Методы обнаружения вирусов

Kaspersky Security Bulletin. Основная статистика за 2011 год

  1. Kaspersky Security Bulletin. Развитие угроз в 2011 году
  2. Kaspersky Security Bulletin. Основная статистика за 2011 год
  3. Kaspersky Security Bulletin. Спам в 2011 году

Эта часть отчета является частью Kaspersky Security Bulletin 2011 и сформирована на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN использует «облачную» архитектуру в персональных и корпоративных продуктах и является одной из важнейших технологий «Лаборатории Касперского».

Kaspersky Security Network позволяет нашим экспертам оперативно, в режиме реального времени обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN помогает выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать гораздо большую скорость реакции на новые угрозы — в настоящее время мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Статистика в отчете основана на данных, полученных от продуктов «Лаборатории Касперского», пользователи которых подтвердили свое согласие на передачу статистических данных.

Вредоносные программы в интернете (атаки через Web)

Количество атак через браузер за год увеличилось с 580 371 937 до 946 393 693. Таким образом, при серфинге пользователей в интернете наши продукты отражали атаки вредоносного ПО в среднем 2 592 859 раз в день.

Число отраженных в 2011 году интернет-атак превышает показатели 2010 года в 1,63 раза, что значительно уступает тем темпам роста, которые мы видели на протяжении последних трех лет. Так, в 2010 году мы зафиксировали восьмикратный рост попыток заражения по сравнению с 2009 годом.

Замедление темпов роста попыток заражения через web обусловлено тем, что в 2011 году в ходе интернет-атак злоумышленники не использовали никаких принципиально новых технологий массового заражения компьютеров. Основным оружием заражения через браузер так и остались наборы эксплойтов, дающие возможность проводить drive-by атаки совершенно незаметно для пользователя. В течение года на черном рынке активно продавались два набора эксплойтов: BlackHole и Incognito, которые быстро завоевали популярность у киберпреступников и вошли в пятерку чаще всего используемых наборов. Заметим, что практически весь этот бизнес функционирует вокруг партнерских программ, организованных хакерами.

Предпосылок к серьезному изменению ситуации нет, поэтому в ближайшее время рост числа веб-атак еще больше замедлится. Затем произойдет постепенная стабилизация количества инцидентов.

Вредоносные программы в интернете: TOP20

Из всех вредоносных программ, участвовавших в интернет-атаках на пользователей, мы выделили 20 наиболее активных. На них пришлось 87,5% атак в интернете.

Место Название Количество атак* % от всех атак
1 Malicious URL 712 999 644 75,01%
2 Trojan.Script.Iframer 35 522 262 3,67%
3 Exploit.Script.Generic 17 176 066 1,81%
4 Trojan.Script.Generic 15 760 473 1,66%
5 Trojan-Downloader.Script.Generic 10 445 279 1,10%
6 Trojan.Win32.Generic 10 241 588 1,08%
7 AdWare.Win32.HotBar.dh 7 038 405 0,74%
8 Trojan.JS.Popupper.aw 5 128 483 0,54%
9 AdWare.Win32.FunWeb.kd 2 167 974 0,23%
10 Trojan-Downloader.Win32.Generic 1 979 322 0,21%
11 AdWare.Win32.Eorezo.heur 1 911 042 0,20%
12 AdWare.Win32.Zwangi.heur 1 676 633 0,18%
13 Hoax.Win32.ArchSMS.heur 1 596 642 0,17%
14 Trojan.HTML.Iframe.dl 1 593 268 0,17%
15 Trojan.JS.Agent.uo 1 338 965 0,14%
16 AdWare.Win32.FunWeb.jp 1 294 786 0,14%
17 Trojan-Ransom.Win32.Digitala.bpk 1 189 324 0,13%
18 Trojan.JS.Iframe.tm 1 048 962 0,11%
19 AdWare.Win32.Agent.uxx 992 971 0,10%
20 AdWare.Win32.Shopper.ee 970 557 0,10%

Настоящая статистика представляет собой детектирующие вердикты модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Суммарное число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей.

Развитие новых технологий детектирования, опирающихся на возможности KSN, позволило увеличить с 60% до 75% долю угроз, обнаруживаемых эвристическими методами без обновления классических антивирусных баз. Вредоносные сайты, обнаруженные с помощью этих методов, занимают первую строчку рейтинга. Отметим, что значительная часть детектов Malicious URL приходится на сайты с эксплойтами.

