • Według danych KSN, w pierwszym kwartale 2014 r. produkty firmy Kaspersky Lab zablokowały łącznie 1 131 000 866 szkodliwych ataków na komputery i urządzenia mobilne.  
  • Rozwiązania firmy Kaspersky Lab odparły 353 216 351 ataków przeprowadzanych z zasobów online zlokalizowanych na całym świecie. 
  • Moduł ochrony przed zagrożeniami internetowymi firmy Kaspersky Lab wykrył 29 122 849 unikatowych szkodliwych obiektów: skryptów, stron internetowych exploitów, plików wykonywalnych itd.  
  • 81 736 783 unikatowych adresów URL zostało zidentyfikowanych jako szkodliwe przez technologie ochrony przed zagrożeniami internetowymi
  • 39% ataków internetowych zneutralizowanych przez produkty Kaspersky Lab zostało przeprowadzonych z wykorzystaniem szkodliwych zasobów sieciowych zlokalizowanych w Stanach Zjednoczonych i Rosji.
  • Rozwiązania antywirusowe firmy Kaspersky Lab wykryły 645 809 230 ataków wirusów na komputery użytkowników. W incydentach tych zidentyfikowano łącznie 135 227 372 unikatowych szkodliwych i potencjalnie niechcianych obiektów.   

Przegląd

Ataki ukierunkowane/APT

Mgła podnosi się  

We wrześniu 2013 r. informowaliśmy o ataku ukierunkowanym o nazwie Icefog, który skupiał się głównie na celach w Korei Południowej i Japonii. Większość kampanii APT trwa kilka miesięcy lub lat, podczas których ma miejsce nieustanna kradzież danych ofiar. Jednak osoby stojące za atakiem Icefog brały na celownik swoje ofiary po kolei, przeprowadzając krótkotrwałe, precyzyjne ataki w celu kradzieży określonych danych, po których szybko wycofywały się. W kampanii tej, trwającej przynajmniej od 2011 r., wykorzystywano szereg różnych wersji szkodliwego oprogramowania, w tym przeznaczone dla systemu OS X firmy Apple.        

Po publikacji naszego raportu operacje w ramach kampanii Icefog zostały zakończone, a osoby atakujące zamknęły wszystkie znane serwery kontroli. Nadal jednak monitorowaliśmy domeny leja (sinkholing) i analizowaliśmy połączenia ofiar. Nasza ciągła analiza ujawniła istnienie nowej generacji backdoorów Icefog – tym razem była to wersja dla Javy, którą nazwaliśmy 'Javafog'. Połączenia z jedną z domen, która została poddana operacji leja, 'lingdona[dot]com', wskazywały, że klient może stanowić aplikację Javy; przeprowadzone dochodzenie ujawniło próbkę tej aplikacji.     

Podczas operacji leja dla tej domeny zidentyfikowaliśmy osiem adresów IP dla trzech ofiar Javabota. Wszystkie z nich znajdowały się w Stanach Zjednoczonych – jedną z ofiar była duża, niezależna korporacja z branży naftowej i gazowej prowadząca działalność w wielu państwach. Możliwe, że Javafog został opracowany dla oddziału w Stanach Zjednoczonych i operacja miała trwać dłużej niż typowe ataki Icefog. Jednym z możliwych powodów rozwoju wersji tego szkodliwego oprogramowania dla Javy jest fakt, że jest ona bardziej ukradkowa i trudniejsza do wykrycia.       

Co kryje się pod maską

W lutym zespół z firmy Kaspersky Lab zajmujący się badaniami nad bezpieczeństwem opublikował raport dotyczący złożonej kampanii cyberszpiegowskiej o nazwie The Mask lub Careto (która w hiszpańskim slangu oznacza „brzydką twarz” lub „maskę”). Celem tej kampanii była kradzież poufnych danych z różnego rodzaju instytucji. Ofiary, zlokalizowane w 31 państwach na całym świecie, obejmowały agencje rządowe, ambasady, firmy z branży energetycznej, instytucje badawcze oraz aktywistów.

Ataki rozpoczynają się od wiadomości typu spear-phishing, w której znajduje się odsyłacz do szkodliwej strony internetowej zawierającej liczne exploity. Po zainfekowaniu ofiara zostaje przekierowana na legalną stronę wskazaną w otrzymanym mailu (np. portal informacyjny lub wideo). The Mask obejmuje zaawansowanego trojana backdoora, który potrafi przechwytywać wszystkie kanały komunikacji i zbierać wszelkie rodzaje danych z zainfekowanego komputera. Podobnie jak w przypadku Red October i innych wcześniejszych ataków ukierunkowanych, kod tego szkodnika jest wysoce modułowy, co pozwala osobom atakującym dodawać nową funkcjonalność. The Mask szeroko zarzuca swoją sieć – pojawiły się wersje tego backdoora dla systemów Windows i Mac OS X. Pewne informacje sugerują, że mogą również istnieć wersje dla systemu Linux, iOS oraz Android. W celu zamaskowania swojej aktywności trojan wykorzystuje bardzo zaawansowane techniki ukrywania się.              

Głównym celem osób stojących za kampanią The Mask jest kradzież danych swoich ofiar.

Szkodliwe oprogramowanie zbiera z zainfekowanego systemu szereg różnych danych, w tym klucze szyfrowania, konfiguracje VPN, klucze SSH, pliki RDP oraz kilka nieznanych typów plików, które mogą mieć związek ze wspomnianymi wcześniej narzędziami do szyfrowania na poziomie wojskowym/rządowym.     

Nie wiemy, kto jest odpowiedzialny za omawianą kampanię. Niektóre wskazówki sugerują, że osoby atakujące używają języka hiszpańskiego, nie jest to jednak dobry trop, ponieważ językiem tym posługują się osoby w wielu różnych częściach świata. Mogła to być również zmyłka, która miała na celu odwrócenie uwagi od twórcy szkodnika. Wysoki stopień profesjonalizmu grupy stojącej za tym atakiem nie jest typowy dla takich grup cyberprzestępczych – co między innymi może sugerować, że The Mask jest kampanią sponsorowaną przez rząd.      

Kampania ta podkreśla fakt, że istnieją wysoce profesjonalni cyberprzestępcy, którzy posiadają niezbędne zasoby i umiejętności, aby tworzyć złożone szkodliwe oprogramowanie – w tym przypadku w celu kradzieży poufnych informacji. Pokazuje również, że ataki ukierunkowane, które generują niewielką aktywność - lub nie generują żadnej - mogą znaleźć się poza radarem.    

Należy również zdać sobie sprawę, że niezależnie od stopnia wyrafinowania szkodnika The Mask, na początku (tak jak w przypadku wielu wcześniejszych ataków ukierunkowanych) należy skłonić użytkowników do zrobienia czegoś, co podważy bezpieczeństwo organizacji, dla której pracują – w tym przypadku przez kliknięcie odsyłacza. 

Obecnie, wszystkie znane serwery kontroli (C&C) wykorzystywane do zarządzania infekcjami są nieczynne. Możliwe jednak, że osoby atakujące wznowią kampanię w przyszłości.

