Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 100 в этом номере: Новости Спам - статистика за период 16 - 22 мая 2005 г. Qurb 3.0 100!!! 100 выпусков - это, конечно, не 100 лет, тем не менее, это юбилейный номер, с чем мы всех и поздравляем! Нам было бы интересно узнать, какие материалы нашего журнала Вам запомнились, какие были полезны или просто любопытны. И еще - о чем Вы хотели бы прочитать в Спамтесте? Будем рады Вашим письмам, вопросам, пожеланиям. Редакция PS Начиная с этого выпуска, журнал будет выходить по четвергам. Новости "Нацистское вторжение" Sober.q 17.05.2005 Миллионы писем нацистского содержания разослал новый вариант червя Sober - Sober.q. Распространяется вредоносная программа при помощи предшествующей версии червя, Sober.p, содержащей функцию загрузки файлов с нескольких интернет-сайтов. Волна политического спама поднята Sober.q через две недели после массового распространения Sober.p. Новый червь поражает лишь те компьютеры, которые уже заражены Sober.p, однако разосланные им спамовые письма буквально заполонили ящики немецких пользователей: по некоторым оценкам, они составили 84% всех спамовых писем. Sober.q представляет собой модификацию исходного кода почтового червя Email-Worm.Win32.Sober, однако не содержит функции распространения своего тела в виде вложенных в письма файлов. Будучи запущенным и активизированным на атакуемом компьютере своим предшественником, Sober.q копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра и ключе, отвечающем за запуск исполняемых файлов. Помимо этого, он создает несколько вспомогательных файлов с разными именами в системном каталоге Windows. Затем Sober.q сканирует файловую систему пораженного компьютера и записывает в специальные файлы все найденные адреса электронной почты, за исключением принадлежащих крупным разработчикам антивирусного и прочих видов программного обеспечения. Затем вредоносная программа рассылает по всем найденным адресам, относящимся к доменным зонам de, ch, at, li и gmx письма с текстами радикально-политического толка на немецком языке, отправляя по всем прочим адресам англоязычные послания. В теле червя содержится несколько десятков различных вариантов текстов для рассылок такого рода. Кроме того, в рассылаемых письмах содержатся ссылки на немецкие сайты расистского толка. Многие из них ведут на главную страницу сайта праворадикальной Национально-демократической партии Германии, на которой красуется лозунг "Германия для немцев". Судя по всему, политическая спам-атака приурочена к 60-й годовщине окончания второй мировой войны: в письмах встречается упоминание о бомбардировке Дрездена в 1945 году и другие политические темы, имеющие отношение к этой войне. Аналогично предыдущим вариантам червя, Sober.q пытается загрузить произвольные файлы с нескольких интернет-ресурсов. Некоторые эксперты полагают, что автор вируса преследовал сугубо политические цели. Однако у него остается возможность в будущем использовать сеть зараженных машин для коммерческих целей - спам-рассылок и осуществления атак на сайты. Источник: eWeek Источник: "Лаборатория Касперского" Netscape выпускает браузер с защитой от фишинга 19.05.2005 Финальная версия веб-браузера Netscape 8 защитит пользователей от фишинга и сайтов, на которых можно "подхватить" шпионское ПО. Известно, что фишеры, активно используют спамовые мошеннические письма со ссылками на фальшивые веб-страницы, имитирующие легитимные сайты, на которых они выманивают у пользователей персональные данные. Не чураются фишеры и программ-шпионов, с помощью которых получают информацию о персональных данных, которые пользователь вводит при посещении определенных сайтов. Netscape обещает, что финальная версия браузера, как и предыдущие, будет включать средства усиленной защиты системы. Netscape 8 автоматически устанавливает параметры защиты от онлайн-злоумышленников, пользуясь списком известных веб-сайтов, подозреваемых в использовании схем фишинга или хостинге шпионского ПО. Если пользователь