На втором месте — вредоносные скрипты, внедряемые злоумышленниками в код взломанных легитимных сайтов с помощью специальных программ. Инъекции скрытого тега Iframe со ссылкой на вредоносный ресурс используются в ходе drive-by атак: пользователь заходит на легитимный сайт, а браузер незаметно перенаправляется на ресурс, содержащий набор эксплойтов. Аналогичные вредоносные скрипты, обнаруживаемые более простыми — сигнатурными — методами, разместились на 14-м и 18-м местах.

Позиции с 3-й по 6-ю занимают различные эвристические вердикты, детектирующие вредоносные программы в виде скриптов и исполняемых PE-файлов. Такие программы осуществляют загрузку и исполнение других вредоносных программ, а также несут «полезную» нагрузку — воруют данные интернет-банкинга, учетные записи в социальных сетях, сервисах и тому подобное.

Еще семь представителей TOP 20 — рекламные программы семейств Zwangi, FunWeb, Eorezo, Shopper и HotBar, которые уже не первый год попадают в наш рейтинг. Эти программы стараются попасть на компьютер пользователя различными способами, легальными и нелегальными.

По сравнению с 2010 годом в рейтинг попало два новых вида вредоносных программ. Во-первых, это программы, используемые в мошенничестве с короткими номерами, — Hoax.Win32.ArchSMS.heur (13-е место). Нашими продуктами зафиксировано более одного миллиона инцидентов с их участием, и подавляющее большинство этих случаев приходится на русскоговорящий сегмент интернета. Во-вторых, это троянец-вымогатель Digitala (17-е место). Этот зловред блокирует нормальную работу компьютера и требует, чтобы пользователь заплатил злоумышленникам за восстановление исходного состояния системы.

Страны, на веб-ресурсах которых размещены вредоносные программы: TOP 20

Для проведения 946 393 693 атак через интернет злоумышленники воспользовались 4 073 646 доменами. Серверы, на которых был размещен вредоносный код, были обнаружены в 198 странах мира. 86,4% всех зафиксированных нами в Сети вредоносных хостингов были размещены в интернет-пространстве двадцати стран.

Место Страна* Количество атак** % от всех атак
1 США 240 022 553 25,4%
2 Россия 138 554 755 14,6%
3 Нидерланды 92 652 499 9,8%
4 Германия 82 544 498 8,7%
5 Украина 47 886 774 5,1%
6 Китай 46 482 840 4,9%
7 Великобритания 44 676 036 4,7%
8 Британские Виргинские острова 26336323 2,8%
9 Канада 19723107 2,1%
10 Швеция 15 472 406 1,6%
11 Франция 14 706 167 1,6%
12 Румыния 12685394 1,3%
13 Республика Корея 7 220 494 0,8%
14 Чехия 6009847 0,6%
15 Латвия 5 371 299 0,6%
16 Испания 5066469 0,5%
17 Япония 3 468 602 0,4%
18 Турция 3150767 0,3%
19 Бразилия 2 712 440 0,3%
20 Белиз 2 660 150 0,3%

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Для определения географического источника атаки используется методика сопоставления доменного имени к реальному IP-адресу, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).
** Суммарное число зафиксированных веб-антивирусом уникальных атак с веб-ресурсов, размещенных в стране.

Первые две позиции занимают те же страны, что и год назад: США (25,4%) и Россия(14,6%). Важно отметить, что активный рост доли вредоносных хостингов, который мы фиксировали в этих странах в предыдущие годы, прекратился. Этому способствовали активные действия правоохранительных органов по закрытию ботнетов. Однако несмотря на то что процент вредоносных хостингов в этих странах немного снизился, он все еще остается на очень высоком уровне.

Жесткое регулирование регистрации доменов в Китае продолжает давать положительный эффект. Еще два года назад Китай был в лидерах по числу вредоносных хостингов с невероятным отрывом от других стран. На долю этой страны приходилось более половины всех источников зловредов в интернете (52%). Однако в прошлый отчетный период этот показатель сократился до 13%. В 2011 году доля китайских вредоносных хостингов уменьшилась еще на 8,2%, и страна переместилась с третьей позиции на шестую.

Голландия и Германия занимают в рейтинге 3-ю и 4-ю позиции соответственно. Это объясняется в частности тем, что провайдеры этих стран предлагают дешевый и качественный хостинг, который интересен не только честным клиентам, но и злоумышленникам.