Robak i wąż

Na początku marca w kręgach związanych z bezpieczeństwem IT toczyły się szerokie dyskusje dotyczące kampanii cyberszpiegowskiej o nazwie Turla (zwanej również jako Snake i Uroburos). Badacze z G Data uważają, że wykorzystywane w tej kampanii szkodliwe oprogramowanie mogło zostać stworzone przez rosyjskie służby specjalne. Badanie przeprowadzone przez BAE Systems wskazało na powiązanie Turli ze szkodliwym oprogramowaniem o nazwie 'Agent.btz', które pochodzi z 2007 r. i zostało użyte w 2008 r. do zainfekowania lokalnych sieci oddziałów wojska amerykańskiego na Bliskim Wschodzie.       

Kaspersky Lab „odkrył” tę kampanię ukierunkowaną podczas badania incydentu z wykorzystaniem wysoce zaawansowanego rootkita o nazwie 'Sun rootkit'. Stało się jasne, że  'Sun rootkit' i Uroburos to jedno i to samo zagrożenie.     

Nadal badamy kampanię Turla, który według nas jest o wiele bardziej złożona niż wynika to z opublikowanych dotąd materiałów. Jednak nasza wstępna analiza ujawniła kilka interesujących powiązań. 

Agent.btz to samodzielnie rozmnażający się robak, który potrafi rozprzestrzeniać się za pośrednictwem pamięci USB z wykorzystaniem luki pozwalającej uruchomić się przy użyciu 'autorun.inf'. Szkodnik ten zdołał szybko rozprzestrzenić się na całym świecie. Chociaż od kilku lat nie stworzono żadnych nowych wariantów tego robaka, a wspomniana wyżej luka w zabezpieczeniach została usunięta w nowszych wersjach systemu Windows, w samym tylko 2013 r. wykryliśmy robaka Agent.btz 13 832 razy w 107 państwach!     

Agent.btz tworzy plik o nazwie 'thumb.dll' na wszystkich dyskach flash USB podłączonych do zainfekowanego komputera (zawierającego pliki 'winview.ocx', 'wmcache.nld' oraz 'mssysmgr.ocx’). Plik ten jest kontenerem przeznaczonym na skradzione dane, które są zapisywane na dysk flash, jeśli nie mogą zostać wysłane bezpośrednio przez internet do zarządzanego przez osoby atakujące serwera kontroli. W przypadku podpięcia takiego dysku flash do innego komputera, plik 'thumb.dll' zostanie skopiowany na nowy komputer z nazwą 'mssysmgr.ocx.      

Uważamy, że skala epidemii, w połączeniu z opisaną powyżej funkcjonalnością, oznacza, że istnieją dziesiątki tysięcy dysków flash USB na całym świecie zawierających pliki o nazwie 'thumb.dll' stworzone przez Agent.btz. Obecnie, większość wariantów tego szkodliwego oprogramowania jest wykrywanych przez Kaspersky Lab jako 'Worm.Win32.Orbina'.     

Naturalnie, Agent.btz nie jest jedynym szkodliwym programem, który rozprzestrzenia się za pośrednictwem dysków flash USB. 

Moduł 'USB Stealer' zawarty w szkodniku Red October zawiera listę plików, które wyszukuje na podłączonych do zainfekowanych komputerów dyskach flash USB. Zauważyliśmy, że lista ta zawiera pliki 'mysysmgr.ocx' oraz 'thumb.dll', tzn. dwa z plików zapisanych na dyskach flash przez Agent.btz.   

Spoglądając jeszcze bardziej wstecz, podczas analizy Flamea, jak również jego kuzynów: Gaussa oraz miniFlame’a, zauważyliśmy jego podobieństwa ze szkodnikiem Agent.btz. W obydwu przypadkach stosowana jest podobna konwencja nazewnictwa, w szczególności wykorzystanie rozszerzenia '.ocx'. Ponadto, okazało się również, że zarówno Gauss jak i miniFlame „wiedziały” o pliku 'thumb.dll' i szukały go na dyskach flash USB.    

Na koniec warto wspomnieć, że Turla wykorzystuje te same nazwy plików co Agent.btz w dzienniku zdarzeń przechowywanym na zainfekowanych komputerach - 'mswmpdat.tlb', 'winview.ocx' i 'wmcache.nld'. Stosuje również ten sam klucz XOR, aby zarejestrować swoje pliki.   

Wszystkie różnice i podobieństwa przedstawiono poniżej.

gostev_agent_btz_03_auto.png 

Jak dotąd, wiemy tylko tyle, że istnieje kilka podobieństw między tymi szkodliwymi programami. Nie ma wątpliwości, że Agent.btz stanowił źródło inspiracji dla osób, które rozwinęły pozostałe szkodniki. Nie jesteśmy jednak w stanie stwierdzić z całą pewnością, czy za wszystkimi tymi zagrożeniami stała ta sama grupa osób.  

Historie związane ze szkodliwym oprogramowaniem: obieranie cebuli

Tor (skrót od The Onion Router) to oprogramowanie, które pozwala użytkownikowi zachować anonimowość podczas uzyskiwania dostępu do internetu. Chociaż istnieje już od jakiegoś czasu, przez wiele lat było wykorzystywane głównie przez ekspertów i entuzjastów. Jednak w ciągu ostatnich kilku miesięcy rozpowszechnienie sieci Tor wzrosło, głównie ze względu na rosnące obawy dotyczące piractwa. Tor stał się przydatnym rozwiązaniem dla osób, które z jakiegoś powodu boją się inwigilacji i wycieku poufnych informacji. Jednak z badań przeprowadzonych w ostatnich miesiącach wynika, że Tor przyciąga również cyberprzestępców: również oni cenią sobie oferowaną przez tę sieć anonimowość.         

W 2013 r. zauważyliśmy, że cyberprzestępcy zaczęli aktywnie wykorzystywać sieć Tor do hostowania swojej infrastruktury szkodliwego oprogramowania. Eksperci z Kaspersky Lab zidentyfikowali różne szkodliwe programy wykorzystujące sieć Tor . Badanie zasobów sieci Tor pozwoliło zidentyfikować wiele zasobów dedykowanych szkodliwemu oprogramowaniu, w tym serwery kontroli, panele administracyjne itd. Hostując swoje serwery w sieci Tor, cyberprzestępcy utrudniają ich identyfikację, umieszczenie na czarnej liście i usunięcie.      

Cyberprzestępcze fora i rynki nie są niczym obcym w „normalnym” internecie. Ostatnio jednak pojawił się czarny rynek oparty na sieci Tor. Wszystko zaczęło się od niesławnego rynku Silk Road, który następnie rozbił się na dziesiątki wyspecjalizowanych rynków – narkotyków, broni i, naturalnie, szkodliwego oprogramowania.   