попытается выйти на сайт, занесенный в черный список, на панели появится красный сигнал. При посещении безопасного сайта сигнал будет зеленым. Netscape обещает, что черный список веб-сайтов будет регулярно обновляться. Netscape 8 основан на браузере с открытым исходным кодом Firefox и по умолчанию использует механизм этого браузера Gecko. Netscape надеется воспользоваться успехом Firefox, который вышел в ноябре и был загружен уже 57 млн раз. Новое ПО поддерживает и механизм браузера Internet Explorer. Безопасные веб-сайты отображаются с меньшим числом ограничений, а для максимальной совместимости по умолчанию они отображаются посредством механизма Internet Explorer. Источник: ZDNet "Яндекс" выходит на рынок корпоративных систем защиты от спама 20.05.2005 Компания "Яндекс" объявила о выпуске корпоративного продукта "Спамооборона". Новый продукт представляет собой серверное решение для фильтрации спама. Основой продукта стала технология "Спамооборона", уже несколько лет защищающая ящики пользователей "Почты Яндекса". По заявлению разработчиков, основными свойствами системы являются высокая точность фильтрации, актуальная база знаний о спаме и наличие гибких настроек. Обещана эффективная фильтрация как русскоязычного спама, так и мусорных сообщений на других языках. Работает решение на операционных системах FreeBSD и Linux и поддерживает такие почтовые серверы, как SendMail, CommunigatePro и QMail. После установки на сервер "Спамооборона" присваивает всем письмам, определенным ею как спам, соответствующий заголовок. По этому признаку письма можно легко сортировать. Тиражировать, распространять и поддерживать новую антиспамовую систему будет эксклюзивный дистрибьютор - компания "ДиалогНаука". В продажу "Спамооборона" поступила 19 мая. Защита почты обойдется корпоративным пользователям в 1 доллар США за один ящик в месяц. Источник: Компьюлента PS Комментарий Игоря Ашманова можно посмотреть здесь. Спам-машина образца Sober.q 20.05.2005 Sober.q превращает зараженные компьютеры в весьма эффективные спам-машины. Эксперт Symantec Альфред Хьюгер (Alfred Huger) полагает, что зараженные Sober.q машины способны рассылать по 10000 спамовых писем в час и уже распространили "десятки миллионов" сообщений. 17 мая в Германии эти письма составили 84% всего спама, а особо "везучие" пользователи получали сотни таких посланий. Эксперты McAfee считают сам вирус не опасным: Sober.q не распространяет себя, не заражает другие компьютеры и может инфицировать только машины, ранее зараженные Sober.p. Вредоносная программа широко распространилась в Европе, инфицированы были также компьютеры в США и в Азии. Однако эксперты полагают, что зараженные машины могут использоваться и в дальнейшем: возможна очередная рассылка спама с использованием sober.q или атака еще одного червя на машины, инфицированные sober.p. Кроме того, не исключено проведение DoS-атак с уже существующих ботнетов. Источник: TechNewsWorld Источник: The Register Охота на зомби начинается 24.05.2005 Федеральная торговая комиссия США (FTC) и 35 правительственных организаций более чем в 20 странах мира намерены объединиться в борьбе с зомби-машинами, рассылающими спам. Для победы над армией зомби им потребуется помощь ISP. FTC подчеркивает, что затрояненные машины пользователей, которые без ведома хозяев используются спамерами, становятся все более серьезной проблемой. Зомбированные машины дают возможность спамерам не только рассылать миллионы писем, но и скрывать истинные источники рассылок, уходя от судебного преследования. FTC и ее партнеры объявили о начале международной операции, направленной на искоренение зомби. С этой целью 36 правительственных агентств в разных странах мира разошлют письма более чем 3000 ISP. Письма будут разъяснять опасность наличия зомбированных машин в сетях провайдеров и призывать ISP принять необходимые меры по защите компьютеров их клиентов от использования в качестве спам-машин. Для борьбы с армией зомби провайдерам предлагается: по возможности