Москва День антивирусной безопасности Станислав Шевченко, зам. директора по исследованиям и разработке, директор проекта «Антивирусная школа – новый источник IT-знаний» Kaspersky Lab
Москва Как работаем: Пишите и передавайте записки с вопросами, самые интересные будут отмечены подарками
Москва Программы
Москва Самое свежее... На
Москва ВП – вредоносная программа Трудно ли создать ? Трудно ли использовать ? Опасно ли пользоваться ? Можно ли заработать ? Индустриализация киберкриминала ! нет да Трудно ли противостоять ?да
Москва Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title, place) Основные тенденции Число новых вредоносных программ
Москва Самое свежее... На
Москва О чем поговорим? WEB 2.0 – шагает по планете. Спам, спам и еще раз спам Ложные спасатели – что это? Уязвимости программ – точки проникновения Зомби сети – угрожающие рекорды SMS-платежи – новые возможности старого мошенничества Статистика – реалии в цифрах
Москва Web 2.0
Москва Социальные сети Google, Adobe и другие компании подверглись атакам хакеров через социальные сети, сообщает Financial Times Проанализировав атаки, эксперты по компьютерной безопасности заявили, что хакеры следили за конкретными людьми в компаниях, имеющими доступ к секретным данным, а затем узнавали, с кем эти люди общаются и дружат. После этого хакеры взламывали страницы в социальных сетях этих друзей, в надежде повысить вероятность того, что люди, являющиеся финальной целью хакеров, скорее нажмут на ссылки от "друзей" По данным «Лаборатории Касперского», социальные сети стали основной мишенью атак в 2008 году. По прогнозам «Лаборатории Касперского», в 2009 году будет наблюдаться переход от концептуальных угроз и пробных атак в социальных сетях к массовым атакам. Социальные сети содержат персональную информацию, которая может быть использована в том числе и злоумышленниками. Обманчивая атмосфера доверия ведет к предоставлению конфиденциальной информации «по дружбе». Практически каждый может представиться там коллегой по увлечению. Многие пользователи наиболее распространенной в России социальной сети «Одноклассники.ру» уже получали письма со ссылкой на вирус. Пример такого послания просьба проголосовать за фотографию какой-либо претендентки на титул «Мисс Рунет». Пройдя по модифицированному адресу, пользователь видит фото претендентки и отзывы людей, якобы уже проголосовавших за нее. Далее при нажатии на ссылку «Отдать свой голос» посетителю сайта предлагается скачать видеоролик, в то время как на самом деле на компьютер скачивается вирусная программа.
Москва Пример сообщения
Москва In-the cloud security in- the-cloud security - основной технологический тренд развития AV-индустрии
Москва СПАМ
Москва Доля спама в потоке 60% 65% 70% 75% 80% 85% 90% 95% Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь
Москва Спам Доля спама в почтовом трафике рунета Январь %
Москва Спам
Москва Трюки и «фишки»
Москва Youtube video
Москва Mp3 Опять?!
Москва Мозаика
Москва Волны
Москва Fishing
Москва Ложные спасатели
Москва Ложные спасатели Первая половина 2008 года – около шт Первая половина 2009 –более шт Fraud Tool – риск варе попадает при помощи программ Hoax – Которые находят проблемную зону и предлагают поставить защиту. Распространение при помощи Рекламы Главное напугать, а затем вынудить заплатить Покупка как правило при помощи SMS
Москва Ложные антивирусы
Москва График добавления сигнатур
Москва Доля новых сигнатур
Москва Уязвимости
Москва Определение Уязвимость – в компьютерной терминологии, это недостаток в системе который может быть использован для изменения функционала системы. Возникает из-за ошибок программистов или ошибок архитектуры. Википедия
Москва Типы воздействия
Москва Drive-by загрузки. Суть технологии: при посещении пользователем легитимного взломанного сайта незаметно загрузить на его компьютер вредоносную программу. Такие атаки особенно опасны, ведь на взломанные легитимные сайты заходят тысячи ничего не подозревающих пользователей, и каждый из них является потенциальной жертвой.
