Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 112 в этом номере: Новости Спам - статистика за период 08 - 14 августа 2005 г. "Цепная" атака Новости Более половины спама рассылается с зомби-машин 11.08.2005 Согласно информации компании MX Logic, 56% спамовых писем в июле были разосланы с компьютеров-зомби. Эта цифра несколько ниже аналогичных данных MX Logic за июнь, когда с зомбированных машин было разослано 62% спамовых писем, и соизмерима с долей таких спамовых писем в мае (55%). Таким образом, по данным MX Logic, в течение последних трех месяцев с зомби-машин рассылалась больше половины всего спама. Старший технолог компании MX Logic Скотт Чейсин (Scott Chasin) подчеркнул, что затрояненные компьютеры стали не только самым распространенным инструментом спамеров, но и основным источником "загрязнения" Интернета. Источник: TechWeb (Yahoo! News) Новая уловка фишеров 12.08.2005 В одной из последних атак фишеры использовали новую тактику: в электронных письмах, разосланных от имени PayPal, получателям было предложено переслать свои персональные данные факсом. По информации компании Sophos, в разосланных мошенниками письмах от имени PayPal сообщалось, что кто-то якобы пытался изменить пароль получателя. Чтобы оказать помощь в "расследовании", получателю фальшивки необходимо загрузить с веб-сайта форму (документ Microsoft Word), заполнить ее и отправить по факсу на бесплатный номер. Разумеется, при заполнении формы требуется информация о кредитной карте. Эксперты Sophos полагают, что появление нового приема фишеров связано с тем, что получатели стали более осторожными и подозрительно относятся к электронным письмам, в которых их просят ввести конфиденциальную информацию на веб-сайтах. Вероятно, мошенники понадеялись, что у их жертв не вызовет подозрений просьба отправить заполненную форму по факсу. Хотя, на первый взгляд, кажется, что с помощью номера факса "вычислить" мошенников будет просто, скорее всего, они спрятались достаточно хорошо - переадресуют звонки на другой номер, возможно, в другой стране, или еще каким-то образом. Представитель Sophos отметил, что фишеры постоянно ищут новые способы обмана пользователей и новые технические приемы. Основная тенденция - использование троянов и червей. Источник: CNET News.com Commtouch: спама становится больше 12.08.2005 Согласно данным компании Commtouch, в июле объем спама вырос на 20,2% по сравнению с предыдущими месяцами и на 43,2% превысил объем спама в июле 2004 года. В течение июля Commtouch зафиксировала около 35 миллионов спам-рассылок, что составляет в среднем около 1120000 рассылок в день. Для сравнения: в июле прошлого года ежедневно отмечалось в среднем около 791000 спам-рассылок. Самым "горячим" днем прошлого месяца, по данным Commtouch, было 19 июля, когда компания зафиксировала около 1645000 рассылок. Основным источниками спама по-прежнему остаются Китай, Южная Корея и США. Из европейских стран в июле было разослано 21,5% спама. "Горячая десятка" июля выглядит следующим образом: Китай - 19,29% Южная Корея - 16,93% США - 14,73% Бразилия - 4,50% Франция - 4,44% Тайвань - 3,90% Япония - 2,95% Испания - 2,90% Германия - 2,85% Великобритания - 2,15% Популярные тематики спама в июле, по данным Commtouch: Медикаменты - 31,16% Финансовый спам - 17,53% Средства для усиления потенции - 14,55% Порно-спам - 8,71% Реклама ПО - 8,53% Подарки и товары - 6,82% Компьютеры и электроника - 0,63% Ценные бумаги - 0,52% Данные Commtouch получены на основании информации Commtouch Spam Detection Center, который ежемесячно анализирует около 1,5 миллиардов спамовых писем. Источник: Commtouch На Украине запрещена рассылка спама 17.08.2005 В постановлении Кабинета министров Украины от 9 августа утверждены новые правила предоставления и получения телекоммуникационных услуг, в которых запрещается рассылать спам, а также заказывать и организовывать рассылки. В документе введен термин "спам", который определяется как предварительно не заказанные потребителями электронные сообщения, которые или являются массовыми, или в них не предоставлены достоверные данные о полном названии, собственном почтовом или электронном адресе заказчика или отправителя этих сообщений, или дальнейшее получение которых потребитель не может остановить путем информирования об этом заказчика или отправителя. Кроме этого, правилами запрещено использовать сетевые идентификаторы других лиц, фальсифицировать их, использовать несуществующие идентификаторы, совершать или содействовать действиям, которые препятствуют работе других потребителей услуг по доступу в Интернет или нормальному функционированию оборудования оператора, провайдера. Правилами также запрещено принимать участие в любых действиях, которые могут быть причиной прекращения или нарушения функционирования какого-либо элемента Интернет. Действие правил распространяется на отношения операторов и провайдеров телекоммуникационных услуг, которые предоставляют услуги в телекоммуникационных сетях общего пользования, на юридических и физических лиц - потребителей этих услуг. Ранее получение и предоставление телекоммуникационных услуг регулировалось рядом отдельных постановлений за 1997-2004 годы. Источник: Украинские новости Бывший сотрудник AOL приговорен к 15 месяцам тюрьмы 17.08.2005 К 15 месяцам тюрьмы приговорен бывший сотрудник AOL Джейсон Сматерс (Jason Smathers), который украл и продал спамерам 92 миллиона электронных адресов клиентов AOL. Будучи сотрудником AOL, Сматерс, воспользовался паролем своего сослуживца и украл адреса клиентов AOL, которые затем продал спамеру более чем за $100000. Эти адреса были использованы для рассылки спама и перепроданы другим спамерам, в результате абоненты AOL получили миллионы рекламных писем. 