Успехи и анализ тенденций



Скачать 213.51 Kb.
Pdf просмотр
страница2/3
Дата30.11.2016
Размер213.51 Kb.
Просмотров806
Скачиваний0
1   2   3
Новые компьютеры: в отличие от общего количества компьютеров, с которых в период работы одного выпуска были удалены вредоносные программы, это количество новых компьютеров, с которых вредоносные программы удалялись новым выпуском средства MSRT в первый раз. В данном случае слово «новых» относится к компьютерам, с которых вредоносные программы еще ни разу не удалялись средством MSRT. Ни для одного из выпусков этот показатель не будет превышать общее число компьютеров, с которых удаляются вредоносные программы. Поскольку данный показатель отражает число компьютеров, с которых были удалены вредоносные программы, первый выпуск, для которого имеются данные, — это выпуск июля 2005 г. Обратите внимание на то, что если пользователь переустановит систему на своем компьютере, то такая система будет считаться «новой». Что касается данного отчета, то расхождения, вызванные этой причиной, полагаются небольшими в связи с этим не принимаются во внимание.

9
На основании данных, представленных на рис. 3, можно сделать ряд наблюдений:
• Увеличение числа удаленных вредоносных программ и компьютеров, с которых были удалены вредоносные программы, связано с увеличением количества запусков средства MSRT (как показано на рис. 1), а также с увеличением количества обнаруживаемых средством MSRT семейств распространенных вредоносных программ и их вариантов. В частности, в последних выпусках начиная с ноября 2005 г. обнаруживается серьезное увеличение количества операций очистки. Увеличение каждого из показателей связано с внесением в базу средства MSRT одного или нескольких новых семейств распространенных вредоносных программ. Поскольку некоторые из этих семейств были известны ранее и определить время первого заражения компьютера невозможно, было бы неверно расценивать эти данные как свидетельство увеличения числа вредоносных программ.
• Ноябрь 2005 г.: семейства Win32/Mabutu, Win32/Codbot и Win32/Bugbear
• Декабрь 2005г.: семейство WinNT/F4IRootkit
• Январь 2006 г.: семейство Win32/Parite
• Февраль 2006 г.: семейство Win32/Alcan
• Сопоставив данные на рис. 1 с данными на рис. 3, мы увидим, что для последнего выпуска средства MSRT
(март 2006 г.) число зараженных компьютеров на общее число операций проверки составляет 0,28 %. Другими словами, средство MSRT удаляло вредоносные программы приблизительно с каждого 355-го компьютера, на котором оно запускалось. Этот же показатель в среднем за весь период с июня 2005 по март 2006 составляет 0,32 % или приблизительно один из каждых 311 компьютеров. Для всех оцениваемых выпусков этот показатель остается примерно одинаковым с максимальным значением, равным 0,4 %, в августе 2005 г. и минимальным, равным
0,24 %, в сентябре 2005 г.
• Большинство компьютеров, с которых средство MSRT удаляло вредоносные программы, — это компьютеры, с которых эти программы удалялись впервые. И наоборот, количество компьютеров, с которых средством
MSRT повторно удалялись какие-либо вредоносные программы, является относительно низким. К примеру, для выпуска марта 2006 г. приблизительно 600 000 из 750 000 (80 %) компьютеров, с которых удалялись вредоносные программы, были новыми. С компьютеров, до этого уже подвергавшихся чистке с использованием более ранних выпусков средства MSRT, вредоносные программы удалялись в 20 % случаев. В это число входят компьютеры, зараженные другим семейством или вариантом вредоносной программы или повторно зараженные тем же самым вариантом вредоносной программы (как правило, вследствие неустановленного исправления или в результате удачного использования «социальной инженерии»).
Количество вредоносных программ в пересчете на отдельный компьютер
Еще один интересный показатель — это количество различных вариантов вредоносных программ, удаленных с каждого компьютера. В большинстве случаев средство MSRT удаляло с компьютера только один вариант вредоносной программы. Тем не менее в некоторых случаях с компьютеров удалялись десятки и даже сотни вредоносных программ.
