Свыше 28% компьютеров в России пострадали от вредоносного ПО в 4 квартале 2015 г.

Софт Безопасность Пользователю Интернет
мобильная версия
, Текст: Татьяна Короткова

Согласно отчету Microsoft Security Intelligence Report, в четвертом квартале 2015 г. 28,7% компьютеров в России столкнулись с вредоносным ПО, тогда как в мире в целом показатель составил 20,8% за указанный период. Кроме того, Malicious Software Removal Tool (MSRT) обнаружил и удалил вредоносное ПО с 14,1 компьютера на тысячу в России (по сравнению с 16,9 в мире), сообщили CNews в корпорации Microsoft.

Представленная ниже статистика базируется на информации, полученной защитными программами и сервисами Microsoft, установленными на компьютерах в России, в течение четвертого квартала 2015 г. Данные предоставлены корпоративными и частными пользователями, которые согласились делиться такими данными с Microsoft с привязкой геолокации по IP-адресу, пояснили в компании.

Частота обнаружения и заражения компьютеров

Метрика 1Q15 2Q15 3Q15 4Q15
Частота обнаружения, Россия 23,2% 17,7% 22,8% 28,7%
Частота обнаружения в мире 17,6% 15,3% 17,8% 20,8%
CCM в России 4,7% 6,6% 5,2% 14,1%
CCM в мире 5,4% 8,4% 6,1% 16,9%

Источник: Microsoft Security Intelligence Report


График ниже показывает динамику показателей частоты обнаружений и заражений компьютеров в России за последние четыре квартала в сравнении со среднемировыми показателями.


Основные тренды в частоте обнаружения и заражения компьютеров

Типы вредоносного ПО

Самым распространенным типом вредоносного ПО в России в четвертом квартале 2015 г. стали троянские программы. Они были обнаружены на 16,6% компьютеров в стране по сравнению с 12,9% в предыдущем квартале. Вторым по распространенности типом вредоносного ПО в России стали загрузчики троянов и дропперы — они обнаружены на 4,1% компьютеров в стране по сравнению с 4% в предыдущем квартале. Наконец, третьим по распространенности типом вредоносного ПО оказались программы-обфускаторы и инжекторы — обнаружены на 3,5% компьютеров в стране по сравнению с 3,6% кварталом ранее.


Частота распространения вредоносного ПО в России в 4 квартале 2015 г. по категориям

Типы нежелательного ПО

В свою очередь, самым распространенным типом нежелательного ПО в России в четвертом квартале 2015 г., по версии Microsoft, стали модификаторы браузера. Они были обнаружены на 9,2% компьютеров по сравнению с 8,1% в предыдущем квартале. Вторым по распространенности типом нежелательного ПО в России стали инсталляторы нежелательных программ — они обнаружены на 5,9% компьютеров по сравнению с 2,5% кварталом ранее. Соответственно, третьим по распространенности типом данного ПО стало рекламное ПО — оно обнаружено на 3,2% компьютеров по сравнению с 2,4% в предыдущем квартале.


Нежелательное ПО, обнаруженное в России в 4 квартале 2015 г., по типам

Основные семейства вредоносного ПО по частоте обнаружения

Согласно отчету Microsoft, семейство вредоносного ПО Win32/Skeeyah (общее обозначение различных угроз, обладающих характеристиками троянских программ) было обнаружено на 3,4% участвовавших в исследовании компьютеров. Таким образом, оно оказалось самым распространенным семейством вредоносов в России в четвертом квартале 2015 г.

На втором месте — семейство Win32/Spursint, которое было обнаружено на 3,1% компьютеров. Win32/Spursint представляет собой программу, способную загружать другие вредоносные программы, заниматься «кликфродом» (обманные клики по рекламным ссылкам), запоминать нажатия клавиш пользователем, а также передавать информацию организаторам удаленных атак.

На третьем месте — семейство Win32/Obfuscator, обнаруженное на 3% компьютерах в России. Win32/Obfuscator представляет собой совокупное обозначение программ, целью которых является помешать анализу и обнаружению вредоносного ПО антивирусными программами. Для этого такие программы задействуют целый ряд различных методов, включая шифрование, сжатие данных, а также противодействие процессам исправления ошибок и эмуляции, пояснили в корпорации.

На четвертом месте оказалось семейство Win32/Peals — обнаружено на 2,9% компьютеров в стране. Win32/Peals представляет собой совокупное обозначение различных программ, обладающих характеристиками троянов.

Самые распространенные семейства вредоносного ПО в России в 4 квартале 2015 г.