W Darknecie zadomowiły się już sklepy, w których sprzedawane są skradzione informacje osobowe oferujące szeroki wachlarz kryteriów wyszukiwania, takich jak państwo, bank itd. Asortyment nie ogranicza się jedynie do kart kredytowych: można również kupić urządzenia do skimmingu (które są instalowane nielegalnie w bankomatach) oraz służące do przeprowadzania oszustw z wykorzystaniem kart kredytowych (carding).    

Prosta procedura rejestracji, oceny wystawiane sprzedawcy, gwarantowany serwis oraz przyjazny dla użytkownika interfejs – to standardowe cechy czarnego rynku w sieci Tor. Niektóre sklepy wymagają, aby przed rozpoczęciem handlu sprzedawcy wpłacili kaucję, czyli ustaloną kwotę. Jest to sposób, aby zweryfikować, czy osoba sprzedająca jest uczciwa, a jej usługi nie są oszustwem czy złej jakości. 

Rozwój Tora zbiegł się w czasie z pojawieniem się anonimowej kryptowaluty o nazwie bitcoin. Niemal cały handel w sieci Tor odbywa się przy użyciu bitcoinów. Powiązanie portfela bitcoin z rzeczywistą osobą jest prawie niemożliwe, dlatego przeprowadzanie transakcji w Darknecie z użyciem bitcoinów oznacza, że cyberprzestępcy mogą być praktycznie nie do wyśledzenia.  

Wydaje się prawdopodobne, że Tor i podobne anonimowe sieci staną się główną cechą internetu, ponieważ coraz więcej zwykłych użytkowników internetu szuka sposobu na zabezpieczenie swoich informacji osobistych. Z drugiej strony, jest to również atrakcyjny mechanizm dla cyberprzestępców – pozwalający ukryć funkcje stworzonego przez nich szkodliwego oprogramowania, handlować nielegalnymi usługami i prać brudne pieniądze. Uważamy, że to dopiero początek wykorzystywania takich sieci.  

Bezpieczeństwo sieciowe i naruszenie ochrony danych

Wady i zalety bitcoina

Bitcoin to cyfrowa kryptowaluta. Jej działanie opiera się na modelu peer-to-peer, w którym pieniądze przybierają postać łańcucha podpisów cyfrowych, które stanowią części waluty bitcoin. Nie istnieje żaden centralny organ nadzorujący i nie są stosowane międzynarodowe opłaty transakcyjne – obie te cechy sprawiają, że bitcoin jest atrakcyjny jako środek płatniczy.    

W miarę wzrostu jego rozpowszechnienia bitcoin staje się coraz atrakcyjniejszym celem cyberprzestępców.

W naszej prognozie na koniec roku przewidywaliśmy ataki na bitcoina, twierdząc w szczególności, że „ataki na kopalnie bitcoinów, wymiana bitcoinów oraz użytkownicy tej kryptowaluty staną się jednym z najpopularniejszych tematów roku”. Takie ataki „będą szczególnie popularne wśród oszustów ze względu na ich bardzo korzystny współczynnik kosztów do przychodów”.  

Widzieliśmy już wiele dowodów potwierdzających nasze przewidywania. 25 lutego od sieci odcięto Mt.Gox - jedną z największych giełd wymiany bitcoinów. Miało to miejsce po burzliwym miesiącu, w którym giełda ta doświadczyła wielu problemów – problemów, które spowodowały znaczny spadek ceny bitcoinów na tej platformie. Pojawiły się informacje, że niewypłacalność tej waluty spowodowana była atakiem hakerskim, który doprowadził do utraty 744 408 bitcoinów – wartych około 350 milionów dolarów w momencie odłączenia giełdy Mt.Gox. Wygląda na to, że główny problem stanowiła tutaj elastyczność transakcji. Jest to problem dotyczący protokołu Bitcoin, który w pewnych okolicznościach pozwala osobie atakującej wydawać różne identyfikatory transakcji dla tej samej transakcji, przez co wydaje się, że transakcja w ogóle nie miała miejsca. Obecnie luka ta została już usunięta. Naturalnie, Mt.Gox nie jest jedynym dostawcą wirtualnych usług bankowych, który został zaatakowany. Coraz większa popularność wirtualnych walut z pewnością będzie oznaczała coraz więcej ataków w przyszłości.                  

Atakami zagrożone są nie tylko giełdy wirtualnej waluty. Celem cyberprzestępców mogą być również osoby wykorzystujące kryptowalutę. W połowie marca włamano się do prywatnego bloga i konta Reddit dyrektora generalnego giełdy Mt.Gox - Marka Karepelesa. Konta te zostały wykorzystane do umieszczenia pliku 'MtGox2014Leak.zip'. Plik ten zawierał rzekomo cenne kopie zapasowe baz danych oraz wyspecjalizowane oprogramowanie umożliwiające zdalny dostęp do danych Mt.Gox. W rzeczywistości jednak krył szkodliwe oprogramowanie, którego celem było lokalizowanie i kradzież plików portfeli bitcoin. Jest to wyraźny przykład tego, w jaki sposób cyberprzestępcy wykorzystują zainteresowanie „gorącymi” wiadomościami w celu rozprzestrzeniania szkodliwego oprogramowania.              

Jedną z istotnych kwestii, na jakie zwróciły uwagę wszystkie te ataki, jest to, w jaki sposób osoby korzystające z jakiejkolwiek kryptowaluty zabezpieczają się w środowisku, w którym – odwrotnie niż w przypadku fizycznej waluty – nie istnieją zewnętrzne standardy i regulacje. My zalecamy przechowywanie bitcoinów na kliencie bitcoin otwartego źródła w trybie offline (zamiast na serwisach giełdowych online o nieznanej historii). W przypadku posiadania dużej liczby bitcoinów, należy przechowywać je w portfelu na komputerze PC, który nie jest podłączony do internetu. Ponadto, hasła do portfela bitcoin powinny być możliwie jak najbardziej złożone, a komputer chroniony za pomocą dobrego rozwiązania bezpieczeństwa internetowego.  

Spamerzy chętnie stosują socjotechnikę w celu złowienia ofiar. Wykorzystali skok ceny bitcoinów na początku tego kwartału (przed załamaniem się giełdy Mt.Gox), żerując na czysto ludzkim pragnieniu szybkiego wzbogacenia się. Jak wskazywaliśmy w lutym, spamerzy wykorzystywali kilka tematów związanych z bitcoinami. Proponowali, że zdradzą sekret milionera, jak wzbogacić się na inwestowaniu w bitcoiny, oraz wysyłali oferty wzięcia udziału w loterii bitcoin.    

Dobre oprogramowanie, które można wykorzystać do złych celów

W lutym, podczas Szczytu Kaspersky Security Analyst Summit 2014 wskazaliśmy, jak niewłaściwa implementacja technologii do ochrony przed kradzieżą stosowanych w oprogramowaniu firmowym popularnych laptopów i niektórych komputerów stacjonarnych może stać się potężną bronią w rękach cyberprzestępców.