Рис. 4. Различные варианты вредоносных программ, удаленные с отдельного компьютера
На рис. 4 показано количество компьютеров, с которых всеми запущенными выпусками средства было удалено определенное количество уникальных вариантов вредоносных программ. К примеру, если один и тот же вариант вредоносной программы был дважды удален с компьютера, то он учитывается на рис. 1 один раз. Используя данные на рис. 4, можно определить, что среднее количество удаленных с отдельного компьютера вариантов вредоносных программ составляет 1,59. Другими словами, средство
MSRT в среднем удаляет с отдельного компьютера немногим больше, чем один вариант вредоносной программы.
Компьютеры с большим числом удалений обычно заражены несколькими вариантами программ- роботов, возможно, потому что после заражения

10
компьютера пользователя одной такой программой ее владелец использует полученную возможность для заражения того же компьютера другими похожими программами.
Win32/Antinny, вирус-червь одноранговой сети, атакующий практически только японские компьютеры, также является угрозой с большим количеством случаев заражения в расчете на отдельный компьютер. Причина заключается в том, что вирус-червь Antinny использует ряд приемов «социальной инженерии» для убеждения пользователя загрузить и запустить вирус-червь. Поэтому пользователь, однажды запустивший вирус-червь и заразивший свой компьютер, скорее всего, сделает это еще не раз.
Сведения об удаленных вредоносных программах
В этом разделе предоставлена подробная информация о том, каким образом данные, представленные в предыдущих разделах, связаны с 61 семейством вредоносных программ, которые могут быть обнаружены и удалены средством MSRT.
Рис. 5. Вредоносные программы и очищенные компьютеры по семействам вредоносных программ
Рис. 5 содержит список из 61 семейства вредоносных программ, которые может обнаруживать выпуск средства MSRT за март 2006 г. Кроме того, на нем представлена следующая информация:
• Количество удалений определенного семейства вредоносных программ с компьютера в период с января 2005 г. по март 2006 г. Семейства следуют в порядке уменьшения количества удалений.
• Число отдельных компьютеров, с которых было удалено семейство вредоносных программ в период с июня 2005 г. по март 2006 г.
• Выпуск средства MSRT, при помощи которого впервые стало возможно обнаружить то или иное семейство вредоносных программ.
• Год и месяц обнаружения первого варианта, входящего в определенное семейство.

11
Вот несколько любопытных комментариев к данным, представленным на рис. 5.
• Несмотря на то что семейства Win32/Parite, Win32/Alcan и WinNT/F4IRootkit были внесены в базу лишь последних пяти выпусков средства MSRT, число их удалений является одним из самых высоких. Parite, вирус, заражающий файлы, вызывает наибольший интерес, поскольку он впервые появился в 2001 году и распространен до сих пор. По всей видимости, это объясняется сложностью полного удаления вируса Parite с компьютера, а также скоростью, с которой он поражает файлы. На самом деле, очевидной связи между числом удалений семейства и тем, когда оно впервые было обнаружено или занесено в базу данного средства, не существует.
• Программы-роботы (Rbot, Sdbot и Gaobot) занимают три из пяти первых мест по общему числу удалений. Уровень распространенности трех этих семейств вредоносных программ еще раз подтверждает выводы аннотации о способности программ-троянов проникать на компьютеры.
• Вирус-червь Win32/Antinny, находящийся в списке под номером 12, распространяется посредством японской сети обмена файлами. Тот факт, что этот вирус-червь, паразитируя только на системах на японском языке и входя в базу лишь последних шести выпусков, занимает такое высокое место, означает, что он был довольно широко распространен в Японии. Этот вирус также является примером угрозы, связанной с определенными языком и территорией.
• Win32/Alcan, малоизвестный вирус-червь, распространяющийся при помощи одноранговых сетей, уже сейчас обладает одним из самых высоких показателей по числу удалений, хотя он был добавлен в базу средства MSRT лишь в феврале
2006 г. Вероятно, уровень распространенности данного вируса-червя связан с используемым им набором достаточно эффективных приемов «социальной инженерии», включающим маскировку под приложение, которое после запуска сталкивается с ошибкой в процессе установки.
