Ewolucja złośliwego oprogramowania I-VI 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania 2007

W pierwszej połowie 2008 roku do antywirusowych baz danych Kaspersky Lab dodał 440 311 programów, dla porównania w poprzednim półroczu liczba ta wynosiła 136 953. Natomiast całkowita liczba zagrożeń wykrytych w pierwszej połowie 2008 roku wzrosła trzykrotnie w stosunku do poprzedniego półrocza.

Statystyki wykorzystane w raporcie zostały stworzone przy użyciu wielu wpisów dodanych do antywirusowych baz danych firmy Kaspersky Lab w pierwszej połowie 2008 roku. W chwili obecnej branża nie wykształciła żadnego standardu obliczania liczby szkodliwych programów. Wykorzystywane są głównie dwie metody: obliczanie liczby unikatowych plików oraz obliczanie liczby wpisów lub sygnatur wykorzystywanych do wykrywania szkodliwego oprogramowania. Każde podejście ma swoje plusy i minusy. Obliczanie liczby unikatowych plików (np. tych posiadających unikatowy MD5) w kolekcji firmy antywirusowej jest dobrym sposobem na kalkulowanie liczby zagrożeń (należy zauważyć, że liczba unikatowych plików nie będzie równa liczbie wpisów). Wykorzystanie tej metody jest szczególnie uzasadnione w chwili obecnej, gdy ogromną większość współczesnych zagrożeń stanowią trojany, które nie modyfikują swojego ciała i nie infekują innych plików.

Eksperci jednak podkreślają, że znaczną część unikatowych plików będą stanowiły pliki zainfekowane wirusami plikowymi. Nawet jeśli dwa lub więcej plików zostało zainfekowanych przez tego samego wirusa, każdy plik nadal będzie posiadał unikatowy MD5. Liczbę unikatowych plików zwiększają również programy instalujące / droppery. Mimo że programy te same z siebie nie są szkodliwe, a pliki różnią się od siebie, dwa lub więcej plików nadal będzie zawierało ten sam program trojański. Liczbę unikatowych plików zwiększają również pliki skryptowe, html oraz dokumenty biurowe. Jednak nawet jeśli poszczególne pliki są unikatowe, jeżeli będziemy mieć do czynienia z tym samym zagrożeniem, dwa różne pliki będą wykrywane przy pomocy tego samego wpisu.

Jak już Kaspersky Lab wspomniał wcześniej, liczba sygnatur nie odpowiada liczbie unikatowych plików. Dodatkowo, liczba ta będzie różniła się w zależności od firmy antywirusowej ze względu na różnicę w stosowanych technologiach i silnikach. Jednak w przypadku analizowania danych jednej firmy antywirusowej, liczenie sygnatur jest najodpowiedniejszą metodą, dokładnie odzwierciedlającą trendy w ewolucji zagrożeń.

W pierwszej połowie 2008 roku firma Kaspersky Lab zidentyfikowała ponad 5 000 000 unikatowych plików. Ponad 440 000 wpisów dodanych do antywirusowych baz danych wykrywa wszystkie zagrożenia obecne w tych plikach, przy stosunkowo równomiernym rozkładzie liczby plików wykrywanych przez każdy wpis.

Biorąc pod uwagę obecne trendy w tempie pojawiania się nowych szkodliwych programów, do końca 2008 roku liczba unikatowych plików zawierających szkodliwe i potencjalnie niechciane programy może wynieść 15 000 000.

Szkodliwe programy

W pierwszej połowie 2008 roku analitycy z firmy Kaspersky Lab wykryli 367 772 nowych szkodliwych programów - 2,9 razy więcej niż w drugiej połowie 2007 roku. Średnio każdego miesiąca wykrywano 61 295,33 nowych szkodliwych programów. Ogólnie, liczba nowych programów wzrosła o 188,85%. Ten współczynnik wzrostu znacznie przewyższa współczynnik z 2007 roku, gdy wykryto o 114% więcej szkodliwych programów niż w 2006 roku.

Zgodnie z klasyfikacją firmy Kaspersky Lab, wyróżnia się trzy klasy szkodliwych programów:

• TrojWare: programy trojańskie, które nie potrafią rozprzestrzeniać się samodzielnie (np. backdoory, rootkity i wszystkie typy trojanów)
• VirWare: szkodliwe programy, które potrafią samodzielnie rozprzestrzeniać się (wirusy i robaki)
• Inne programy MalWare: programy wykorzystywane w celu tworzenia zagrożeń lub przeprowadzania ataków