Nasze badanie zostało zapoczątkowane przez następujące zdarzenie: jednemu z pracowników Kaspersky Lab wielokrotnie zawiesił się system jednego z jego prywatnych laptopów. Analiza dziennika zdarzeń i zrzutu pamięci wykazała, że awarie spowodowane były niestabilnością modułów o nazwie 'identprv.dll' i 'wceprv.dll' załadowanych w przestrzeni adresowej jednego z procesów hosta dla usług systemu Windows ('svchost.exe'). Moduły te zostały stworzone przez Absolute Software (która jest legalną firmą) i wchodzą w skład oprogramowania Absolute Computrace.     

Nasz kolega twierdził, że nie zainstalował tego oprogramowania i w ogóle nie wiedział, że znajduje się w jego laptopie. To trochę nas zdziwiło, ponieważ według dokumentu technicznego Absolute Software instalacja powinna zostać dokonana przez właściciela komputera lub jego serwis IT. Ponadto, o ile większość preinstalowanych programów może zostać trwale usuniętych lub wyłączonych przez właściciela komputera, Computrace został tak stworzony, aby przetrwał profesjonalne czyszczenie systemu, a nawet wymianę dysku twardego. Co więcej, nie mogliśmy potraktować tego zdarzenia jako jednorazowego incydentu, ponieważ zidentyfikowaliśmy podobne ślady działania oprogramowania Computrace na komputerach osobistych należących do niektórych z naszych badaczy oraz na komputerów firmowych. Dlatego też postanowiliśmy przeprowadzić dogłębną analizę.

Kiedy po raz pierwszy przyjrzeliśmy się oprogramowaniu Computrace, błędnie zakładaliśmy, że jest szkodliwe, ponieważ wykorzystuje wiele sztuczek popularnych w obecnym szkodliwym oprogramowaniu: szkodnik ten wykorzystuje techniki inżynierii wstecznej oraz debugowania, wstrzykuje kod do pamięci innych procesów, ustanawia potajemną komunikację, łata pliki systemowe na dysku, szyfruje pliki konfiguracyjne i wrzuca plik wykonywalny systemu Windows bezpośrednio z BIOS-a/oprogramowania firmowego. Dlatego w przeszłości oprogramowanie to było wykrywane jako szkodliwe, mimo że obecnie większość firm antywirusowych umieszcza pliki wykonywalne Computrace na białej liście.        

Uważamy, że twórcy Computrace’a mieli dobre intencje. Jednak z naszego badania wynika, że cyberprzestępcy mogą wykorzystać luki w zabezpieczeniach tego oprogramowania, aby użyć je do szkodliwych celów. W naszej opinii, w tak potężne narzędzie powinno być wbudowane mocne uwierzytelnianie i szyfrowanie. Nie znaleźliśmy dowodu na to, że moduły Computrace zostały ukradkowo aktywowane na analizowanych przez nas komputerach. Jednak nie ma wątpliwości, że istnieje wiele komputerów, na których aktywowano agenty Computrace. Uważamy, że to producenci oraz Absolute Software są odpowiedzialni za poinformowanie o tym użytkowników i wyjaśnienie, jak mogą wyłączyć oprogramowanie, jeśli nie chcą go używać. W przeciwnym razie takie pozostawione samym sobie agenty będą wciąż działały niezauważone i będą mogły zostać zdalnie wykorzystane do szkodliwych celów.       

Mobilne szkodliwe oprogramowanie

W ostatnim kwartale odsetek zagrożeń, których celem jest Android, przekroczył 99% wszystkich szkodliwych programów. W ciągu ostatnich trzech miesięcy wykryliśmy:

  • 1 258 436 pakietów instalacyjnych,
  • 110 324 nowych szkodliwych programów dla urządzeń mobilnych,
  • 1 182 nowych trojanów bankowości mobilnej.

Trojany bankowości mobilnej

Na początku roku Kaspersky Lab odnotował 1 321 unikatowych plików wykonywalnych dla trojnów bankowości mobilnej, a pod koniec pierwszego kwartału liczba ta zwiększyła się do 2 503. W efekcie w ciągu pierwszych trzech miesięcy tego roku liczba trojanów bakowych wzrosła dwukrotnie.     

Podobnie jak wcześniej zagrożenia są najaktywniejsze w Rosji, na Białorusi i Ukrainie:  

14q1-en-pic2.png
Zagrożenia związane z bankowością mobilną na całym świecie w pierwszym kwartale 2014 r.

Top 10 państw najczęściej atakowanych przez trojany bankowe:  

Państwo  

% wszystkich ataków

Rosja

88,85%

Kazachstan

3,00%

Ukraina

2,71%

Białoruś

1,18%

Litwa

0,62%

Bułgaria

0,60%

Azerbejdżan

0,54%

Niemcy

0,39%

Łotwa

0,34%

Uzbekistan

0,30%

Faketoken to Trojan bankowy, który wszedł do rankingu Top 20 najczęściej wykrywanych zagrożeń firmy Kaspersky Lab pod koniec kwartału. Zagrożenie to kradnie kody mTAN i współpracuje z trojanami bankowymi tworzonymi dla komputerów. Podczas sesji bankowości online trojany infekujące komputery wykorzystują wstrzykiwanie sieciowe, aby zaszyć w zainfekowanej stronie internetowej żądanie pobierania aplikacji dla Androida, która jest rzekomo niezbędna do przeprowadzania bezpiecznych transakcji, w rzeczywistości jednak odsyłacz prowadzi do Faketoken. Po tym, jak zagrożenie mobilne znajdzie się na smartfonie użytkownika, cyberprzestępcy wykorzystują trojany infekujące komputery w celu uzyskania dostępu do konta bankowego ofiary, a Faketoken pozwala im gromadzić kody mTAN i przesyłać pieniądze ofiary na swoje konta.      

Wielokrotnie pisaliśmy, że większość zagrożeń związanych z bankowością mobilną jest tworzonych i wykorzystywanych najpierw w Rosji, a następnie w innych krajach. Jednym z takich programów jest Faketoken. W pierwszych trzech miesiącach 2014 r. Kaspersky Lab wykrył ataki wykorzystujące to zagrożenie w 55 państwach, w tym w Niemczech, Szwecji, Francji, we Włoszech, Wielkiej Brytanii i Stanach Zjednoczonych.     

Nowe twory autorów wirusów

Boty kontrolowane za pośrednictwem sieci Tor

Anonimowa sieć Tor, która opiera się na sieci serwerów proxy, oferuje anonimowość użytkownikom i pozwala uczestnikom hostować „anonimowe” strony internetowe w strefie domen .onion. Strony te są następnie dostępne jedynie za pośrednictwem sieci Tor. W lutym Kaspersky Lab wykrył pierwszego trojana dla systemu Android, który jest uruchamiany za pośrednictwem serwera kontroli hostowanego w domenie znajdującej się w pseudostrefie .onion.       

Backdoor.AndroidOS.Torec.a stanowi modyfikację Orbota, powszechnie wykorzystywanego klienta sieci Tor, w którym szkodliwi użytkownicy zaszyli własny kod. Należy zauważyć, że aby Backdoor.AndroidOS.Torec.a mógł wykorzystywać sieć Tor, potrzebuje znacznie więcej kodu niż do wykonywania swojej głównej funkcji. 

