Электронный журнал "Спамтест" No. 181 в этом номере: Новости Спам - статистика за период 12 - 25 февраля 2007 г. Профиль главаря спамеров: Лео Куваев Новости В ЮАР будут премировать тех, кто подает иски против спамеров 21.02.2007 Интернет-сообщество ЮАР (ISOC-ZA) инициировало национальную просветительскую программу по правоприменению законодательства в борьбе со спамом. Программа предусматривает выплату денежных премий ловцам спамеров в случае успешного завершения "охоты" на судебном процессе. По оценке южноафриканских интернет-провайдеров, спам составляет 70% от общего объема контролируемого почтового трафика. За последние полгода этот показатель увеличился более чем на 20%, причем спамеры начали объединять усилия с вирусописателями, создавая более серьезные формы интернет-угроз. При таком положении дел ISOC-ZA считает своим долгом привлекать к борьбе со спамом широкие слои южноафриканского интернет-сообщества. "Программа охоты на спамеров за вознаграждение" (Spam Bounty Hunter Programme) нацелена на распространение информации о спаме как явлении, о методах борьбы с ним, способах подачи жалоб на спам, возбуждения уголовного иска и расследования и получения вознаграждения в случае удовлетворения иска. Сумма вознаграждения, причитающаяся гражданину ЮАР, если уличенный им спамер признал свою вину и оштрафован, составляет 7500 рэнд (около 1000 долларов США), если спамер осужден судом магистрата - 15000 рэнд, если спамер осужден судом высшей инстанции - 30000 рэнд. Основной задачей ISOC-ZA как гражданской организации является развитие южноафриканского сектора Интернета. Она была инициатором и непосредственным участником разработки национального законодательства в области электронных средств передачи информации и считает, что узким местом современной системы борьбы со спамом в стране является зависимость ее правоприменения от активности получателей спама. В связи с этим ISOC-ZA возлагает большие надежды на свою новую инициативу, призванную повысить осведомленность пользователей Интернета в ЮАР в отношении действующих правовых норм и порядка их использования против нарушителей закона, а также поощрить активность интернет-сообщества в интересах сокращения объемов спама, исходящих с территории страны. Источник: MONEYWEB Израиль как спамер и фишер 21.02.2007 "Израиль - великая спам-держава". Под таким заголовком на IstaelInfo.ru опубликована информация о данных статистики компании Marshal, согласно которым 2% спамовых сообщений в глобальном почтовом трафике рассылается с территории Израиля. Несмотря на то, что население Израиля немногим превышает 0,1% от населения земного шара, Израиль занимает устойчивые позиции в рейтинге Marshal по странам-спамерам, входя в дюжину лидеров. Долгое время этот рейтинг возглавляли США, но недавно их обошла Южная Корея. Положение с фишингом в Израиле еще серьезнее: с территории этой страны в "мировую паутину" засылается 4,7% мошеннических электронных посланий. Представители Marshal надеются, что при таком положении дел в конце концов именно давление со стороны иностранных правительств и крупных международных компаний, возможно, вынудит правительство Израиля наконец взяться за проблему спама. Следует отметить, что, по последним данным Marshal, Россия, хотя и не попала в дюжину ведущих стран-фишеров, сменила позиции в рейтинге стран-спамеров - с 10 места поднялась на непочетное 5. Может быть, и россиянам надо надеяться, что "давление со стороны иностранных правительств и крупных международных компаний" будет способствовать интересу правительства к проблеме спама? Источник: IstaelInfo.ru Источник: Marshal Войны спамеров 22.02.2007 По данным Secureworks, один из компонентов "штормовых" троянцев, поразивших в январе Интернет, использовался для проведения DDoS-атак на веб-сайты борцов против спама и сайты спамеров-конкурентов. Проведенное старшим научным сотрудником SecureWorks Джо Стюартом (Joe Stewart) исследование анатомии "штормового червя" позволило выявить интересные подробности. "Штормовой червь", он же W32/Small.DAM или Trojan.Peacomm, принадлежащий к тому же семейству вредоносных программ, что и более ранний вариант Win32/Nuwar, связан с другими зараженными машинами через Р2Р-протокол. Через Р2Р-каналы он получает URL, инициирующий второй компонент троянца, который, в свою очередь, загружает в инфицированную систему последующие компоненты, предназначенные для хищения адресов электронной почты, дальнейшего распространения вируса, проведения DDoS-атак и загрузки