Москва Зомби сети
Москва Определение Ботами называют вредоносные программы, занимающиеся объединением пораженных компьютеров в ботнеты.
Москва Зомби сети. Спят ли зомби? Нет, не спят. Самая большая сеть известная на сегодня – сеть созданная Net-Worm.win32.kido В каждом письме используется свой уникальный домен (для усложнения детектирования СПАМ рассылки) использованно домена 3 уровня и 33 домена второго уровня За 12 часов работы один только бот отправил спам письма с вредоносной программой
Москва Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title, place) Эпидемия Kido (Conficker) продолжалась на протяжении всего 2009 года. В ноябре количество зараженных систем превысило 7 млн. Для борьбы с Kido была создана специальная группа Conficker Working Group. Источник: Kido
Москва Математика 1 бот iksmas – в сутки отправляет писем Допустим что заражено всего машин Получается что за сутки зомби сеть, только этого бота рассылает (400 миллиардов) писем со спамом
Москва Kido Помимо спам бота iksmas кидо на компьютер жертвы устанавливает и уже известный нам поддельный антивирус Настойчивость так велика, что скорее всего пользователь установит себе этот ложный антивирус
Москва Kido Пользователь теряет не только 50 долларов, но и данные кредитных карт и платежные реквизиты Кроме аллертов этот ложный антивирус устанавливает еще один компонент а именно троян-загрузчик, trojan- downloader.win32.fraudLoad.ecl – который обеспечиват загрузку новых версий ложного антивируса SpywareProtect2009
Москва Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title, place) Глобальные эпидемии: Gumblar Система работает по замкнутому циклу
Москва Зомби - бизнес
Москва Управление жертвой
Москва Киберпреступность - «сервис»
Москва Trojan-Downloader.JS.Gumblar.a Свое название этот представитель киберфауны получил по причине того, что его первые версии перенаправляли пользователей на домен gumblar.cn Этот троянец представляет собой вредоносный зашифрованный сценарий JavaScript, вставленный в тысячи страниц различных взломанных сайтов и перенаправляющий посетителей этих сайтов на вредоносную веб-страницу. Компьютеры пользователей, попавших на зараженный сайт, подвергаются атаке с помощью эксплойтов, использующих уязвимости в Adobe Acrobat Reader и Adobe Flash Player.
Москва Trojan-Downloader.JS.Gumblar.a Если один из эксплойтов срабатывает, то в систему пользователя незаметно загружается троянская программа. Этот троянец изменяет результаты поиска через Google таким образом, что полученные ссылки могут вести на вредоносные сайты, и заодно собирает с компьютеров ftp-логины и пароли. Украденные данные в дальнейшем используются злоумышленниками для доступа к учетной записи на сервере и заражения новых сайтов. Собственно заражением страниц занимался инфектор, написанный на PHP, вставляющий код троянца Gumblar во все веб- документы на сервере после тега.
Москва Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title, place) Мобильные платформы Появление первых угроз для iPhone и Android Слабая технология контроля публикуемых приложений ОС Android
Москва SMS-биллинг в России Выкачивание денег с помощью SMS, отправленных на премиум-номера. Например: Trojan-Ransom: Blocker и Smser. Российская специфика, русский «интерфейс». После успешного запуска блокируют запуск ОС. Требуется послать SMS-сообщение на короткий номер и в ответ получить код, которым активировать ОС. Последние версии троянцев семейства Blocker блокируют загрузку ОС под предлогом того, что у пользователя якобы установлена нелицензионная версия. Нелицензионное ПО, предлог вполне убедительный, и жертвой троянцев большей частью становится именно русскоязычная аудитория.