Trojan ten może otrzymywać następujące polecenia z serwera kontroli (C&C):

  • rozpocznij/zatrzymaj przechwytywanie przychodzących wiadomości tekstowych 
  • rozpocznij/zatrzymaj kradzież przychodzących wiadomości tekstowych
  • wydaj żądanie USSD
  • wyślij dane dotyczące telefonu (numer telefonu, państwo, IMEI, model, wersja systemu operacyjnego) do serwera kontroli
  • wyślij listę aplikacji zainstalowanych na urządzeniu mobilnym do serwera kontroli
  • wyślij wiadomości tekstowe na wskazany w poleceniu numer

Dlaczego szkodliwi użytkownicy uznali, że potrzebna jest anonimowa sieć? Odpowiedź jest prosta: serwer C&C hostowany w sieci Tor nie może zostać zamknięty. Nawiasem mówiąc, twórcy trojanów przeznaczonych dla Androida przejęli to podejście od twórców wirusów, którzy rozwijają zagrożenia przeznaczone dla systemu Windows.      

Kradzieże e-portfeli

Szkodliwi użytkownicy nieustannie poszukują nowych sposobów kradzieży pieniędzy przy użyciu trojanów mobilnych. W marcu Kaspersky Lab wykrył szkodnika o nazwie Trojan-SMS.AndroidOS.Waller.a, który oprócz typowych funkcji trojana SMS potrafi również kraść pieniądze z portfeli QIWI z zainfekowanych telefonów.  

Po otrzymaniu odpowiedniego polecenia z centrum kontroli (C&C) trojan sprawdza saldo portfela QIWI, wysyłając wiadomość tekstową na odpowiedni numer systemu QIWI. szkodnik przechwytuje odpowiedź i wysyła ją swoim operatorom.    

Jeśli właściciel zainfekowanego urządzenia posiada konto w portfelu QIWI, a trojan otrzyma informacje o dodatnim saldzie na koncie portfela, szkodliwe oprogramowanie może przelać pieniądze z konta użytkownika na wskazane przez cyberprzestępców konto w portfelu QIWI. Właściciele trojana wysyłają specjalny numer systemu QIWI za pośrednictwem wiadomości tekstowej, wskazując ID portfela szkodliwych użytkowników oraz kwotę, jaka ma zostać przelana.    

Jak dotąd trojan ten atakował tylko rosyjskich użytkowników. Jednak szkodnik ten może być wykorzystywany przez cyberprzestępców do kradzieży pieniędzy użytkowników również w innych państwach, w których powszechnie wykorzystywane są zarządzane tekstowo systemy e-portfeli.

Złe wieści

W pierwszym kwartale 2014 r. został wykryty trojan atakujący system iOS. Szkodnik ten stanowi wtyczkę dla Cydia Substrate, popularnej platformy przeznaczonej dla zrootowanych/zhakowanych urządzeń. Istnieje wiele programów partnerskich skierowanych do twórców aplikacji, za pomocą których mogą promować swoje aplikacje przy użyciu modułu reklamującego i zarobić pieniądze na wyświetleniach reklam. W niektórych z takich modułów trojan podmienia ID twórców aplikacji na ID szkodliwych użytkowników. W efekcie wszystkie pieniądze za wyświetlenia reklam trafiają do kieszeni szkodliwych użytkowników.

Eksperci z Turcji wykryli exploita, który przeprowadzał atak DoS na urządzenie, a następnie powodował jego powtórne uruchomienie. Szkodliwi użytkownicy mogą wykorzystać tę lukę, aby stworzyć aplikację dla Androida przy pomocy pliku AndroidManifest.xml, który zawiera dużą ilość danych w każdym polu nazwy (AndroidManfiest.xml to specjalny plik znajdujący się w każdej aplikacji dla Androida). Plik ten zawiera dane dotyczące aplikacji, w tym zezwolenia dostępu dla funkcji systemowych, znaczniki dla procesorów dla różnych zdarzeń itd. Wprawdzie nowa aplikacja zostanie zainstalowana bez problemów, ale gdy np. jakieś działanie zostanie wywołane za pomocą konkretnej nazwy, urządzenie zawiesi się. Szkodliwy użytkownik może np. stworzyć program do obsługi przychodzących wiadomości tekstowych przy użyciu błędnej nazwy, a po otrzymaniu dowolnej wiadomości tekstowej telefon po prostu zawiesi się i stanie się bezużyteczny. Urządzenie będzie bez przerwy uruchamiało się powtórnie, a użytkownikowi pozostanie tylko jeden sposób rozwiązania problemu: przywrócenie oprogramowania firmowego, co spowoduje utratę wszystkich danych przechowywanych na urządzeniu.        

Szkodliwy spam

Jedną ze standardowych metod wykorzystywanych do rozprzestrzeniania mobilnego szkodliwego oprogramowania jest szkodliwy spam. Jest to jedna z ulubionych metod cyberprzestępców, którzy wykorzystują trojany mobilne w celu kradzieży pieniędzy z kont bankowych użytkowników.

Treść szkodliwego spamu stanowi zwykle ofertę pobrania aplikacji przy użyciu odsyłacza, który prowadzi do szkodliwego oprogramowania, lub odsyłacza do strony internetowej, w której zostało zaszyte szkodliwe oprogramowanie przekierowujące użytkowników do jakiejś oferty. Podobnie jak w przypadku szkodliwego spamu w poczcie e-mail, cyberprzestępcy posługują się głównie socjotechniką, aby przyciągnąć uwagę użytkownika.  

Spam o temacie olimpijskim

Igrzyska olimpijskie to ogromne wydarzenie, a szkodliwi użytkownicy nie omieszkali wykorzystać zainteresowania tegoroczną olimpiadą w Sochi.

W lutym zidentyfikowaliśmy spam SMS zawierający rzekomo odsyłacze do transmisji zmagań olimpijskich. Jeśli nieostrożny użytkownik kliknął odsyłacz, jego smartfon próbował załadować trojana wykrywanego przez Kaspersky Lab jako HEUR:Trojan-SMS.AndroidOS.FakeInst.fb.

Trojan ten potrafi odpowiadać na polecenia szkodliwego użytkownika, wysyłać wiadomości tekstowe do znanego rosyjskiego banku i przelewać pieniądze z mobilnego konta właściciela za pośrednictwem zainfekowanego smartfona. Szkodliwy użytkownik może następnie przelać pieniądze z konta ofiary do swojego własnego e-portfela. Przy tym wszystkie wiadomości z banku dotyczące przelewu zostaną ukryte przed ofiarą. 

Spam zawierający odsyłacze do szkodliwych stron internetowych

Cyberprzestępcy, którzy rozprzestrzeniają trojana Opfake, rozsyłają spam SMS zawierający odsyłacz do specjalnie stworzonych szkodliwych stron internetowych.

Jedna z wiadomości tekstowych informowała odbiorców o otrzymaniu paczki i kierowała do strony internetowej podszywającej się pod rosyjski urząd pocztowy. 