• Вирус-червь Win32/Zotob, использующий уязвимость, устраняемую бюллетенем по безопасности Microsoft MS05-039, был удален лишь с 6 132 компьютеров, став одним из наименее распространенных вирусов-червей, указанных в списке.
Это не удивительно, учитывая тот факт, что данной уязвимостью обладали только компьютеры с установленной системой
Windows 2000. По иронии судьбы вирус-червь Win32/Esbot (№ 30 в списке), который использует ту же уязвимость, удалялся с компьютеров в 10 раз чаще, чем Win32/Zotob, однако привлек к себе гораздо меньше внимания. Вирус-червь
Win32/Msblast, находящийся в списке под номером 10, является лидером по количеству удалений в категории программ, использующих уязвимости.
• Похожим образом обстоят дела и с семейством rootkit-программ Hacker Defender, которое привлекает большое внимание как одно из самых «заметных» rootkit-семейств, но при этом является одним из наименее распространенных и редко обнаруживается данным средством. Первое место по количеству удалений среди программ типа rootkit занимает семейство WinNT/FURootkit, которое часто используется, чтобы скрыть присутствие на компьютере программы-трояна.
Рис. 6. Количество компьютеров, с которых были удалены вредоносные программы определенного типа
На рис. 6 приведены данные, представленные на рис. 5, и классификация вредоносных программ, предложенная на рис. 2. Из 5,7 миллиона компьютеров, с которых были удалены вредоносные программы, более чем
3,5 миллиона (62 %) — это компьютеры, с которых средство MSRT удаляло программы-трояны. Как показали недавние серьезные расследования, злоумышленники часто используют нелегальных «Троянских коней» для заработка, они создают сети зараженных компьютеров и продают их в качестве пунктов для ретрансляции и распространения нежелательных сообщений, программ-шпионов и проведения атак типа «отказ в обслуживании». Кроме использования регулярно обновляемых антивирусных решений, пользователям также рекомендуется использовать двунаправленные брандмауэры для предотвращения утечки информации и удаленного наблюдения или управления, которые могут осуществляться посредством подобных программ.
В отличие от программ-троянов, программы типа rootkit были обнаружены на гораздо меньшем числе компьютеров, это число составляет примерно 780 000.
Однако оно уменьшается до 530 000, если не брать в расчет количество обнаружений программы WinNT/F4IRootkit.
Этот случай рассматривается отдельно, поскольку, хотя существуют вредоносные программы, которые незамедлительно начали использовать эту программу для маскировки своего присутствия на компьютере, компания Sony выпускала не пакет вредоносных программ, а средство защиты от пиратского копирования и рассчитывала на схему распространения

12
в розничной сети, а не на вирусную схему распространения. Данные, представленные здесь, относятся только к тем семействам вредоносных программ, которые могут быть обнаружены при помощи данного средства. Это относится и к другим категориям вредоносных программ, которые обнаруживаются средством MSRT. Хотя существуют известные программы типа rootkit, которые данное средство не обнаруживает ввиду их низкой распространенности, и, вероятно, неизвестные, которые пока не обнаруживаются средством, обратная связь с клиентами и данные наблюдений других предложений корпорации Майкрософт, таких как служба Windows Live OneCare и центр Windows Live Safety Center (бета- версия) свидетельствуют о том, что эти пять уже выявляемых средством MSRT семейств программ типа rootkit представляют собой весомую долю подобных программ, которые активно заражают большое количество компьютеров сегодня.
Лучший способ борьбы с программами типа rootkit — это профилактика. Пользователям рекомендуется постоянно обновлять базы антивирусных сигнатур, чтобы система защиты могла в режиме реального времени обнаружить и блокировать программу rootkit до того, как она будет установлена на компьютер. Кроме того, не рекомендуется работать на компьютере в режиме администратора. У пользователей, не являющихся администраторами, не будет возможности установить на свой компьютер большинство программ типа rootkit. Windows Vista™, операционная система корпорации
Майкрософт нового поколения, также обладает несколькими функциями, помогающими блокировать программам типа rootkit доступ к важным внутренним структурам системы. В случае если профилактика невозможна и компьютер уже заражен rootkit-программой, пользователю следует воспользоваться антивирусным продуктом или средством удаления, способным обнаружить и удалить ее. В этом случае пользователям (в особенности корпоративным) следует серьезно подумать над принятием дополнительных мер по устранению данной проблемы.