15 месяцев тюрьмы - не самый суровый срок, который мог получить 25-летний Сматерс. Ему грозило лишение свободы сроком до 15 лет, однако он признал себя виновным и сотрудничал со следствием. "Я знаю, что поступил плохо", - сказал Сматерс на суде и написал письмо, в котором просил суд о снисхождении. AOL утверждает, что в результате преступных действий Сматерса компания потеряла $300000, однако доказать это будет трудно. Прокурор считает, что ущерб можно рассчитать, исходя из 10 центов за каждую тысячу писем, полученных клиентами AOL. По решению суда, у AOL есть 10 дней, чтобы доказать сумму ущерба. Пока суд не определил сумму штрафа, который выплатит Сматерс, однако предложил, чтобы она составила $84000. Источник: Reuters (Yahoo!) Спам - статистика за период 08 - 14 августа 2005 г. Лаборатория "Спамтест" Объем спама и тематические особенности Уровень спама практически не изменился с прошлой недели и составляет около 80% от общего объема почты, а на корпоративных серверах от 70 до 80%. Активизировались спамеры, предлагающие курсы, тренинги и семинары. Пока появились предложения для руководителей: потенциальных слушателей пытаются заманить обещаниями совместить приятное с полезным, т.е. одновременно подучиться чему угодно (от иностранного языка до умения вести переговоры) и отдохнуть на море в бархатный сезон. Неудивительно, что лидерами в этой тематике являются предложения курсов и семинаров украинских организаторов, а место проведения - Крым. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Остальной спам   43% -3% 2 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 10% +7% 3 Разные товары и услуги Предложения других товаров и услуг 10% -8% 4 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 6% -2% 5 Образование Реклама семинаров, тренингов, курсов 6% +3% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6% +4% 7 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6% +4% 8 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 6% -1% 9 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2% -6% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -1% Самый массовый спам и самое оригинальное предложение от господ, занимающихся "неопознанными состояниями" Вы найдете на сайте Спамтест. "Цепная" атака По материалам Panda Software Тот факт, что, движимые стремлением к наживе, спамеры совершенствуются и усложняют свои технологии, новостью не является. На днях Panda Software рассказала об организованной атаке, основной целью которой является рассылка спама. Эту атаку компания охарактеризовала как "беспрецедентную" и "одну из наиболее сложных организованных атак в истории". У экспертов Panda Software для такой оценки были веские основания: в ходе "цепной" атаки, выполняемой с помощью троянца SpamNet.A, на компьютеры пользователей внедряется до 19 видов вредоносного ПО, включая троянцев, backdoor-троянцев, программы-дозвонщики и рекламное ПО. К 15 августа троянцем было собрано более 3 миллионов электронных адресов по всему миру. По информации PandaLabs, троянец SpamNet.A обнаружен на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным в Москве. Атака отличается высокой сложностью и использует структуру "дерева". Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для открытия двух новых страниц. Первая из двух страниц после открытия, в свою очередь, открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая и начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них на компьютере устанавливается и запускается один из двух идентичных файлов (Web.exe или Win32.exe). При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Оставшиеся шесть файлов следующие: Первые два - бинарно-идентичные копии троянца Downloader.DQY, которые создают в операционной системе файл под названием svchost.exe, в действительности являющийся троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается с четырех различных веб-адресов скачать и запустить файлы, по крайней мере, два из которых представляли собой троянецев Multidropper.ARW и Sapilayr.A. Третий из шестерки файлов - рекламная программа Adware/SpySheriff. Четвертый - троянец Downloader.DYB, который пытается определить ID компьютера и скачивает файлы, которые перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера. Пятый файл - Downloader.CRY - создает два файла. Первый из них, svchost.exe, создается в c:\\windows\\system. Второй был идентифицирован как Lowzones.FO. Шестой файл, Downloader.EBY, создает, в свою очередь, другие шесть файлов: Троянец Downloader.DLH: использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. Именно им к 15 августа было собрано 3 миллиона адресов. Троянец Agent.EY: устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях. Файл Clicker.HA: ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд. Файл-дозвонщик Dialer.CBZ. Рекламная программа Adware/Adsmart. Троянец Downloader.DSV: скачивает backdoor-троянца Galapoper.C. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки и может содержать другие инструкции или обновления для Galapoper.C. Galapoper.C также периодически проверяет доступность контента на трех страницах, упомянутых выше. Он также рассылает спам с зараженного компьютера и собирает информацию с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений - каждые 10 минут или после рассылки каждых 70 тысяч спамовых писем. Вторая страница перенаправляет пользователя на другую страницу, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает еще две страницы. Код одной из них маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице. По словам Луиса Корронса (Luis Corrons), директора лаборатории PandaLabs, это одна из самых сложных организованных атак, которую когда-либо наблюдали в PandaLabs. Тот факт, что было собрано более 3 миллионов адресов для отправки спама, является показателем успешности атаки. Чтобы предотвратить заражение SpamNet.A или другим вредоносных кодом, Panda Software рекомендует всем пользователям регулярно обновлять свои решения безопасности и системы, поскольку SpamNet.A и многие другие вредоносные коды рассчитаны на эксплуатацию уязвимостей. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004