W innych wiadomościach szkodliwi użytkownicy wykorzystywali popularność rosyjskiego darmowego portalu z ogłoszeniami drobnymi, Avito.ru. Wiadomości te informowały odbiorców, że otrzymali ofertę w odpowiedzi na swoje ogłoszenie lub że ktoś jest zainteresowany kupnem ich przedmiotu, i zawierały odsyłacze do fałszywej strony Avito.ru.   

14q1-en-pic3s.png   14q1-en-pic4s.png
Podrabiane strony internetowe zawierające szkodliwe oprogramowanie

Jeżeli użytkownik kliknie odsyłacz prowadzący do fałszywej strony internetowej, jego smartfon będzie próbował pobrać trojana o nazwie Trojan-SMS.AndroidOS.Opfake.a. Oprócz wysyłania płatnych wiadomości tekstowych szkodnik ten jest również wykorzystywany do rozprzestrzeniania innych zagrożeń mobilnych, w tym wielofunkcyjnego backdoora Backdoor.AndroidOS.Obad.a.  

Socjotechnika zawsze stanowiła niebezpieczne narzędzie w rękach cyberprzestępców. Użytkownicy internetu muszą być ostrożni, a zupełne minimum stanowi powstrzymywanie się od klikania odsyłaczy otrzymywanych od nieznanych nadawców. W takich przypadkach, zawsze istnieje ryzyko, że użytkownik wpadnie w pułapkę zastawioną przez szkodliwych użytkowników i w efekcie straci pieniądze.  

Dane statystyczne

Rozkład mobilnych zagrożeń według typu

14q1-en-pic5.png
Rozkład mobilnych zagrożeń według typu, I kwartał 2014 r.

W pierwszych trzech miesiącach 2014 r. mobilne zagrożenie numer jeden stanowił Adware, którego jedyną funkcją jest nieustanne wyświetlanie reklam. Ten rodzaj szkodliwego oprogramowania jest szczególnie powszechny w Chinach.  

Po długim okresie prowadzenia trojany SMS zostały zdeklasyfikowane na drugą pozycję, po tym jak ich udział zmniejszył się z 34% do 22%. Mimo to kategoria ta nadal znajduje się na prowadzeniu wśród 20 najczęściej wykrywanych zagrożeń mobilnych.  

Top 20 mobilnych zagrożeń

 

Nazwa

% wszystkich ataków

1

Trojan-SMS.AndroidOS.Stealer.a

22,77%

2

RiskTool.AndroidOS.MimobSMS.a

11,54%

3

Trojan-SMS.AndroidOS.OpFake.bo

11,30%

4

RiskTool.AndroidOS.Mobogen.a

10,50%

5

DangerousObject.Multi.Generic

9,83%

6

Trojan-SMS.AndroidOS.FakeInst.a

9,78%

7

Trojan-SMS.AndroidOS.OpFake.a

7,51%

8

Trojan-SMS.AndroidOS.Erop.a

7,09%

9

Trojan-SMS.AndroidOS.Agent.u

6,45%

10

Trojan-SMS.AndroidOS.FakeInst.ei

5,69%

11

Backdoor.AndroidOS.Fobus.a

5,30%

12

Trojan-SMS.AndroidOS.FakeInst.ff

4,58%

13

Trojan-Banker.AndroidOS.Faketoken.a

4,48%

14

AdWare.AndroidOS.Ganlet.a

3,53%

15

Trojan-SMS.AndroidOS.Agent.ao

2,75%

16

AdWare.AndroidOS.Viser.a

2,31%

17

Trojan-SMS.AndroidOS.Agent.dr

2,30%

18

Trojan-SMS.AndroidOS.Agent.fk

2,25%

19

RiskTool.AndroidOS.SMSreg.dd

2,12%

20

RiskTool.AndroidOS.SMSreg.eh

1,87%

Głównym czynnikiem, który przyczynił się do wzrostu liczby nowych zagrożeń mobilnych, były nowe modyfikacje trojana o nazwie Trojan-SMS.AndroidOS.Stealer.a. Zagrożenie to nie wyróżnia się niczym szczególnym - posiada standardowe funkcje trojana SMS - ale wciąż znajduje się na pierwszym miejscu rankingu Top 20 najczęściej wykrywanych zagrożeń mobilnych.   

Nie ma nic dziwnego w tym, że zeszłoroczni liderzy - Opfake.bo oraz Fakeinst.a – nadal utrzymują się na swoich pozycjach i wciąż stanowią głównych graczy pod względem ataków na rządzenia użytkowników mobilnych, zalewając je niekończącymi się falami nowych szkodliwych instalatorów. 

Nawiasem mówiąc, ranking Top20 najczęściej wykrywanych zagrożeń mobilnych przez Kaspersky Lab po raz pierwszy zawiera teraz trojana bankowego Faketoken (13 miejsce).  

Zagrożenia na świecie

14q1-en-pic6.jpg
Państwa, w których użytkownicy są narażeni na największe ryzyko infekcji mobilnym szkodliwym oprogramowaniem, I kwartał 2014r.
(odsetek wszystkich zaatakowanych unikatowych użytkowników)

10 najczęściej atakowanych państw:

 

Nazwa

% wszystkich ataków

1

Rosja

48,90%

2

Indie

5,23%

3

Kazachstan

4,55%

4

Ukraina

3,27%

5

Wielka Brytania

2,79%

6

Niemcy

2,70%

7

Wietnam

2,44%

8

Malezja

1,79%

9

Hiszpania

1,58%

10

Polska

1,54%


Dane statystyczne

Wszystkie dane statystyczne wykorzystane w tym raporcie pochodzą z opartej na chmurze sieci Kaspersky Security Network (KSN). Dane te zostały uzyskane od użytkowników sieci KSN, którzy wyrazili zgodę na udostępnienie danych na temat szkodliwej aktywności na ich komputerach. W programie globalnej wymiany informacji dotyczących szkodliwej aktywności uczestniczą miliony użytkowników produktów Kaspersky Lab w 213 państwach.   

Zagrożenia online (ataki za pośrednictwem sieci)

Zawarte w tej sekcji dane statystyczne zostały dostarczone przez komponenty ochrony przed zagrożeniami sieciowymi, które zabezpieczają użytkowników, gdy szkodliwy kod próbuje pobrać się ze szkodliwej/zainfekowanej strony internetowej. Szkodliwe strony internetowe są celowo tworzone przez szkodliwych użytkowników; zainfekowane strony mogą zawierać treści dostarczane przez użytkowników (takie jak fora) jak również legalne zasoby, które zostały zhakowane. 

Top 20 szkodliwych obiektów wykrywanych online

W pierwszym kwartale 2014 r. moduł ochrony przed zagrożeniami sieciowymi firmy Kaspersky Lab wykrył 29 122 849 unikatowych szkodliwych obiektów: skryptów, stron internetowych, exploitów, plików wykonywalnych itd.