блокировать 25-й порт, используемый для электронной почты; контролировать и ограничивать объем пересылаемой почты; идентифицировать компьютеры, с которых рассылается необычно много писем, и выяснить, не являются ли они зомби-машинами для рассылки спама; при необходимости заблокировать доступ в Интернет зараженным машинам, пока они не будут очищены от троянов; научить пользователей, как им обеспечить безопасность компьютеров; предоставить клиентам необходимые инструменты для очистки компьютеров от вредоносных программ. Следующая фаза операции предполагает идентификацию как зомби-машин во всем мире, так и провайдеров, в сетях которых эти машины находятся. Организации, участвующие в проекте, намерены уведомлять таких провайдеров о наличии проблемы в их сетях и добиваться принятия необходимых мер для ее решения. Помимо США в проекте принимают участие Албания, Аргентина, Австралия, Бельгия, Болгария, Германия, Греция, Дания, Ирландия, Испания, Канада, Колумбия, Кипр, Корея, Литва, Малайзия, Нидерланды, Норвегия, Панама, Польша, Перу, Швеция, Тайвань, Япония и Великобритания. Китай, где стремительно растет число зомби-машин, в списке стран-участниц отсутствует. Источник: FTC Спам - статистика за период 16 - 22 мая 2005 г. Ашманов и Партнеры Объем спама и тематические особенности Уровень спама колеблется в пределах 80-86% от общего объема почтового трафика Рунета. Спамеры неожиданно активно отреагировали на события в России, имеющие политическое значение - судебный процесс против компании ЮКОС. Поскольку процесс движется к развязке и о нем активно пишут в прессе, в том числе и в зарубежной, спамеры произвели несколько рассылок от имени "представителей" ЮКОСа, в которых предлагается получить 30% наличными от фондов ЮКОСа за помощь в их обналичке за рубежом. Все эти рассылки англоязычные, т.е. рассчитаны на западного пользователя. Интересен разброс сумм, в которые спамеры оценивают стоимость фондов ЮКОСа - от 18 до 50 миллионов долларов США. Очевидно, что цифра изобретается спамером самостоятельно, в зависимости личных представлений о том, что такое "много денег". В остальном тематический состав спама остается без изменений. Поскольку впереди уже виднеется традиционный летний "мертвый сезон" для учебы - июль и август, - представители учебных учреждений и организаторы курсов стараются по максимуму использовать оставшийся месяц. В результате активизировались предложения курсов и семинаров. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Разные товары и услуги Предложения других товаров и услуг 29% +4% 2 Образование Реклама семинаров, тренингов, курсов 20% -2,5% 3 Остальной спам   14,5% -8,5% 4 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 12,5% +4% 5 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 10% +5% 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,5% +1,5% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,5% -1% 8 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online Менее 2% -0,5% 9 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -2% 10 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. Менее 2% -1% Наши любимые спамеры В честь юбилейного выпуска журнала "Спамтест" редакция решила выбрать и показать читателям лидеров наших традиционных разделов - "самый-самый спам". Это наиболее массовые, удачные и оригинальные рассылки практически за все время работы бесплатного сервиса по фильтрации спама. Самый... спамерский спам Спам Комментарий журанала "Спамтест": несмотря на оригинальны вид и кажущуюся бессмысленность, это вполне реальная спамерская рассылка. Цель ее - замусорить почтовые ящики пользователей и продемонстрировать "пробиваемость" некоторых антиспам-фильтров. СпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпам СпамСпамСпамСпамСпам СпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпам СпамСпамСпамСпамСпам СпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпамСпам СпамСпамСпамСпамСпам за, против и другие подводные камни Добрый день. Это мы, извините за прямоту, спаммеры. Соответственно, предлагаем услуги по рассылке писем. По приемлемым, можно сказать - низким ценам. Мы сможем помочь Вам в продвижении Вашего бизнеса! Если тратите больше 3000$ в месяц на СПАМ С М Е Н И Т Е С П А М Е Р А Вам надоело низкое качество рассылок? Тогда спешите связаться с нами т.