Где размещаются вредоносные ссылки

Помимо drive-by загрузок в арсенале у злоумышленников имеется еще несколько методов заманивания пользователей на вредоносные сайты: черная поисковая оптимизация, спам в социальных сетях и постинг ссылок с заманчивыми комментариями на популярных сайтах.

Мы выяснили, на каких именно сайтах в 2011 году чаще всего размещались вредоносные ссылки — в соответствии с числом попыток переходов по этим ссылкам пользователей KSN. Двадцатку сайтов, с которых было зафиксировано больше всего попыток перехода, мы сгруппировали по категориям.


Категории TOP 20 сайтов, откуда пользователи чаще всего
переходили по вредоносным ссылкам. % переходов, 2011

На первом месте оказались различные развлекательные сайты, содержащие видеоконтент, такие как Youtube.

Второе место заняли поисковые системы — пользователи периодически переходят по вредоносным ссылкам прямо на страницах выдачи крупнейших поисковиков Google и Yandex.

С отставанием в 1% на третьем месте расположились социальные сети. Наиболее осторожными нужно быть при общении в Facebook и Vkontakte — именно в этих социальных сетях злоумышленники особенно активно распространяют вредоносный контент.

На четвертом и пятом месте расположились различные рекламные сети (чаще всего баннерные) и сайты с контентом «для взрослых».

Уязвимые приложения, используемые злоумышленниками

Как было отмечено выше, уже второй год подряд эксплойты являются главным оружием киберпреступников при проведении интернет-атак. Анализ эксплойтов позволил выявить программы, уязвимости в которых в 2011 году чаще всего использовали хакеры для проведения атак на компьютеры пользователей.

 
Приложения, уязвимости в которых использовали веб-эксплойты, 2011

35% инцидентов с эксплойтами были нацелены на уязвимости в Adobe Acrobat Reader.

В 2011 году резко увеличилась популярность эксплойтов к Java-машине, в итоге уязвимости в Java заняли второе место в рейтинге мишеней — с ними было связано четверть всех инцидентов. Заметим, что современные наборы эксплойтов наполовину состоят именно из Java-эксплойтов.

На третьем месте расположились программы, использующие уязвимости в компонентах Windows. Наиболее заметными их представителями стали эксплойты к уязвимости 2010 года MS10-042 в Windows Help and Support Center. 4% приходится на уязвимости в установленном по умолчанию во всех версиях Windows браузере Internet Explorer.

Что особенно интересно, на 6-м месте с 4% расположились эксплойты для мобильной платформы Android OS, которые до 2011 года вообще не попадали в подобные рейтинги. Все они дают возможность вредоносным программам получить права администратора и полный контроль над телефоном или планшетом (jailbreak).


Процентное соотношение версий OS Windows,
установленных на компьютерах по всему миру

Для массовых заражений злоумышленники активно эксплуатируют давно известные уязвимости, в то время как zero-day эксплойты припасаются для целевых атак. Причина проста: в мире достаточно компьютеров, которые используют устаревшее ПО и операционные системы. В частности, в сети KSN 63% компьютеров, которые подвергались атакам, работают под Windows XP, в то время как на более современные Windows 7 и Vista приходится лишь 37% инцидентов.

Локальные угрозы

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты.

Наши антивирусные решения успешно обнаружили более 2,3 миллиарда вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано 1 590 861 разных вредоносных и потенциально опасных программ.

Вредоносные объекты, обнаруженные на компьютерах пользователей: TOP 20

Вредоносные программы, попавшие в первую двадцатку, являются самыми распространенными угрозами 2011 года.

Место Детектируемый объект Кол-во уникальных пользователей* %%
1 Trojan.Win32.Generic 12 804 003 24,2%
2 DangerousObject.Multi.Generic 12 327 029 23,3%
3 Net-Worm.Win32.Kido.ih 5 073 357 9,6%
4 Virus.Win32.Sality.aa 4 017 673 7,6%
5 Net-Worm.Win32.Kido.ir 3 927 070 7,4%
6 Virus.Win32.Sality.bh 3 222 166 6,1%
7 Trojan.Win32.Starter.yy 2 985 017 5,7%
8 Worm.Win32.Generic 2 113 422 4,0%
9 Hoax.Win32.ArchSMS.heur 1 771 798 3,4%
10 Virus.Win32.Sality.ag 1 566 186 3,0%
11 Packed.Win32.Katusha.o 1 507 697 2,9%
12 HiddenObject.Multi.Generic 1 416 697 2,7%
13 Virus.Win32.Nimnul.a 1 310 704 2,5%
14 Worm.Win32.VBNA.b 1 136 110 2,2%
15 HackTool.Win32.Kiser.zv 1 102 150 2,1%
16 Hoax.Win32.Screensaver.b 1 067 025 2,0%
17 Packed.Win32.Klone.bq 979 917 1,9%
18 Exploit.Script.Generic 951 659 1,8%
19 Trojan.Script.Iframer 945 149 1,8%
20 AdWare.Win32.HotBar.dh 849 450 1,6%

Настоящая статистика представляет собой детектирующие вердикты модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.