Zidentyfikowaliśmy 20 najaktywniejszych szkodliwych programów, które były wykorzystywane w atakach online na komputery użytkowników. Te 20 szkodników stanowiło 99,8% wszystkich ataków za pośrednictwem internetu.   

 

Nazwa

% wszystkich ataków

1

Malicious URL

81,73%

2

Trojan.Script.Generic

8,54%

3

AdWare.Win32.BetterSurf.b

2,29%

4

Trojan-Downloader.Script.Generic

1,29%

5

Trojan.Script.Iframer

1,21%

6

AdWare.Win32.MegaSearch.am

0,88%

7

Trojan.Win32.AntiFW.b

0,79%

8

AdWare.Win32.Agent.ahbx

0,52%

9

AdWare.Win32.Agent.aiyc

0,48%

10

Trojan.Win32.Generic

0,34%

11

AdWare.Win32.Yotoon.heur

0,28%

12

Trojan.Win32.Agent.aduro

0,23%

13

Adware.Win32.Amonetize.heur

0,21%

14

Trojan-Downloader.Win32.Generic

0,21%

15

Trojan-Clicker.JS.FbLiker.k

0,18%

16

Trojan.JS.Iframe.ahk

0,13%

17

AdWare.Win32.Agent.aiwa

0,13%

18

Exploit.Script.Blocker

0,12%

19

AdWare.MSIL.DomaIQ.pef

0,12%

20

Exploit.Script.Generic

0,10%


* Dane te stanowią werdykty wykrywania modułu ochrony przed zagrożeniami sieciowymi. Informacje zostały dostarczone przez użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie informacji o szkodliwej aktywności na ich komputerach. 

** Odsetek wszystkich ataków sieciowych zidentyfikowanych na komputerach unikatowych użytkowników.

Jak zwykle ranking Top 20 zawiera w większości werdykty odnoszące się do obiektów wykorzystywanych w atakach drive-by i programów adware. W pierwszym kwartale 2014 r. liczba miejsc zajmowanych przez werdykty adware zwiększyła się z siedmiu do dziewięciu.  

Spośród wszystkich szkodliwych programów z rankingu na specjalną wzmiankę zasługuje Trojan.Win32.Agent.aduro znajdujący się na dwunastej pozycji. Program ten rozprzestrzenia się ze stron internetowych, które nakłaniają użytkowników do pobrania wtyczki dla przeglądarki ułatwiającej dokonywanie zakupów online.

14q1-en-pic7_auto.png 

Jeżeli użytkownik kliknie przycisk “Download”, Trojan.Win32.Agent.aduro próbuje pobrać się na komputer użytkownika. Celem tego trojana jest pobranie wtyczki reklamowej oraz programu służącego do wydobywania kryptowaluty litecoin. Po skutecznym zainfekowaniu komputer użytkownika będzie wykorzystywany przez cyberprzestępców do generowania tej kryptowaluty, która trafi prosto do ich portfeli.   

Interesujący jest również szkodliwy skrypt Trojan-Clicker.JS.FbLiker.k, który w rankingu Top 20 zajmuje piętnaste miejsce. Można go znaleźć przede wszystkim na wietnamskich stronach oferujących różne rodzaje rozrywki oraz w zasobach internetowych, z których można pobrać filmy i oprogramowanie. Gdy użytkownik odwiedza taką stronę, skrypt imituje kliknięcie przez użytkownika przycisku „Lubię to” na stronie Facebooka. Następnie dana strona Facebooka może zostać wyświetlana jako „polubiona” w profilu użytkownika. Duża liczba „lajków” określonej strony zmienia jej wyniki wyszukiwania na Facebooku.    

Państwa, w których znajduje się najwięcej szkodliwego oprogramowania w zasobach online: Top 10

Poniższe dane statystyczne opierają się na fizycznej lokalizacji zasobów online, które zostały wykorzystane w atakach i zablokowane przez komponenty ochrony antywirusowej (strony internetowe zawierające przekierowania do exploitów, strony zawierające exploity i inne rodzaje szkodliwego oprogramowania, centra kontroli botnetów itd.). Dowolny host może stać się źródłem jednego lub większej liczby ataków.

W celu określenia źródła geograficznego ataków sieciowych zastosowano metodę polegającą na porównaniu nazw domen z rzeczywistymi adresami IP domen, a następnie ustaleniu geograficznej lokalizacji konkretnego adresu IP (GEOIP).

W I kwartale 2014 r. rozwiązania firmy Kaspersky Lab zablokowały 353 216 351 ataków przeprowadzonych z zasobów sieciowych zlokalizowanych w różnych  państwach na całym świecie. 83,4% zasobów online wykorzystywanych do rozprzestrzeniania szkodliwych programów jest zlokalizowanych w 10 państwach. Jest to o 0,3 punktu procentowego mniej niż w IV kwartale 2013 r. 

14q1-en-pic8.png
Rozkład zasobów internetowych, w których są zaszyte szkodliwe programy, w I kwartale 2014 r.

W ostatnich miesiącach ranking ten odnotował jedynie nieznaczne zmiany. Warto zauważyć, że 39% wszystkich ataków sieciowych zablokowanych przez produkty firmy Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów sieciowych zlokalizowanych w Stanach Zjednoczonych oraz Rosji.  

Państwa, w których użytkownicy są najbardziej narażeni na ryzyko infekcji online

Aby ocenić, w których państwach użytkownicy najczęściej napotykają cyberzagrożenia,  obliczyliśmy, jak często użytkownicy produktów firmy Kaspersky Lab otrzymywali werdykty wykrycia na swoich maszynach w każdym państwie. Uzyskane dane określają ryzyko infekcji, na jakie narażone są komputery w różnych państwach na świecie, stanowiąc wskaźnik agresywności środowiska, w którym działają komputery w różnych państwach.

 

Państwo*

% unikatowych użytkowników**

1

Wietnam

51,44%

2

Rosja

49,38%

3

Kazachstan

47,56%

4

Armenia

45,21%

5

Mongolia

44,74%

6

Ukraina

43,63%

7

Azerbejdżan

42,64%

8

Białoruś

39,40%

9

Mołdawia

38,04%

10

Kirgistan

35,87%

11

Tadżykistan

33,20%

12

Gruzja

32,38%

13

Chorwacja

31,85%

14

Katar

31,65%

15

Algieria

31,44%

16

Turcja

31,31%

17

Litwa

30,80%

18

Grecja

30,65%

19

Uzbekistan

30,53%

20

Hiszpania

30,47%

Statystyki te opierają się na werdyktach wykrycia wydanych przez moduł ochrony przed zagrożeniami internetowymi otrzymanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach.

* Wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (mniej niż 10 000).

** Unikatowi użytkownicy, których komputery stały się celem ataków sieciowych jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab w danym państwie. 

W pierwszym kwartale 2014 r. zmienił się lider rankingu: na pierwszym miejscu znajduje się obecnie Wietnam, w którym 51,4% użytkowników stanowiło cel ataków sieciowych. Nowość w zestawieniu stanowi Mongolia, która od razu znalazła się na piątym miejscu (44,7% zaatakowanych użytkowników). Pozostałe miejsca w pierwszej 10 nadal zajmuje Rosja i byłe kraje Wspólnoty Niepodległych Państw.   