Москва SMS-биллинг
Москва *nix. Волшебная абревиатура Растущая популярность той или иной платформы не может не привлекать вирусописателей. Во втором квартале 2009 года - 48 новых вредоносных программ Наиболее интересными – Trojan-Dropper.Linux.Prl -запускает процесс интерпретатора perl и передает ему скрипт, содержащий основную вредоносную нагрузку, которой является рассылка с зараженных серверов спама. первый прецедент использования зараженного *nix- сервера для рассылки спама. – Trojan-Mailfinder.Perl.Hnc Ботсети из компьютеров под управлением Mac OS X. Распространение вредоносных программ-ботов велось в январе этого года через торрент-сети вместе с пиратской версией популярного пакета офисных программ Apple iWork09, - Backdoor.OSX.iWorm
Москва Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title, place) Альтернативные платформы: Mac OS Первая троянская программа для Mac OS – OSX.RSPlug.A (Trojan-Downloader.OSX. Jahlav) Первый поддельный антивирус для Mac – Imunizator
Москва Защищать нужно ЛЮБУЮ ОС
Москва Статистика
Москва Статистика Веб-антивирус: детектируемые объекты в интернете Более 60% вредоносных программ, распространяемых на вебе, составляют программы пяти поведений:
Москва Статистика детали Trojan-Downloader - доля которого уменьшилась на 10,48% и составила 27,16%. Основной вклад внес Trojan-Downloader.JS.Gumblar.a Trojan: его доля изменилась на -7,37% и составила 13,80%. Своей популярностью поведение Trojan обязано в основном троянскому скриптовому загрузчику Trojan.JS.Agent.xy. Exploit, на долю которого пришлось 9,90% это меньше на 2,25%. Главную роль здесь сыграл Exploit.HTML.CodeBaseExec, Предпоследнюю позицию в рейтинге по результатам второго квартала заняло поведение Trojan-Clicker 7,36%. Trojan-Clicker потеряло 0,89% Packed. Это поведение стало единственным новичком рейтинга и вытеснило поведение Backdoor. На долю Packed пришлось чуть более 2% на 0,33% меньше, чем за предыдущий период. Самым популярным представителем данного поведения стал вредоносный объект Packed.JS.Agent.ab
Москва OAS: последняя линия защиты Распределение поведений вредоносных программ по результатам 2009 Q2 (данные on-access сканера).
Москва Статистика - детали Worm (17,12%). Основной вклад в их популярность внесли представители семейства Worm.Win32.AutoRun, которые распространяются на внешних носителях. Virus: его доля составила 9,64%, а прирост на 0,64%. Основной вклад в популярность Virus внесли лидеры предыдущих кварталов, сохранившие высокую активность: – Virus.Win32.Sality.aa - обычный файловый вирус, вызвавший эпидемию в последнем квартале прошлого года – Virus.Win32.Virut.ce. Интересной мишенью атаки в виде web- серверов и многоходовым механизмом заражения Net-Worm. На него пришлось 8,37% от всех обнаруженных OAS вредоносных программ, что почти на 2% больше результатов прошлого квартала. Такой популярностью поведение обязано Net- Worm.Win32.Kido.ih.
Москва География Распределение вредоносных доменов по странам
Москва Игры
Москва Атаки на антивирусы
Москва Резюме Современные вредоносные программы отличаются многообразием способов распространения. В настоящее время, когда среднестатистический пользователь использует большое количество клиентов (почта, веб, интернет-пейджеры, P2P и т.д.), очень важно уделять внимание защите каждого канала передачи данных. В каждом трафике свои зловреды, свои пути проникновения и заражения компьютера. Современные антивирусы уже давно перестали быть простыми сканерами: на многообразие вредоносного контента необходимо отвечать многообразием подсистем защиты. Неверно думать, что если включена какая-то одна из них, то пользователь будет защищен. Когда речь идет о защите от современных вредоносных программ, лишней защиты не бывает!
Москва Информация в Интернет: av-school.ru securelist.com kaspersky.com Информация
Москва Спасибо! Вопросы? Станислав Шевченко, зам. директора по исследованиям и разработке, директор проекта «Антивирусная школа – новый источник IT-знаний» Kaspersky Lab