к. мы можем взять только 2-х мощных клиентов! Если ваш бюджет рассылок превышает 3000$ в месяц - значит вы наш клиент!!! Своих клиентов можем обеспечить не закрываемым за СПАМ хостингом! Самый массовый спам Реклама Центра Американского Английского Комментарий журнала "Спамтест": лидерами по массовости и частоте рассылок, безусловно, являются Центр американского английского, грузчики и продавцы "вечных" фонариков и ручек с исчезающими чернилами. Поскольку все они уже неоднократно фигурировали в наших выпусках, то здесь мы ограничились только одним примером. Рассылок от имени Центра американского английского было много, и все они отличались разнообразием. Вот один из образцов этого спама, характерный для ЦАА, - спам, замаскированный под личное письмо, случайно пришедшее не тому адресату. Тебе привет от Славика и Юли, ну с которыми мы Новый год справляли. Кстати я от них же узнал где они английский учили, ты тут как раз недавно спрашивал, так вот телефоны того центра: {PHONE NUM} Я тоже кстати собираюсь подтянуть знания, так что вместе будем ходить. Самые оригинальные предложения Продаём маневровый тепловоз Приносим Свои извинения, если данное сообщение о продаже тепловоза Вас не заинтересовало. Продаём маневровый тепловоз ТГМ40-М с двигателем 1Д12. 1989 г.выпуска. С 1993 г. тепловоз на консервации. Он находится в очень хорошем состоянии, полный бандаж (нет износа колёсных пар), все документы в порядке. Тепловоз находится в Хабаровске. Петька уже ослеп ! ОСЛЕПИТЕЛЬНЫЕ УСПЕХИ В ПУЛЕМЁТНОЙ МАШИНОПИСИ Д е с я т и п а л ь ц е в о е совершенство за 5 дней - на всю жизнь! При скорострельности до 300 ударов в минуту бесплатное повторение удовольствия! ТРЕНИНГ "ЗОЛОТОЙ ДЯТЕЛ" - - на порядок эффективнее известных клавиатурных тренажеров! У тачанок нет тормозов! ДОБРОВОЛЬЦЫ! ЗА ТЕЛЕФОН: {PHONE NUM} Для строящихся повзводно и поротно: {PHONE NUM} (к о p п о p а т и в н ы е т р е н и н г и) Мы как всегда на "Парке Победы"! За клавишами маэстро: Алексей Васильев Вы все еще печатаете тремя пальцами? Тогда мы идем к вам! (Чапай с нами!) t о л ь к о з в о н и т ь ! помогите мне Помогите бедному студенту.     кошелеквЯндексденьги:{NUM}                      имя:Сергей                          Email: {MAILTO} Самый нечитаемый спам Ответ прост 2296274593ZIdudEIM9FjbUIETeehrIhcVGQAiMgwCFS8CCxkaN1wLBQПоочеему же так выгоодны массоовые рассылки по e-mail? Отввет просст - это воозможность досставить Вашу рекламу тысячам, и даже миллионам поолучателлей за доволльно коротккое вреемя. Главный сеекрет успееха реекламнной рассылки заключаеттся в исппользовании сввежих баз данных реальнно сущесттвующих e-mail адресоов. Мноогие наши коонкуреенты испоользуют устареввшие базы данных и откклик от реекламнной рассылки осставляет жеелать лучшеего. Мы же преедлагаем тольько качесттвенный серрвис и настрроены на работу с постоянными клиентами. Ессли Вы хоотите разосслать сввою реекламу по элекктронной почте, мы готоовы предлложить сввои услуги. Поззвоните нам по телеффону {PHONE NUM}874351581E5rttDt3mtXbFGFzKJHdIhcVGQAiMgwCFS8CCxkaN1wLBQ Qurb 3.0 По материалам PC Magazine Qurb 3.0 - еще один антиспамовый продукт, который попал в категорию "выбор редакции" PC Magazine. Компания: Qurb, Inc., http://www.qurb.com Рейтинг редакции PC Magazine: 4 (very good) Qurb блокирует спам простейшим способом: он пропускает сообщения от известных отправителей и помещает в карантин остальную почту - и никаких попыток анализировать содержание сообщений! По мнению экспертов PC Magazine, у такого подхода есть свои преимущества: важные письма никогда не будут отнесены к спаму, поскольку они "выглядят как спам", а спам, замаскированный под обычное сообщение, не