Państwa, w których można najbezpieczniej surfować online, to: Singapur (10,5%), Japonia (13,2%), Szwecja (14,5%), Afryka Południowa (15,6%), Tajwan (16,1%), Dania (16,4%), Finlandia (16,8%), Holandia (17,7%) oraz Norwegia (19,4%).

14q1-en-pic9.png
* odsetek wszystkich zaatakowanych unikatowych użytkowników

Średnio 33,2% komputerów użytkowników połączonych z internetem było celem co najmniej jednego ataku sieciowego w ciągu ostatnich trzech miesięcy.  

Zagrożenia lokalne

Statystyki dotyczące lokalnych infekcji komputerów użytkowników stanowią bardzo istotny współczynnik. Dane te wskazują zagrożenia, które przeniknęły do systemu komputerowego w inny sposób niż za pośrednictwem internetu, poczty e-mail czy portów sieciowych.  

Sekcja ta zawiera analizę danych statystycznych uzyskanych w oparciu o działanie rozwiązania antywirusowego, które skanuje pliki na dysku twardym w momencie ich utworzenia lub uzyskania do nich dostępu oraz wyniki skanowania różnych wymiennych nośników danych.

W I kwartale 2014 r. rozwiązania antywirusowe firmy Kaspersky Lab skutecznie zablokowały 645 809 230 ataków szkodliwego oprogramowania na komputery użytkowników. W incydentach tych wykryto łącznie 135 227 372 unikatowych szkodliwych i potencjalnie niechcianych obiektów.   

Top 20 szkodliwych obiektów wykrytych na komputerach użytkowników

Miejsce

Nazwa

% unikatowych zaatakowanych użytkowników *

1

DangerousObject.Multi.Generic

20,37%

2

Trojan.Win32.Generic

18,35%

3

AdWare.Win32.Agent.ahbx

12,29%

4

Trojan.Win32.AutoRun.gen

7,38%

5

AdWare.Win32.BetterSurf.b

6,67%

6

Adware.Win32.Amonetize.heur

5,87%

7

Virus.Win32.Sality.gen

5,78%

8

Worm.VBS.Dinihou.r

5,36%

9

AdWare.Win32.Yotoon.heur

5,02%

10

Trojan-Dropper.Win32.Agent.jkcd

4,94%

11

Worm.Win32.Debris.a

3,40%

12

Trojan.Win32.Starter.lgb

3,32%

13

Exploit.Java.Generic

3,00%

14

AdWare.Win32.Skyli.a

2,80%

15

Trojan.Win32.AntiFW.b

2,38%

16

Virus.Win32.Nimnul.a

2,23%

17

Trojan.WinLNK.Runner.ea

2,22%

18

AdWare.Win32.DelBar.a

2,21%

19

AdWare.Win32.BrainInst.heur

2,11%

20

Worm.Script.Generic

2,06%


Statystyki te zostały zestawione na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez moduły skanowania podczas dostępu i na żądanie na komputerach użytkowników wykorzystujących produkty firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach.  

* Odsetek indywidualnych użytkowników, na których komputerach moduł antywirusowy wykrył takie obiekty jako odsetek wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na komputerach których zostało wykryte szkodliwe oprogramowanie. 

Ranking ten zawiera zwykle werdykty dotyczące programów adware, robaków rozprzestrzeniających się za pośrednictwem nośników wymiennych oraz wirusów.

Odsetek wirusów w przedstawionym rankingu Top 20 państw wciąż odnotowuje powolny ale stały spadek. W I kwartale 2014 r. wirusy były reprezentowane przez werdykty Virus.Win32.Sality.gen i Virus.Win32.Nimnul.a, których całkowity udział wynosił 8%. W IV kwartale 2013 r. ich odsetek stanowił 9,1%.

Znajdujący się na ósmym miejscu robak Worm.VBS.Dinihou.r to skrypt VBS. Szkodnik ten pojawił się pod koniec zeszłego roku i po raz pierwszy udało mu się wejść do rankingu. Spam jest jednym ze sposobów rozprzestrzeniania tego robaka. Robak posiada szeroką funkcjonalność pełnoprawnego backdoora, od uruchamiania wiersza poleceń po umieszczanie określonego pliku na serwerze. Ponadto szkodnik infekuje podłączone do komputera ofiary nośniki USB. 

Państwa, w których użytkownicy są narażeni na najwyższe ryzyko infekcji lokalnej

Miejsce

Państwo*

% unikatowych użytkowników**

1

Wietnam

60,30%

2

Mongolia

56,65%

3

Nepal

54,42%

4

Algieria

54,38%

5

Jemen

53,76%

6

Bangladesz

53,63%

7

Egipt

51,30%

8

Irak

50,95%

9

Afganistan

50,86%

10

Pakistan

49,79%

11

Indie

49,02%

12

Sudan

48,76%

13

Tunezja

48,47%

14

Dżibuti

48,27%

15

Laos

47,40%

16

Syria

46,94%

17

Birma

46,92%

18

Kambodża

46,91%

19

Maroko

46,01%

20

Indonezja

45,61%


Statystyki te opierają się na werdyktach wykrycia wygenerowanych przez moduł antywirusowy uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy wyrazili zgodę na udostępnienie informacji o szkodliwej aktywności na ich komputerach. Dane te dotyczą wykryć szkodliwych programów zlokalizowanych na komputerach użytkowników lub na podłączonych do komputerów nośnikach wymiennych, takich jak dyski flash, karty pamięci aparatów i telefonów lub zewnętrznych dysków twardych.    
 

* Podczas obliczeń wyłączyliśmy państwa, w których znajdowało się mniej niż 10 000 użytkowników produktów firmy Kaspersky Lab 

**Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery, które zablokowały lokalne zagrożenia, jako odsetek wszystkich unikatowych użytkowników produktów firmy Kaspersky Lab.   

Ranking Top 20 w tej kategorii nadal dominują państwa z Afryki, Bliskiego Wschodu i Azji Południowo-Wschodniej. Na pierwszym miejscu, podobnie jak w IV kwartale 2013 r., znajduje się Wietnam, podczas gdy na drugim miejscu utrzymuje się Mongolia. Nepal awansował o jedno miejsce na trzecią pozycję, podczas gdy Bangladesz spadł o trzy miejsca na szóstą pozycję. Nowość w rankingu stanowi Maroko.     

14q1-en-pic10.png
* odsetek wszystkich zaatakowanych unikatowych użytkowników

Najbezpieczniejsze państwa pod względem ryzyka lokalnych infekcji to: Japonia (12,6%), Szwecja (15%), Finlandia (15,3%), Dania (15,4%), Singapur (18,2%), Holandia (19,1%) oraz Republika Czeska (19,5%).

W ciągu minionych trzech miesięcy średnio 34,7% komputerów użytkowników było celem co najmniej jednego zagrożenia.