На 18 230 930 компьютерах были заблокированы попытки заражения, обнаруженные с помощью различных эвристических методов: Trojan.Win32.Generic (1-е место), Worm.Win32.Generic (8-е место), HiddenObject.Multi.Generic (12-е место), Exploit.Script.Generic (18-е место).

Второе место в рейтинге занимают различные вредоносные программы, обнаруженные с помощью облачных технологий и детектируемые как DangerousObject.Multi.Generic. Облачные технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. При помощи системы мгновенного обнаружения угроз UDS, работающей в составе Kaspersky Security Network, более 12 млн. компьютеров пользователей получили защиту в режиме реального времени.

8 программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей: Net-Worm.Win32.Kido.ih (3-е место), Virus.Win32.Sality.aa (4-е место), Net-Worm.Win32.Kido.ir (5-е место), Virus.Win32.Sality.bh (6-е место), Trojan.Win32.Starter.yy (7-е место), Virus.Win32.Sality.ag (10-е место), Virus.Win32.Nimnul.a (13-е место) и Worm.Win32.VBNA.b (14-е место).

Почти 2 миллиона пользователей столкнулись с мошенничеством с использованием коротких SMS-номеров (Hoax.Win32.ArchSMS.heur, 9-е место). Под различными предлогами, в основном обещая доступ к содержимому архива или инсталлятора с игрой, программой, книгой или чем-то подобным, злоумышленники пытаются вынудить пользователей отправить SMS на короткий премиум-номер. Как правило, после отправки сообщения пользователь ничего не получает взамен.

В стане классических файловых вирусов пополнение — Virus.Win32.Nimnul.a. Эта вредоносная программа распространяется двумя путями: с помощью заражения исполняемых файлов и через сменные носители информации с использованием функции автозапуска. Основной регион распространения — азиатские страны, такие как Индия (21%), Индонезия(16%), Вьетнам (18%), Бангладеш (10%), где операционные системы обновляются редко и защитное ПО установлено далеко не на каждом компьютере. Основной нагрузкой зловреда является доставка на компьютер бэкдора Backdoor.Win32.IRCNite.yb, который подключается к удаленному серверу и включает компьютер-жертву в зомби-сеть.

Обфускация и упаковка остаются в числе популярных у злоумышленников средств защиты вредоносных программ от детектирования: 11-е, 14-е и 17-е места занимают именно такие программы — семейств Katusha, VBNA и Klone. Что примечательно, все три программы были обнаружены практически в одно и то же время: в конце августа — начале сентября 2010 года.

Картина мира

Один из самых интересных вопросов, на который можно получить ответ с помощью статистики, — в каких странах пользователи чаще всего сталкиваются с киберугрозами. По сути, эта конкретная статистика — показатель агрессивности среды, в которой работает компьютер.

Чтобы оценить степень риска заражения, которому подвергаются компьютеры в разных странах мира, для каждой из стран мы подсчитали, насколько часто в течение 2011 года пользователи в ней сталкивались со срабатыванием антивирусной программы.

Веб-угрозы

Место Страна % уникальных пользователей*
1 Россия 55,9
2 Оман 54,8
3 США 50,1
4 Армения 49,6
5 Белоруссия 48,7
6 Азербайджан 47,5
7 Казахстан 47
8 Ирак 45,4
9 Украина 45,1
10 Гвинея-Бисау 45,1
11 Малайзия 44,4
12 Шри-Ланка 44,2
13 Саудовская Аравия 43,9
14 Индия 43,8
15 Судан 43,5
16 Великобритания 43,2
17 Таджикистан 43,1
18 Катар 42,4
19 Кувейт 42,3
20 Канада 42,1

Настоящая статистика основана на детектирующих вердиктах модуля веб-антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
*Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В 2011 году изменилось процентное соотношение развитых и развивающихся стран в первой двадцатке. В прошлом году в этот рейтинг входила лишь одна развитая страна — США. В 2011 помимо Соединенных Штатов в рейтинг попали Англия и Канада.