Среди угроз «социальной инженерии» электронная почта является одним из наиболее распространенных приемов, показанных на рисунке. Порядка 20 % проверенных компьютеров оказались заражены угрозой, способной распространяться при помощи электронной почты. Средство MSRT может обнаруживать и удалять три наиболее распространенных вируса- червя в мгновенных сообщениях (Win32/Bropia, Win32/Kelvir и Win32/Mytob), однако эти угрозы были обнаружены на относительно малом числе компьютеров (менее 250 000). Сравните это число с 450 000 компьютеров, с которых были удалены только два вируса-червя Win32/Alcan и Win32/Antinny, распространяющиеся посредством одноранговых сетей. Вредоносные программы, которые распространяются посредством одноранговых сетей (P2P), обладают способностью определять, установлены ли на компьютере популярные приложения для одноранговых сетей. Если установлены, то они, обычно используя ложные имена, создают свои копии в папках, используемых приложениями для одноранговых сетей для обмена файлами по сети. Таким образом вирус-червь распространяется по одноранговой сети. Кроме использования новейших антивирусных программ, лучшими способами борьбы с подобными угрозами «социальной инженерии» являются обучение пользователей и ограничение влияния угрозы путем работы в режиме обычного пользователя.
Одной из причин, по которым распространение вредоносных программ через службы обмена мгновенными сообщениями было не так успешно, как через одноранговые сети, является то, что в программы для обмена мгновенными сообщениями начали встраиваться функции, помогающие пользователю защититься от заражения вредоносными программами.
К примеру, программа MSN® Messenger 7 не позволяет пользователю отправлять исполняемые файлы определенного типа, а для перехода по ссылке в мгновенном сообщении требуется дополнительное подтверждение пользователя. Такие средства защиты пока не встраивались в клиентские программы для одноранговых сетей. Второй серьезной причиной этого является то, что приложения для одноранговых сетей, являясь механизмом для обмена файлами, гораздо больше приспособлены к распространению вредоносных файлов, тогда как программы обмена мгновенными сообщениями больше предназначены для пересылки сообщений.
Рис. 7. Одновременное заражение разными типами вредоносных программ
На рис. 7 показаны данные об одновременном обнаружении на компьютере разных типов вредоносных программ, перечисленных выше. На 1,0 % всех компьютеров, на которых при помощи средства MSRT был обнаружен вирус- червь в сообщении электронной почты, также был обнаружен вирус-червь одноранговой сети. И наоборот, в 1,9 % случаев обнаружения вируса-червя одноранговой сети также обнаруживался вирус-червь в сообщении электронной почты.

13
Наиболее частыми из всех представленных выше являются случаи одновременного заражения программами типа rootkit и программами-троянами. В 20 % случаев обнаружения программы типа rootkit на компьютере также обнаруживалась как минимум одна программа-троян. Благодаря этому можно проследить тенденцию к повышению числа программ типа rootkit, распространяемых или используемых программами-троянами. Кроме того, довольно высок процент обнаружения вируса-червя одноранговой сети одновременно с программой-трояном и вируса-червя мгновенных сообщений одновременно с программой-трояном. Эти высокие показатели не вызывают удивления, если учесть, что многие вирусы- черви одноранговой сети и вирусы-черви мгновенных сообщений при первом запуске на компьютере заражают его программами-роботами.