Семейство Наиболее распространенная категория % от участвовавших компьютеров
1 Win32/Skeeyah Трояны 3,4%
2 Win32/Spursint Трояны 3,1%
3 Win32/Obfuscator Обфускаторы и инжекторы 3,0%
4 Win32/Peals Трояны 2,9%
5 Win32/Dynamer Трояны 2,3%
6 Win32/Dorv Трояны 1,9%
7 Win32/Ogimant Загрузчики троянов и дропперы 1,4%
8 Win32/Mytonel Загрузчики троянов и дропперы 0,8%
9 Win32/Sventore Загрузчики троянов и дропперы 0,7%
10 Win32/Bulta Трояны 0,5%

Источник: Microsoft Security Intelligence Report


Основные семейства нежелательного ПО по частоте обнаружения

В свою очередь, наиболее распространенным семейством нежелательного ПО в России в четвертом квартале 2015 г. в отчете Microsoft Security Intelligence Report называется Win32/SupTab (обнаружено на 5,3% компьютеров) — модификатор браузера, который устанавливает сам себя и меняет установленный по умолчанию в браузере поисковик без разрешения пользователя.

За ним следует семейство Win32/OutBrowse (на 2% компьютеров), которое представляет собой установщик пакетов программ, который устанавливает на компьютер дополнительное нежелательное ПО вместе с программами, которые пользователь хочет установить. Он может удалить или спрятать кнопку «Закрыть» в установщике, не дав пользователю возможности отказаться от установки нежелательных программ.

Замыкает тройку «лидеров» семейство Win32/EoRezo (на 1,9% компьютеров) — рекламное ПО, которое показывает таргетированную рекламу пользователям, просматривающим интернет-страницы, основанную на заранее заданной конфигурации.

Самые распространенные семейства нежелательного ПО в России в 4 квартале 2015 г.

Семейство Наиболее распространенная категория % от участвовавших компьютеров
1 Win32/SupTab Модификаторы браузера 5,3%
2 Win32/OutBrowse Инсталляторы нежелательных программ 2,0%
3 Win32/EoRezo Рекламное ПО 1,9%
4 Win32/Diplugem Модификаторы браузера 1,5%
5 Win32/Bayads Рекламное ПО 0,9%

Источник: Microsoft Security Intelligence Report


Основные семейства угроз по проценту зараженных устройств

Лидером по числу зараженных компьютеров в России в четвертом квартале 2015 г. стало семейство угроз компьютерной безопасности Win32/Diplugem — обнаружено и удалено на 10,2 компьютере из 1000, просканированных MSRT. Win32/Diplugem является модификатором браузера, который устанавливает расширения браузера без разрешения пользователя. Такие расширения показывают дополнительную рекламу во время просмотра интернет-страниц и могут вставлять дополнительную рекламу в результаты поисковых запросов.

Второе место исследователи присудили семейству угроз Win32/Blakamba — обнаружено и удалено на 0,7 компьютере из 1000. Win32/Blakamba — это троянская программа, которая загружает другое вредоносное ПО. Как выяснилось, она может устанавливаться совместно с пакетным установщиком программ Win32/InstalleRex.

Третье место досталось семейству Win32/CompromisedCert — обнаружено и удалено на 0,6 компьютере из 1000. Win32/CompromisedCert является обозначением для рекламной программы Superfish VisualDiscovery, предустановленной на ряде ноутбуков производства Lenovo, продававшихся в 2014 и 2015 гг. Она устанавливает на компьютер дефектный доверенный корневой сертификат, который затем используется при атаках на компьютер типа «атака посредника» (man-in-the-middle).

На четвертом месте оказалось семейство Win32/Dorkbot, которое было обнаружено и удалено на 0,4 компьютере из 1000. Оно представляет собой программу-червя, которая распространяется через системы мгновенных сообщений и съемные носители. Win32/Dorkbot также содержит встроенную бэкдор-функцию, которая позволяет злоумышленникам получать неавторизированный доступ к зараженному компьютеру и контроль над ним. Распространяется зловред через дефектные или вредоносные сайты, через PDF или уязвимости в браузерах.

Самые распространенные семейства вредоносного ПО в России по проценту зараженных устройств в 4 квартале 2015 г.

Семейство Наиболее распространенная категория Число очищенных компьютеров на тысячу
1 Win32/Diplugem Модификаторы браузера 10,2
2 Win32/Blakamba Трояны 0,7
3 Win32/CompromisedCert Другие вредоносы 0,6
4 Win32/Dorkbot Черви 0,4
5 Win32/Brontok Черви 0,3
6 Win32/Ramnit Вирусы 0,3
7 Win32/Peals Трояны 0,2
8 Win32/Mytonel Загрузчики троянов и дропперы 0,2
9 Win32/Sality Вирусы 0,2
10 Win32/Gamarue Черви 0,2

Источник: Microsoft Security Intelligence Report


Использование защитного ПО

«Последние версии MSRT анализируют сведения о состоянии защитного ПО на компьютере в режиме реального времени. Это позволяет понять особенности использования защитного ПО во всем мире и соотносить их с показателями заражения, — рассказали в Microsoft. — Обычно компьютер сканируется при помощи MSRT три раза за квартал, при каждой установке ежемесячного обновления инструмента, выпускаемого Microsoft».