Произошли изменения и в тройке лидеров. За год значительно снизился уровень риска при веб-серфинге в Ираке — с 61,8% до 45,4%. Эта страна опустилась с первой строчки нашего рейтинга на восьмую. С третьего на первое место поднялась Россия (+2,2%), где процент пользователей, атакованных в процессе веб-серфинга, составил 55,9%. Второе место осталось за Оманом с показателем 54,8%. А вот на третье место с пятой позиции поднялись США с 50,1%. Значительная доля атак на американских пользователей в 2011 году была проведена со взломанных сайтов с помощью набора эксплойтов BlackHole Exploit Pack. В результате успешной атаки на компьютер пользователя мог быть установлен целый зоопарк различных вредоносных программ: троянцы-банкеры Zbot (Zeus), многофункциональные бэкдоры-кликеры ZeroAccess, фальшивые антивирусы и программы-вымогатели.

Все страны, попавшие в двадцатку, можно распределить по степени риска заражения при серфинге в интернете.

  1. Группа повышенного риска
    В эту группу с результатом 41-60% вошли 22 страны. Помимо стран из TOP 20 в нее также попали Австралия (41,5%) и Китай (41,4%).
  2. Группа риска
    В эту группу с показателями 21-40% попали 118 стран, в том числе Италия (38,9%), ОАЭ (38,2%), Франция (37%), Швеция (32%), Голландия (37,1%) и Германия (26,6%).
  3. Группа самых безопасных при серфинге в интернете стран (0-20%)
    В 2011 году в эту группу попали 9 стран: Эфиопия (20,5%), Гаити (20,2%), Дания (19,9%), Нигер (19,9%), Того (19,6%), Бурунди (18,6%), Зимбабве (18,6%), Бенин (18,0%), Мьянма (17,8%).

Самые значительные изменения в 2011 году произошли в последней группе стран — ее состав обновился практически полностью. Германия, Япония, Люксембург, Австрия и Норвегия, чьи показатели в 2010 году варьировали от 19% до 20%, перешли в группу риска. За исключением Дании, группа безопасных стран почти полностью состоит из новичков рейтинга.

Отметим, что страны, пополнившие группу безопасных при веб-серфинге, по уровню локальных угроз попали в группы с высоким и максимальным уровнем заражения. Их попадание в группу стран, безопасных для серфинга в интернете, объясняется характером распространения файлов в этих странах: интернет там пока еще не очень хорошо развит, поэтому для обмена файлами пользователи активно используют различные съемные носители информации. В итоге в этих странах на наши радары практически не попадают веб-угрозы, а вот с вирусами и червями, которые живут на флешках и заражают файлы, сталкивается огромное количество пользователей.

В целом в мире уровень опасности интернета за год вырос на 2% и составил 32,3%. К тому же переход многих западноевропейских стран и Японии в группу риска является тревожным знаком: именно на пользователей из этих стран нацелены наиболее профессиональные злоумышленники.

Локальные угрозы

Помимо заражений через веб интерес представляют данные о детектировании вредоносных программ, обнаруженных непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. По сути, эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

Место Страна %*
1 Судан 94,6%
2 Бангладеш 92,6%
3 Ирак 81,0%
4 Танзания 80,8%
5 Ангола 79,4%
6 Руанда 78,5%
7 Индия 77,5%
8 Непал 77,1%
9 Уганда 75,5%
10 Шри-Ланка 74,6%
11 Оман 74,3%
12 Малави 73,9%
13 Индонезия 73,6%
14 Афганистан 73,6%
15 Монголия 72,9%
16 Нигерия 71,9%
17 Мавритания 71,8%
18 Мальдивы 71,7%
19 Иран 71,5%
20 Эфиопия 70,7%

Настоящая статистика основана на детектирующих вердиктах модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных. При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
* Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Вся двадцатка 2011 года состоит из стран Африки и Азии. Ситуация в некоторых регионах настораживает, например, в Судане и Бангладеш на 9 из 10 компьютеров пользователи в течение года хоть раз сталкивались с заражением вредоносной программой. Еще неразвитая культура использования антивирусов и поверхностные знания пользователей о возможных компьютерных угрозах делают компьютеры в этих странах уязвимыми для вредоносных программ.

