Рынок вредоносных программ заботится о своих клиентах
14-04-2012
Как показывает исследование Trusteer Research, рынок вредоносного ПО представляет собой настоящий «черный рынок» XXI века со всеми современными особенностями. В исследовании четко разграничиваются такие группы предложений этого рынка, как антивирусная проверка, шифрование вирусов и заражение вирусами. В то же время, обнаружены новые предложения по принципу «одного окна», где покупателям предлагается целый набор услуг, включая заражение машин на территории определенных стран, проверку доставляемых вирусами файлов на обнаружение новейшими антивирусами и полиморфное шифрование.
Исследователи из Trusteer Research приводят данные о ценах «черного рынка»: заражение машин стоит от 0,5 до 4,5 центов США в зависимости от географического положения целей. Полиморфное шифрование вирусных компонентов обходится заказчикам в 25-50 долларов за каждый вновь зашифрованный экземпляр файла, а проверка готовых к атаке компонентов на невидимость для актуальных коммерческих антивирусов стоит 20 долларов в неделю или 100 долларов в месяц.
Стоит подробнее описать структуру предложения и потребления «черного рынка». Во-первых, это рынок клиентов, которые сами диктуют цены и условия работы. Например, покупатель услуг по распространению вирусов и организации ботнета оплачивает только фактическое число уникальных заражений, рассчитанное с помощью собственной системы типа Black Hole. Предоплата доступна только для продавцов, имеющих рекомендации (1-10 «свежих» сообщений на специализированных форумах) – остальным оплата производится только по факту. В результате цена на комплексное обслуживание зависит от процента поражаемых машин при массовой атаке: при заражении 3% от атакованных машин цена составляет 4,5 доллара за тысячу заражений, при 4% - 6 долл. за тысячу, а при заражении более 20% машин – 30 долл. за тысячу.
Что касается механизма работы купленных услуг, стоит обратить внимание на тот факт, что домены с источником атаки регулярно проверяют с помощью специального сервиса Scan4you. Если домен заносится в «черный список» антивирусных продуктов, заказчик автоматически переносит источник атак в другой домен. Существует даже возврат денег за шифрование вирусных компонентов, если они все-таки был обнаружены антивирусами по сигнатуре в течение гарантийного срока.
Анализируя данные Trusteer Research, можно лучше понять, почему оказались настолько массовыми эпидемии ботнет-червей типа Zeus. Дело в том, что производители антивирусов строят свою защиту на распознавании сигнатур – характерных особенностей файлов, в которых распространяются вирусы. Криминальные сервисы шифрования довольно эффективно решают эту проблему: код вируса остается тем же, но из-за примененных алгоритмов опознать его по старой сигнатуре уже невозможно, зато сами вирусные модули легко расшифровывают и применяют полученные обновления. В итоге вирусное заражение остается незамеченным, пока авторы антивирусов не идентифицируют новые зашифрованные компоненты уже известного вируса.
По материалам сайта блога компании Trusteer Research.