проскочит в почтовый ящик получателя. Отвержение всех писем, пришедших с незнакомых адресов, может оказаться не лучшим вариантом, особенно для деловой переписки. Qurb дает возможность добавлять внутренний домен в белый список, - например, чтобы получать письма от любого сотрудника компании. Для незнакомых отправителей Qurb может генерировать запрос, на который отправителю просто надо ответить. После получения ответа Qurb пропускает исходное сообщение и добавляет отправителя в список проверенных корреспондентов. Пользователь может сам написать запрос и настроить Qurb на автоматический ответ на аналогичные запросы от других пользователей Qurb. Последняя версия Qurb - 3.0 - значительно усилена по сравнению с предшествующей 2.0: отмечаются письма, прошедшие SPF-аутентификацию, ставится предупреждение на мошеннические письма, автоматически блокируются письма, неоднократно приходящие со спамерских адресов. Кроме того, предлагается система поиска сообщений, контактов и других данных, имеющих отношение к почте. Однако, как отмечают эксперты, "базовая простота" при всех нововведениях не потеряна. Qurb работает с Microsoft Outlook и Outlook Express и с почтовыми аккаунтами POP3 или Exchange (но не IMAP). Для начала работы ПО сканирует адресную книгу пользователя или его почтовый ящик, поэтому обязательно надо очистить всю входящую корреспонденцию от мусорных писем до начала работы с Qurb. Адреса, на которые пользователь отправлял сообщения, также автоматически попадают в белый список. Письма от отправителей, чьи адреса не присутствуют в белом списке, помещаются в специальную карантинную папку. Сигнал о приходе таких писем Qurb может заблокировать. Через определенные пользователем интервалы времени Qurb будет напоминать о поступлении в карантинную папку новых писем и показывать их (только новые) в специальном окне. В этом окне отображаются имя отправителя сообщения, тема письма, время и дата его получения. Начало текста письма отображается только при наведении курсора на чек-бокс. "Хорошие" сообщения пользователь должен отметить, поставив галочку в чек-боксе. Не отмеченные письма автоматически удаляются через определенный интервал времени (по умолчанию - через 30 дней). Если пользователь случайно заблокировал нужное письмо, его можно легко найти с помощью системы поиска. Когда с одного адреса приходит три и более писем, которые пользователь не принимает, Qurb автоматически заносит отправителя в черный список. Письма с адресов из черного списка блокируются (не показываются пользователю). Прошедшие SPF-аутентификацию письма маркируются зеленым значком. Письма, не прошедшие аутентификацию, отмечаются красным знаком вопроса и замечанием "Not Verified". При тестировании в карантин попали шесть мошеннических писем, замаскированных под сообщения PayPal. Qurb отметил как подозрительные некоторые из них, однако не все. Итог: По мнению экспертов PC Magazine, Qurb - лучшее антиспамовое решение на основе белого списка: письма от известных отправителей проходят в папку "Входящие", а остальные сообщения попадают в карантин. При таком подходе нужное письмо никогда не будет заблокировано на том основании, что оно "выглядит как спам", а спамовые письма, замаскированные под личные сообщения, не попадут в почтовый ящик получателя. Версия 3,0 поддерживает SPF-аутентификацию и встроенную систему поиска. Однако Qurb может заблокировать легитимное сообщение от неизвестного отправителя, если он не ответит на присланный запрос. За: Сообщения от неизвестных отправителей помещаются в карантин с возможностью запроса. Хорошее отображение помещенных в карантин писем с безопасным предпросмотром. Помечаются письма, прошедшие SPF-аутентификацию, и подозрительные мошеннические письма. Против: Может блокировать автоматически сгенерированные подтверждения, которые в некоторых случаях пользователь хотел бы получить. Может заблокировать легитимное письмо, если отправитель не ответит на запрос.   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004