Пожалуй, именно так можно сформулировать главную мысль прошедшей конференции: любая проблема имеет решение, нужно лишь немного подумать - и немного поработать.

Автор: Александр Бумагин

В феврале "Лаборатория Касперского" подвела итоги прошлого года, рассказав, чем за последние месяцы "порадовали" антивирусную индустрию спамеры и вирусописатели. Киберпреступники старались изо всех сил и ожиданий не обманули.

Первым трибуну на специальной конференции, посвященной компьютерному андеграунду, занял руководитель центра глобальных исследований и анализа угроз Александр Гостев. В прошлом году, сказал он, сбылось почти все, что пророчили антивирусные компании. Если 2007-й практически похоронил категорию "некоммерческих" вирусов, которые писались из мести или забавы ради, то в 2008-м, по мнению Гостева, сошли на нет "эксклюзивные" вредоносные программы, используемые кучкой людей. Киберпреступность все больше напоминает отлаженную индустрию, где каждому участнику уготована своя роль. Один пишет, второй обеспечивает распространение, третий собирает и обрабатывает данные с зараженных машин. Большая часть обнаруженных в прошлом году вирусов была создана с целью продажи, при этом авторы не пренебрегают таким атрибутом цивилизованного бизнеса, как техподдержка: если антивирусные программы начинают отлавливать "продукт", то программисты берутся за его доработку.

Докладчик отметил, что 2008-й вошел в историю как год небывалой активности хакеров, взламывающих сайты. С апреля по октябрь зафиксировано две волны взломов, невиданных ранее масштабов, получившие общее название "большой китайский хак". Только с апреля по июнь по всему миру было взломано больше двух миллионов интернет-ресурсов!

Название знаковое, поскольку армия китайских вирусописателей стала доминирующей силой в мире. Но китайцы не только создают собственные творения. Они пошли по пути своих земляков, копирующих любые успешные товары. Отныне Поднебесная будет ассоциироваться не только с поддельными "швейцарскими" часами или "японской" электроникой: местные хакеры начали адаптировать под свои нужды зарубежные трояны и вирусы. Любопытно, что в качестве эталона у них особенно популярны произведения российских программистов. Теперь существуют китайские версии таких популярных наборов эксплойтов, как IcePack и FirePack; китайская разновидность появилась и у троянов Pinch и Zeus. Полный же список подобных переделок гораздо обширнее. К счастью, китайцы пока берут количеством, а не качеством. Гостев поведал, что уровень местных специалистов невысок. Однако добавил: "Это только пока".

Значительная часть обнаруженных в прошлом году вирусов была нацелена на любителей всевозможных онлайн-игр. С лидирующих позиций они вытеснили программы, крадущие данные пользователей различных платежных систем. Онлайн-игры наиболее популярны в Юго-Восточной Азии, и жители именно этого региона в основном подвергались нападениям киберпреступников, базирующихся преимущественно в том же Китае. Распространению игровых червей немало способствовал упомянутый "большой китайский хак". Украденные пароли к игровым аккаунтам позволяют злоумышленникам шантажировать законных владельцев или торговать "трофейными" игровыми предметами. Особо отметился троян Magania, который был обнаружен на одном из компьютеров МКС (см. "КТ" #748).

Не снижающийся интерес пользователей к социальным сетям активно эксплуатировался и киберпреступниками. Если ранние вирусы были своего рода пробой пера, то теперь многочисленные атаки, в которые вовлечены социальные сети, наносят прямой ущерб юзерам. Крупнейшей в прошлом году стала эпидемия червя Koobface, который изначально был нацелен на пользователей Facebook и MySpace, а в поздних модификациях сделал уязвимой и сеть Bebo.

В России отличился червь Rovud, атаковавший в мае пользователей сети "Вконтакте". Несколько дней спустя атаке подвергся и ресурс "Одноклассники". На пользователей обрушился шквал предложений голосовать за участниц некоего конкурса. В награду за помощь юзеры получали трояна на свои компьютеры. К концу 2008 года "Лаборатория" зафиксировала более 43 тысяч вредоносных файлов, так или иначе связанных с социальными сетями. По мнению специалистов компании, главная ответственность за безопасность пользователей лежит на владельцах ресурсов. Впрочем, и сами пользователи должны быть всегда начеку.

Рейтинг самых опасных социальных сетей, по версии "Лаборатории Касперского", возглавляет сеть "Одноклассники". В прошлом году на ее пользователей было нацелено больше трех тысяч вредоносных программ, а шанс подцепить заразу составлял примерно 0,015%. Для сравнения, в самой популярной социальной сети MySpace этот показатель, найденный путем сопоставления числа троянов и вирусов с общим количеством пользователей, составил 0,003%.

"Одноклассники" - не единственный российский "триумфатор" прошлого года. Наши соотечественники, несмотря на численное превосходство китайцев, по-прежнему опережают конкурентов в том, что касается технологий создания вирусов. Так, в течение года активно развивалась модель Malware 2.0, в основу которой положен принцип разделения модулей вредоносных программ по функциональности. Одновременно использовались универсальные средства взаимодействия между этими модулями и защищенные каналы обмена данными с центрами управления ботнетами. В качестве примера Гостев привел руткит Rustock.C и буткит Sinowal.

Хорошая новость для тех, кто скучает по старым добрым временам и вирусам, которые переносились на дискетах. Они вернулись в новом качестве. Правда, теперь, когда дисковод отыщется не в каждом компьютере, вирусы перебрались на другой носитель - флэшки. Явление приобрело повсеместный характер, и те, кто считает, что вирусная опасность исходит только от Интернета, сильно заблуждаются. Автор этих строк недавно тоже принес домой вирус, который оказался на флэшке с пресс-релизом, полученной на презентации одной крупной компании. "Лаборатория" в 2008 году обнаружила около шести тысяч подобных вирусов, "хитом" среди них стал Sality.aa.

Чаще всего источником компьютерной заразы становились сайты, как специально созданные, так и взломанные. При этом эксплуатировались уязвимости в браузерах и их плагинах. В прошлом году "Лаборатория" зарегистрировала более 23 млн. атак на пользователей своих продуктов, причем 80% попыток нападений были с серверов, расположенных в Китае.

Топ-лист возглавил троян Small.aacq, ответственный за 6,5% всех атак, а вот самой опасной программой года неожиданно стал Flash Player - его уязвимости использовались вирусописателями чаще всего. Всем антивирусным компаниям пришлось оперативно внедрять в свои продукты механизм проверки воспроизводимых роликов.

Хотя в двадцатку самых опасных приложений не вошел Acrobat Reader, популярность формата PDF, который многие продолжают считать безобидным, вероятно, еще даст о себе знать. SWF-трояны, наряду с PDF-эксплойтами, в "Лаборатории" считают самым неприятным сюрпризом 2008 года - прежде с этими форматами проблем не возникало. А вот рядовые пользователи вряд ли удивили кого-то из специалистов своей беспечностью. Нежелание следить за обновлениями установленных программ - скорее правило, нежели исключение.

Специалисты "Лаборатория Касперского" в течение всего года ежедневно регистрировали в среднем 3400 новых вирусов. А ведь еще несколько лет назад пять сотен в неделю казались чем-то запредельным. К концу года темп, правда, снизился, что Гостев связал с выходом киберпреступности на "пик производительности". "Видимо, все, кто мог в Китае писать вирусы, уже этим занимаются", - констатировал он.