В случае локальных угроз мы также можем разбить все страны мира на несколько категорий. По сравнению с прошлым годом мы изменили методику подсчета, включив данные об угрозах, найденных on-demand сканером, который сканирует жесткий диск и внешние носители информации. В результате общий уровень заражения стал выше, и мы пересмотрели порог вхождения в различные группы для более адекватного отражения текущей ситуации.

  1. Максимальный уровень заражения (более 75%): 9 стран из Азии и Африки.
  2. Высокий уровень заражения (56-75%): 70 стран мира, в том числе Филиппины (61%), Россия (60,6%), Эквадор (57,8%), Колумбия (57,7%), Китай (57,5%).
  3. Средний уровень заражения (35-55%): 55 стран, в том числе Мексика (55%), Турция (55%), Бразилия (54,1%), Румыния (48,6%), Испания (44,9%), США (40,2%), Австралия (39,1%), Франция (37,9%), Канада (37,4%) и Англия (37%).
  4. Наименьший уровень заражения (0-35%): 14 стран мира.

Страны с минимальным процентом зараженных компьютеров:

Место Страна* %
1 Дания 20,6
2 Япония 21,1
3 Германия 25,3
4 Финляндия 26,3
5 Чехия 27
6 Швейцария 27,6
7 Люксембург 27,9
8 Австрия 28,4
9 Швеция 28,8
10 Норвегия 29,5
11 Нидерланды 29,7
12 Бельгия 32,3
13 Словения 32,7
14 Новая Зеландия 34,7

Группа самых безопасных стран, несмотря на изменение методики подсчета, выглядит практически так же, как и в прошлом году.

Сетевые атаки

Обязательным элементом современной защитной программы является файервол. Он позволяет блокировать атаки на компьютер, осуществляемые извне через локальную сеть, а также противодействует попыткам кражи с компьютера пользовательских данных.

В состав Kaspersky Internet Security включен файервол с функцией детектирования входящих пакетов (IDS), многие из которых являются эксплойтами, использующими уязвимости в сетевых службах операционных систем, и способны вызвать заражение системы с незакрытыми уязвимостями или предоставить злоумышленнику полный доступ к ней.

В 2011 году наши системы защиты от сетевых атак отразили 2 656 409 669 попыток незаконного проникновения на компьютеры пользователей — в прошлом году эта цифра была в два раза меньше.

Сетевые атаки: TOP 20

Место Название % уникальных попыток заражения*
1 Intrusion.Win.MSSQL.worm.Helkern 67,7%
2 Intrusion.Win.NETAPI.buffer-overflow.exploit 24,7%
3 DoS.Generic.SYNFlood 14,6%
4 Scan.Generic.UDP 8,7%
5 Scan.Generic.TCP 3,9%
6 Intrusion.Win.DCOM.exploit 2,0%
7 Intrusion.Win.LSASS.exploit 1,8%
8 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1,3%
9 DoS.Generic.ICMPFlood 1,2%
10 DoS.Win.ICMP.BadCheckSum 0,8%
11 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 0,8%
12 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 0,4%
13 DoS.Generic.PingOfDeath 0,4%
14 Intrusion.Generic.WebApp.DirTravers.exploit 0,4%
15 Intrusion.Win.EasyAddressWebServer.format-string.exploit 0,4%
16 Intrusion.Win.PnP.exploit 0,2%
17 Intrusion.Win.CVE-2010-2729.a.exploit 0,1%
18 Intrusion.Win.MSFP2000SE.exploit 0,1%
19 Intrusion.Unix.Efscsar.buffer-overflow.exploit 0,1%
20 Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 0,1%

Настоящая статистика основана на детектирующих вердиктах модуля IDS, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
*Доля от всех уникальных инцидентов, зафиксированных IDS на компьютерах пользователей.

Лидером рейтинга вновь стал червь Slammer (Helkern). Его поведение в течение года было очень странным: были периоды, когда он вдруг исчезал с радаров, а спустя недели так же неожиданно появлялся вновь.

 
Число уникальных пользователей, на компьютерах которых
была зафиксирована атака Slammer

Лидер прошлого года Intrusion.Win.NETAPI.buffer-overflow.exploit переместился на вторую строчку рейтинга. Напомним, что это эксплойт к уязвимости MS08-067, который впервые был применен в черве Kido, а затем и в черве Stuxnet.

Большая часть рейтинга состоит из эксплойтов-долгожителей, которые уже не первый год распространяются с зараженных компьютеров. А девятизначные цифры количества попыток заражения через Сеть говорят лишь об огромном парке никак не защищенных компьютеров, подключенных к интернету.

НОВОЕ НА САЙТЕ