Изменения в статистике удаления вредоносных программ
Существует две причины, по которым следует отслеживать изменения в статистике удаления семейств вредоносных программ средством MSRT. Первой причиной является то, что это позволяет корпорации Майкрософт отслеживать уровни активности и распространенности отдельных семейств вредоносных программ. Увеличивающееся количество удалений семейств, уже давно внесенных в базу средства, свидетельствует об их распространении и активном выходе новых вариантов. Отслеживание изменений в статистике удаления также полезно, поскольку данные о снижении распространенности вариантов семейств вредоносных программ, обнаруживаемых средством MSRT, позволяют убедиться в его успешной работе. Даже принимая во внимание прочие возможные причины снижения распространенности, тот факт, что средство MSRT удалило с компьютеров большое количество экземпляров этих семейств вредоносных программ, уже говорит о том, что выпуск этого средства по крайней мере частично повлиял на снижение их распространенности.
Рис. 8. Изменения в статистике удалений семейства Win32/Rbot
Корпорация Майкрософт отслеживает изменения в статистике удаления вредоносных программ с помощью средства MSRT, опираясь на два описанных выше показателя. На рисунке 8 эти показатели представлены на примере семейства
Win32/Rbot. На этом графике данные на оси абсцисс связаны с календарными месяцами и годами. Календарные даты используются в данной модели для более эффективной демонстрации последовательности произошедших изменений.
Принимая во внимание то, что пользователи могут применять более старые версии средства
MSRT (хотя по прошествии 60 дней со дня выпуска начинает появляться окно предупреждения), подсчеты с использованием месяца выпуска средства MSRT могли быть искажены.
Изменения для отдельного семейства (черная пунктирная линия): изменения для отдельного семейства с момента его внесения в базу средства
MSRT до момента последнего выпуска. Этот параметр дает хорошее представление о том, как со временем менялась статистика удаления для каждого отдельного семейства, однако оно может быть искажено данными об активных семействах, которые насчитывали небольшое количество удалений на момент их добавления в базу средства. График содержит данные об общем числе удалений семейства Win32/Rbot в период с апреля 2005 г. по март 2006 г. С помощью этих данных можно подсчитать, что число удалений этого семейства за последние 11 месяцев возросло на 16 %. С учетом этой информации и данных рис. 5 можно сказать, что семейство Rbot является очень активным и распространенным. Необходимо учесть, что эта последовательность данных графически представляет сумму сплошных линий, находящихся под ней.
Усредненные данные об изменениях в период одного выпуска (сплошные линии): усредненные для всех выпусков данные об изменениях в статистике удаления определенного набора вариантов, добавленного в базу отдельного выпуска, с момента внесения в базу до выпуска последней версии средства. На этот показатель не влияют данные об активных семействах вредоносных программ с большим количеством удаленных экземпляров, и поэтому он представляет собой более удобное средство для определения того, насколько эффективны действия средства MSRT по сокращению числа существующих экземпляров семейства. На графике сплошные линии отражают количество удаленных экземпляров вариантов семейства Win32/Rbot, постепенно добавлявшихся к отдельным выпускам. Чем длиннее линия, тем раньше сведения были внесены в базу данного средства. К примеру, самая длинная линия темно-синего цвета обозначает первый набор вариантов Rbot, добавленный в базу данного средства. По этому графику можно сделать общий вывод о том, что после внесения в базу данного средства сведений о наборе вариантов Rbot количество удаленных экземпляров этого набора постепенно начинало снижаться. Если подсчитать изменения в статистике удаления каждого из наборов вариантов, а затем вычислить средние данные об этих изменениях, то обнаруживается, что с момента добавления этих данных в базу средства MSRT количество удаленных экземпляров вариантов Rbot сократилось примерно на 79 %.

14
Рис. 9. Изменения в статистике удаления вредоносных программ
На рисунке 9 показаны большинство семейств вредоносных программ, которые может обнаружить средство MSRT, а также два описанных выше фактора, влияющие на изменения в статистике удаления. Данные представлены в порядке возрастания в соответствии с процентными показателями для каждого семейства. Три семейства, добавленные в базу выпуска данного средства в марте 2006 г. (Win32/Atak, Win32/Torvil и Win32/Zlob), здесь не представлены, поскольку пока не было возможности отследить изменения в статистике их удаления. Кроме того, из списка исключены семейства Win32/Bofra,
Win32/Gibe, Win32/Opaserv, Win32/Badtrans и Win32/Zotob, поскольку для этих семейств количества удаленных экземпляров
(меньше тысячи) недостаточно для получения надежного показателя изменений.
