Мир: В 2013 году появился новый класс ИТ-угроз

1

Эксперты международной антивирусной компании Eset подготовили отчет о наиболее активных угрозах для ОС Windows в 2013 г. Согласно данным компании, прошлый год был отмечен появлением целого ряда новых вредоносных программ, а также модификаций уже известных угроз. Файловые вирусы в 2013 г. демонстрировали некоторое падение активности, но до сих пор представляют собой серьезную угрозу. В течение года сразу три семейства данных вирусов – Win32/Sality, Win32/Ramnit и Win32/Virut – стабильно попадали в глобальный рейтинг угроз.

Такие вирусы могут заразить все исполняемые файлы (с расширениями exe, bat и др.), содержащиеся на ПК, а также способны поставить под удар целую корпоративную сеть, поскольку умеют распространяться и заражать сетевые диски других компьютеров, объединенных в сеть.

Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост – программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы.

Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети.

Обнаружение угроз вида HTML\IFrame используется для идентификации вредоносных элементов веб-страниц. Часто вредоносные IFrame используются для перенаправления пользователя с легального сайта на вредоносный контент или набор эксплойтов.

Кроме того, и в России, и в мире все еще высока активность вредоносных программ, которые используют INF-файлы для обеспечения автоматического запуска со съемных носителей и непосредственно в системе. Такой механизм особенно актуален для устаревших ОС, поскольку у них автозапуск со съемных носителей через Autorun-файлы по умолчанию активирован. Антивирусные продукты ESET детектируют вредоносное ПО такого рода как INF/Autorun.

В прошлом году компания Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (т.н. уязвимости 0day или “нулевого дня”). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.

Уходящий год отметился появлением 0day уязвимостей, которые использовались в направленных атаках. Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели.

Статистика по выпущенным обновлениям демонстрирует, что в 2013 г. браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.

Уязвимости в приложениях пакета программ Office также могут использоваться для удаленной установки вредоносного кода. По выпущенным в этом году обновлениям для Office видно, что большинство из них были направлены на устранение уязвимостей типа Remote Code Execution (удаленное исполнение кода).

При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение. Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО.

В апреле 2014 г. корпорация Microsoft прекратит поддержку последних выпусков Windows XP SP3 и Windows XP x64 SP2. Несмотря на призывы компании отказаться от этой ОС и перейти на более новые платформы, ей по-прежнему пользуется огромное количество пользователей. Согласно статистике аналитической компании Net Applications, сегодня Windows XP установлена почти на 30% всех компьютеров.

Отказ от официальной поддержки Microsoft будет означать и прекращение выпуска обновлений, своевременно закрывающих уязвимости. Опасность заключается в том, что в Windows XP до сих пор обнаруживаются потенциально опасные уязвимости – ближайшее обновление для одной из них выйдет в январе. Кроме того, киберпреступники могут пока не использовать уже обнаруженные ими уязвимости вплоть до прекращения официальной поддержки – эти уязвимости, которые Microsoft уже не будет закрывать, могут быть использованы для заражения максимального количества владельцев Windows XP. (Eset/NovostIT)