На рисунке ниже шкала Protected обозначает компьютеры, на которых было активизировано защитное ПО в режиме реального времени и которые каждый раз обновлялись до новой версии MSRT в течение квартала. Intermittently protected обозначает компьютеры, на которых было активизировано защитное ПО во время одного или нескольких сканирований MSRT за квартал, но не всех трех. Наконец, шкала Unprotected обозначает компьютеры, на которых защитное ПО было отключено во время всех сканирований при помощи MSRT за указанный квартал, пояснили в корпорации.


Процент компьютеров в России и в мире оснащенных защитным ПО в 4 квартале 2015 г.

Вредоносные сайты

Как известно, злоумышленники зачастую используют интернет-сайты для проведения фишинговых атак и распространения вредоносного ПО. Вредоносные сайты обычно кажутся совершенно нормальными на первый взгляд и ничем не выдают наличия в них вредоносных программ даже для продвинутых пользователей. Во многих случаях это совершенно законные сайты, зараженные с помощью вредоносного ПО, внедрения SQL-кода или иными способами — злоумышленники таким образом пользуются доверием пользователей к этим сайтам, отметили в Microsoft.

Статистика вредоносных сайтов по России

Критерий 3Q15 4Q15
Сайты со скрытой загрузкой страниц на 1 тыс. URLs (в мире) 1,89 1,83
(0,22) (0,57)
Фишинговые сайты на 100 тыс. интернет-пользователей (в мире) 2,40 2,07
(4,7) (3,9)
Сайты, содержащие вредоносные программы, на 100 тыс. интернет-пользователей (в мире) 248,39 104,24
(56,2) (26,4)

Источник: Microsoft Security Intelligence Report


Для защиты пользователей от вредоносных сайтов, Microsoft и другие производители браузеров разработали фильтры, которые отслеживают сайты с размещенным на них вредоносным ПО или фишинговыми программами и выдают соответствующее предупреждение, когда пользователь хочет посетить их.

Microsoft Security Intelligence Report: итоги

Отчет Microsoft Security Intelligence Report в целом подтверждает тренды вредоносной активности, которые также наблюдают эксперты «Лаборатории Касперского». К примеру, всплеск вредоносного ПО традиционно пришелся на второй и четвертый кварталы 2015 г., которые в России всегда сопровождаются большим количеством праздников и отпусков, в преддверии которых растет число онлайн-покупок, а вместе с ним возрастает и активность банковских троянов и других финансовых угроз, нацеленных на кражу платежных данных пользователя.

Кроме того, топ-10 финансовых угроз наглядно демонстрирует, что злоумышленники по-прежнему реализуют классические сценарии атак «человек посередине» (Man-in-the-Middle) и используют браузер в качестве источника информации для получения платежных данных пользователя, отметили в «Лаборатории Касперского».

«Использование уязвимостей браузера, компрометация популярных веб-ресурсов и последующее размещение на них вредоносного кода, а также фишинговые сообщения электронной почты с вложениями остаются основными техниками киберпреступников, — прокомментировал представленные в отчете данные Денис Макрушин, антивирусный эксперт «Лаборатории Касперского». — Помимо такого базового совета, как использование актуальных версий защитного ПО и своевременная установка обновлений, необходимо еще повышать осведомленность и грамотность пользователей в сфере информационной безопасности. Понимание основных угроз и методик киберпреступников крайне важно для того, чтобы сохранять бдительность в Сети и принимать своевременные меры по защите ценных данных».

«Второй год подряд совместно IDC мы проводим анализ и подтверждаем, что существует тесная взаимосвязь между использованием нелицензионных программных продуктов и риском заражения вредоносным ПО, — добавил менеджер международной ассоциации по противодействию компьютерному пиратству (BSA | The Software Alliance) Алексей Черный. — Одного использования лицензионного ПО недостаточно для обеспечения информационной безопасности предприятия. Однако это крайне важный, первый шаг на пути построения защищенной ИТ-системы и установления контроля за использованием ее ресурсов. Внедрение политик по управлению программными активами (SAM) и регулярный мониторинг и анализ состояния программной и аппаратной инфраструктуры предоставит руководителям предприятий информацию о том, что установлено в сети и откуда можно ожидать атаку на корпоративные системы».