Как видно из рисунка, распространенность большинства семейств (41 из 53) снизилась с тех пор, как они были внесены в базу средства MSRT, при этом распространенность 33 из 41 семейства снизилась на 50 %, а 21 из 41— более чем на
75 %. Из 12 семейств, ставших по общим показателям более распространенными, только три (Win32/Gael, Win32/Lovgate и Win32/Wukill) обнаружили в среднем тенденцию к стабильному повышению количества удаленных экземпляров для каждого из наборов вариантов, внесенных в базу средства MSRT. Оставшиеся девять семейств (включая семейство Win32/
Rbot, представленное на рисунке 8) продемонстрировали уменьшение числа удалений для каждого из выпусков. Вот еще некоторые комментарии к этим данным.
• Количество удаленных экземпляров программы WinNT/F4IRootkit, программы типа rootkit компании First4Internet, распространенной посредством музыкальных компакт-дисков Sony, начало быстро сокращаться после внесения сведений о ней в базу выпуска средства MSRT за декабрь 2005 г. Скорее всего, это связано с тем, что лишь небольшое число пользователей установили или переустановили эту программу с уязвимых компакт-дисков после освещения данного вопроса в СМИ.
• Быстрый рост числа удалений семейства Mywife связан с внесением в базу средства MSRT его варианта Win32/Mywife.E.
Вариант Mywife.E появился в конце января 2006 г. и фигурировал в СМИ под названиями CME-24 и «червь Kama Sutra».
Этот вирус-червь в основном распространялся при помощи электронной почты и в третий день каждого месяца поражал важные файлы данных. Количество удаленных экземпляров этой программы в период с января 2006 г. по февраль 2006 г. возросло с 700 до 92 000.
• Повышение количества удаленных экземпляров семейства Win32/Rbot связано с большим количеством его вариантов, вносимых в базу каждого нового выпуска средства MSRT. В среднем в базу данного средства каждый месяц вносилось примерно по 2 000 новых вариантов семейства Win32/Rbot.
• Увеличение количества удаленных экземпляров таких семейств, как Win32/Hackdef и Win32/Ryknos, связано с небольшим числом экземпляров в начале. Это объясняется тем, что изначально средство MSRT обнаруживало немного вариантов этих семейств. К примеру, при помощи выпуска средства MSRT за апрель 2005 г. можно было обнаружить 78 вариантов семейства Win32/Hackdef. В марте 2006 г. средство обнаруживало уже 439 вариантов этого семейства, что более чем на

15 400 % больше первоначального количества вариантов. Число удалений за то же самое время выросло с 3 000 до 30 000.
И хотя количество удаленных экземпляров семейства Hackdef все еще остается относительно низким по сравнению с другими семействами вредоносных программ, оно заметно выросло после того, как сведения об этом семействе были внесены в базу средства MSRT. Эти тенденции можно проследить по показателям, представленным на рис. 9. Такое значительное (842 %) увеличение количества удаленных экземпляров объясняется тем, что первоначально оно было очень мало. Уменьшение числа удалений семейств для каждого из выпусков составляет в среднем 31 %.

Каталог: download
download -> Составление простейшей программы в среде lego education. Запуск модели «Обезьянка барабанщица», «Рычащий лев», «Автомобиль»
download -> Функциональные части компьютера, история развития, базовая конфигурация
download -> Компьютер: друг или враг?
download -> Лекция №2 «Теоретические основы игры дошкольника» Зарубежные и отечественные теории игры
download -> Доклад муниципальное образовательное
download -> Литература для воспитанников стр. Приложения стр
download -> Министерство здравоохранения Республики Беларусь
download -> Игра как средство активизации познавательной активности учащихся в ходе изучения темы Алгоритмизация и программирование


Поделитесь с Вашими друзьями:
1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал