Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 113 в этом номере: Новости Спам - статистика за период 15 - 22 августа 2005 г. Криминальное чтиво Ольга Емельянова Новости Затишье перед бурей 18.08.2005 Несмотря на летнее затишье, с наступлением осени следует ожидать всплеска активности спамеров. Согласно результатам исследований компании Ipswitch, объемы спама в течение летнего периода снизились на 20% по сравнению с весенними месяцами. По данным Ipswitch, летом спам составлял в среднем 74% всех сообщений, тогда как весной его доля достигала 93%. Между тем, это всего лишь традиционное летнее затишье. Эксперты компании AppRiver полагают, что вирусные атаки последнего времени готовят плацдарм для последующих спамерских атак и с наступлением осени спамеры резко активизируются. В конце лета спамеры, как правило, рассылают вредоносные программы, чтобы обновить и расширить "парк" зомби-машин, используемых для рассылки спама. По данным AppRiver, в настоящее время новый вариант Bagle составляет 20% всех вирусов, рассылаемых в электронных сообщениях. Количество писем, инфицированных новым вариантом Bagle, растет стремительно. По словам представителя AppRiver, буквально в течение 24 часов доля Bagle с незначительных величин выросла до 20% всех вирусов, которые были обнаружены компанией. Всего за сутки AppRiver анализирует около 30 миллионов электронных сообщений. Источник: BIOS Источник: BUSINESS WIRE Спам как источник вдохновения 19.08.2005 Американский художник Итан Хэм (Ethan Ham) создал очень необычную систему под названием E-mail Erosion, способную самостоятельно формировать "скульптуры" на основании информации, содержащейся во входящих электронных письмах. E-mail Erosion представляет собой вытянутую в высоту будку размером примерно 105х105х195 см с прозрачными стенками. Внутри установлен пенопластовый блок на основе крахмала, распадающийся под действием воды. На каждой из сторон будки укреплены четыре механических ползунка, которые по направляющим могут перемещаться вдоль боковых сторон будки. По ползункам в поперечном направлении перемещается форсунка для выброса струи воды. Передвигая ползунки и форсунку, можно направить струю в любую точку пенопластового блока. Каждый из ползунков ассоциирован с собственным адресом электронной почты. Когда в ящик приходит сообщение, информация, содержащаяся в письмах, анализируется при помощи специального программного алгоритма и преобразовывается в команды для робота. В зависимости от полученного в ходе обработки отдельного сообщения результата производится либо перемещение ползунка в новую точку, либо выброс воды из форсунки. Вода, попадая на пенопластовый блок, вызывает его постепенное разрушение и, соответственно, изменение формы. Так рождается новая скульптура. Пользователи Интернета смогут "пообщаться" с системой E-mail Erosion в феврале 2006 года, когда электронные адреса робота появятся в Сети. Тогда же около будки будут установлены четыре веб-камеры. Посетители сайта смогут отослать сообщение роботу и пронаблюдать, как он на него среагирует - письмо, обработка которого вызвала те или иные действия робота, отображается на расположенном рядом дисплее. Кроме того, электронные адреса спам-скульптуры будут занесены в списки рассылок и специально "засвечены" для спамеров, так что на них регулярно будет поступать почтовый "мусор". Робот реагирует на каждое из полученных писем, однако система E-mail Erosion обрабатывает с каждого электронного адреса не более одного письма в день. Планируется, что скульптура, полученная в результате необычного эксперимента, будет представлена в феврале следующего года, если, конечно, вода полностью не уничтожит "строительный материал". Источник: Компьюлента Лидирующие тематики спама в личной и корпоративной почте совпадают 22.08.2005 По результатам опроса, проведенного компании Mirapoint, основными тематиками спама пользователи назвали предложения различных медикаментов, финансовый и порно-спам. В ходе исследования были опрошены около 800 человек, из них 34% составили корпоративные пользователи. Судя по результатам опроса, три лидирующие тематики спама одинаковы и в личной, и в корпоративной почте. Разница состоит лишь в том, что сотрудники компаний на первое место поставили рекламу медицинских препаратов, а в личных почтовых ящиках больше всего финансового спама. Участников опроса попросили вспомнить самый странный спам, который они получали. Среди ответов наиболее часто фигурировали спам-письма с предложением антиспамовых решений, авторы которых выражали сочувствие получателям в связи с большими объемами спама, а также пустые письма, не содержащие ни текста, ни ссылок. Кроме того, были упомянуты сообщения, текст которых гласил: "вот новый вирус, который вы заказывали". Исследование проводилось компанией Mirapoint в марте-апреле 2005 года. Источник: Yahoo! News Спам является основной интернет-угрозой для компаний малого и среднего бизнеса 23.08.2005 Большинство специалистов по безопасности компаний малого и среднего бизнеса считают спам основной интернет-угрозой. Таковы результаты исследования WatchGuard. В ходе опроса IT-специалистов более 80% респондентов поставили спам на первое место по значимости интернет-угроз для своих компаний. 60% опрошенных в качестве основной угрозы указали также вирусные атаки. По словам представителя WatchGuard, результаты исследования показали, насколько важно для обеспечения безопасности компаний быть на шаг впереди злоумышленников: согласно результатам опроса, уровень сложности атак постоянно растет. Источник: IT-Observer Спамеры добрались до LiveJournal 24.08.2005 В дневниках пользователей LiveJournal появились спамерские комментарии от имен различных пользователей Живого Журнала, содержащие, в частности, ссылки на сайт с детской порнографией. Первоначальное предположение пользователей о взломе одного из серверов Живого Журнала, хранящего пароли, а именно LJPlus, не подтвердилось - на сервере было опубликовано официальное заявление, опровергающее кражу паролей. Более того, выяснилось, что половина пользователей даже не была зарегистрирована на LJPlus. Вероятно, ЖЖистов подвели незамысловатые пароли, - у 29 украденных аккаунтов они были до смешного просты: "123", "qwerty", "asdfg", "aaa" и т.п. Такие пароли можно легко подобрать с помощью специальной программы. Судя по всему, были взломаны сами журналы. LiveJournal не первый раз становится мишенью спамеров. В январе прошлого года было пресечено мошенничество с кражей паролей к действующим дневникам. Тогда мошенник из Белоруссии под псевдонимом dubva использовал тактику фишеров: в нескольких русскоязычных сообществах он опубликовал форму, предназначенную якобы для получения доступа к новым темам для оформления Живого Журнала. В форме предлагалось внести имя пользователя и пароль для доступа к дневнику. Все вводимые данные попадали в распоряжение dubva. В результате в сообществах распространилось некоторое количество глупого спама. Теперь LJ призывает беспечных авторов дневников включить воображение и сменить пароли на более сложные. Потому как пароль типа "qwerty" - все равно, что ключ от квартиры, оставленный под половиком. Источник: Компьюлента Спам - статистика за период 15 - 22 августа 2005 г. Лаборатория "Спамтест" Объем спама и тематические особенности К концу недели зафиксирован рост уровня спама до 85% от общего объема почтового трафика в Рунете. Вполне возможно, что это уже начало традиционного осеннего пика спамерских рассылок. После относительного летнего затишья поставщики разнообразных товаров и услуг возобновляют охоту за кошельками потребителей. Эта тенденция заметна не только в спаме. Она просматривается и в печатной, и в телевизионной рекламе. Практически без изменения остаются рассылки, которые относятся к тематике "Компьютерное мошенничество". Их количество не идет на убыль, хотя о разных видах мошенничества и пишут, и говорят достаточно много. Так что призываем пользователей Рунета к бдительности:) Не стоит платить налоги за гипотетический выигрыш в лотерее, в которой вы никогда не участвовали. Деньги за налог уйдут мошенникам, а приза еще не получал никто. Не надо помогать нигерийским девушкам вывезти или обналичить наследство, доставшееся от богатого дедушки. В выигрыше от этой акции останется только организовавший ее мошенник. Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Остальной спам   37,5% -5,5% 2 Разные товары и услуги Предложения других товаров и услуг 17% +7% 3 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 9% +3% 4 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 9% +3% 5 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 8% -2% 6 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 6% Без изменений 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 5% +3% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 4,5% -1,5% 9 Образование Реклама семинаров, тренингов, курсов 2% -4% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2% Без изменений Самое оригинальное предложение "Усыпим Вас и Ваших родственников" Письмо разослано от имени ОАО с говорящим названием "Вечный сон" и предлагает по сходной цене "заморозить себя или знакомых с размораживанием через 200-300 лет". При этом "стоимость размораживания определяется по факту, в случае успешности процедуры". URL исходного спамерского письма ведет на медицинский портал. Наряду с этим письмом были зафиксированы еще два варианта спам-сообщений, в которых ссылки вели на тот же медицинский портал. В одном из них от имени ООО "Кукушка" предлагались "яйцеклетки и сперматозоиды из нашего фонда "избранных" для искусственного зачатия в пробирке". Другое от имени ЗАО "Чужая почка" рекламировало "распродажу донорских органов человека" (избавим наших читателей от подробностей). Осталось загадкой, являлись ли эти рассылки собственно рекламой (с таким оригинальным чувством юмора), или же это была попытка скомпрометировать медицинский портал, на который ведут ссылки в спамерских письмах. Эксперты лаборатории "Спамтест" склоняются к тому, что это были рекламные рассылки. Реакция пользователей показывает, что многие восприняли рассылки как своеобразный черный PR и, скорее, жалеют организацию, которую прорекламировали таким странным способом, чем торопятся воспользоваться услугами этого медицинского портала. Образчик рекламы вечного сна, а также самый массовый спам и самое трудночитаемое письмо вы найдете на сайте Спамтест. Криминальное чтиво Ольга Емельянова При подготовке статьи использована информация TechWeb, The Register и компании Trend Micro. Плохой, вредный, злой На прошлой неделе содержание некоторых новостей раздела "компьютерная безопасность" напоминало сценарий увлекательного вестерна. Преобразовав корпоративную сеть в городок Дикого Запада, вредоносные коды в бандитов, компьютеры назвав домами, а сисадмина произведя в шерифы, можно было представить приблизительно следующее: Воспользовавшись беспечностью шерифа, банда Zotob под покровом ночи тайком захватила дом на окраине города. На этом злодеи не остановились: они вламывались в дома беспечных жителей, и через короткое время все поселение оказалось под их контролем. Как выяснилось, одновременно было захвачено несколько городов, в том числе довольно крупных. Обнаружив кое-где конкурирующие банды, разбойники Zotob начали с ними настоящую войну (волнующие сцены дуэлей). Жизнь в захваченном городе парализована. Под музыку Эннио Марриконе шериф тоскливо потягивает виски и размышляет о своем незавидном будущем. Между тем, многим было не до шуток. По некоторым подсчетам, в Сети распространялось более 12 ботов, использующих Plug and Play уязвимость Windows 2000, обнаруженную накануне. Атаку червей некоторые даже назвали самой значительной атакой года. Атака года? Наибольшую опасность, по мнению экспертов, представляли собой Zotob.e и Esbot.a (названия, используемые разными антивирусными компаниями, варьируются). Обе вредоносные программы включали код, который открывал IRC-канал, и могли загрузить с серверов злоумышленников дополнительные коды, превратив захваченные компьютеры в зомби для рассылки спама или осуществления DDoS-атак. Среди 175 пострадавших компаний оказались Associated Press, CNN, Canadian Imperial Bank of Commerce, Caterpillar, Daimler/Chrysler, General Electric, SBC Communications и United Parcel Service. По информации телеканала CNN, пострадали также ABCNews, New York Times и Конгресс США. Возможно, именно поэтому вокруг происходящего было столько шума. "Лаборатории Касперского" сообщила, что не получала информации от своих пользователей в России и за рубежом о реальных случаях заражений, вызванных червем Zotob. Не было отмечено и увеличения сетевой активности как возможного следствия работы червя. Таким образом, по мнению экспертов ЛК, заметной вирусной эпидемии в Интернете не было. Руководитель исследовательской группы X-force Гюнтер Оллман (Gunter Ollmann) также считает, что уровень опасности Zotob и его собратьев сильно преувеличен. Однако, по его словам, трудно сказать, сколько машин на самом деле было заражено, поскольку операторы ботнетов стараются замаскировать свое присутствие в сети. "Червивые" войны. Эпизод 2 Войны между червями уже "гремели" в прошлом году: за контроль над зараженными PC сражались создатели Bagle, NetSky и MyDoom. Нечто подобное происходит и сейчас. Червь Bozori пытается "загасить" более раннюю версию червя Zotob и другие вредоносные коды и стать единовластным хозяином захваченной машины. Семейство IRC-ботов, использующее ту же Plug and Play уязвимость, стремится убрать конкурирующие PnP-боты. И сегодня, и год назад речь идет, прежде всего, о создании зомби-сетей для рассылки спама. Хотя предполагается целый букет опасных вероятностей. По словам Грэма Клули (Graham Cluley), старшего консультанта по вопросам технологий компании Sophos, захватив контроль над компьютером, эти черви могут использовать его для рассылки спама, осуществления DDoS-атак, кражи конфиденциальной информации или распространения новых версий вредоносного кода на другие компьютеры. За атаками стоят организованные криминальные группы, стремящиеся к наживе. Микко Хиппонен (Mikko Hypponen), старший исследователь компании F-Secure, предполагает, что военные действия на стороне новых червей ведут три различные группировки вирусописателей, стремящиеся создать самую большую сеть зараженных машин. Ничего личного Впрочем, есть и другие мнения. Кое-кто из экспертов не зафиксировал драматических сражений между вредоносными кодами. А Гюнтер Оллман считает, что имеют место не войны криминальных групп, а обычная работа ботнетов. "Как правило, боты содержат код для автоматического выключения антивирусного ПО или блокирования доступа к обновлениям, которые могут выявить вредоносный код или перехватить у злоумышленников контроль над машиной", - говорит Оллман. Как бы то ни было, все эксперты сходятся в одном: стремление сделать деньги на ботнетах - вот движущая сила всех атак. С зомби-машин в настоящее время рассылается 56-62% всех спамовых писем. По информации Symantec, аренда ботнета из 5500 зомби-машин в среднем обходится спамерам, фишерам и другим злодеям в $350 в неделю. Никакой романтики - сплошной капитализм. Что червь грядущий нам готовит? Эксперты говорят, что основная тенденция в развитии вредоносных программ связана с bot-червями. В чем ни у кого не возникает сомнений, так это в том, что в войне между вирусописателями и специалистами по компьютерной безопасности перемирия не предвидится. Дэвид Санчо (David Sancho), главный специалист по антивирусным исследованиям компании Trend Micro, полагает, что в ближайшем будущем сетевые черви станут более быстрыми и можно ожидать сокращения времени их распространения. Основания для прогнозов Санчо приводит следующие. В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат - специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК. Идея модульности этих типов червей была реализована и в двух сетевых червях, упоминаемых выше и ставших "гвоздем" информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения сразу после того, как опубликован код, иллюстрирующий это слабое место. Создатели модульных червей могут быстро модифицировать уже существующий код, перекомпилировать - и получить готовый к распространению новый вид опасного червя. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь (информация и названия вредоносных кодов Trend Micro): WORM_NIMDA: 366 дней, WORM_SLAMMER: 185 дней, WORM_BLASTER: 26 дней, WORM_SASSER: 18 дней, WORM_ZOTOB: 4 дня. Кроме того, по мнению эксперта Trend Micro, в будущем вредоносные программы будут использовать технологии захвата потоков RSS и полиморфные атаки с использованием изменяемого кода. Так что любители криминального чтива еще смогут получить удовольствие от захватывающих сюжетов новостей, имеющих отношение к компьютерной безопасности, - разумеется, при условии, что их собственные компьютеры надежно защищены от всех интернет-угроз. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004