обновленной копии "штормового червя". Ответственный за проведение DDoS-атак компонент game4.exe загружает в инфицированную систему конфигурационный файл с жестко запрограммированным целевым IP-адресом и информацией о характере атаки. Среди IP-адресов, зафиксированных Secureworks, были веб-сайты антиспамеров stockpatrol.com и spamnation.info, несколько веб-сайтов конкурирующих спамерских группировок, использующих червя-спамера Warezov, и веб-сайт интернет-сервиса, специализирующегося на переводе денежных средств, - capitalcollect.com. По мнению Стюарта, персональный сайт которого тоже был атакован, проводившие "штормовую" атаку спамеры стремились уязвить всех, кто мешает их бизнесу. После DDoS-атаки на spamnation.info, инициированной 12 января, этот веб-сайт борцов с "биржевым" спамом удалось восстановить только через неделю. В конце января последовала серия атак на веб-сайты, распространяющие Warezov, владельцы которых ответили по-спамерски - изменили DNS-записи и перенаправили DDoS-атаки конкурентов на spamhaus.org. По данным Secureworks, в этих DDoS-атаках участвовало не менее трех ботнетов, никак не связанных между собой. Для специалистов по сетевой безопасности криминальные разборки в Интернете не новость, конкурентная борьба в мире киберпреступности особенно сильно выражена в среде кардеров и "специалистов" по биржевым махинациям с акциями мелких компаний (схема "накачка-сброс"). Проблема в том, что "пешками" в этих междоусобицах являются, как правило, компьютеры безвинных пользователей, за контроль над которыми состязаются игроки теневого интернет-бизнеса, а под перекрестный огонь DDoS- и вирусных атак попадают и вовсе случайные сетевые объекты. Повышение эффективности средств антиспам-защиты вынуждает спамеров совершенствовать криминальную технологию и сокращать объемы нелегитимных рассылок. По экспертному мнению, в ближайшем будущем тенденция к использованию киберкриминальными группировками высвобождающихся ресурсов ботнетов в DDoS-атаках против своих конкурентов и противников сохранится. Источник: www.secureworks.com Спамеры-полиглоты воруют пароли популярной платежной системы 27.02.2007 Спам-аналитики "Лаборатории Касперского" зафиксировали спам-рассылку, сообщения в которой, кроме основного английского текста, призывающего срочно покупать акции некой сомнительной компании, содержат фразу на ломаном русском языке - "ОТПИСАТЬ ОТ РАССЫЛКИ МОЖНО ЗДЕСЬ" - и ссылку на интернет-узел, с которого пользователь перенаправляется на сайт, содержащий вредоносный код. Таким образом, данная спамовая рассылка ориентирована одновременно на две целевые аудитории: англоязычную, потенциально заинтересованную в покупке акций, и русскоязычную, которая при попытке отписаться от назойливой рассылки заражается вредоносной программой: на компьютер пользователя загрузится троянская программа Trojan-Downloader.JS.Small.dz, которая, в свою очередь, устанавливает программу-шпион Trojan-Spy.Win32.Goldun.ms, целенаправленно ворующую номера счетов и пароли платежной системы e-gold. Учитывая, что именно русскоязычные пользователи подвергаются наибольшей опасности при получении таких писем, можно предположить, что они являются основной целью злоумышленников. Троянская программа Trojan-Spy.Win32.Goldun.ms интересна тем, что предназначена для кражи пользовательских паролей для одной определенной платежной системы. Обнаруженная спам-рассылка является еще одним ярким примером тесного симбиоза спамеров и вирусописателей, которые распространяют вредоносные программы вместе с рекламой сомнительных товаров и услуг. Пользователям рекомендуется быть внимательными и не открывать письма от неизвестных адресатов. Вредоносные программы Trojan-Downloader.JS.Small.dz и Trojan-Spy.Win32.Goldun.ms занесены в антивирусные базы "Лаборатории Касперского" и не могут нанести ущерб пользователям антивирусных продуктов компании, регулярно обновляющим сигнатуры угроз. Кроме того, модуль проактивной защиты, встроенный в Антивирус Касперского и Kaspersky Internet Security 6.0, успешно блокирует активность данных троянцев. Источник: "Лаборатория Касперского" Фишеры используют Google Maps 27.02.2007 Фишеры атакуют клиентов банковских интернет-сервисов, определяя местонахождение инфицированных компьютеров с помощью информации с сервера Google Maps. Держатели счетов крупнейших банков Австралии, США, Германии и многих других стран стали мишенью злонамеренной спам-рассылки с ложными сообщениями о сердечном приступе у премьер-министра Австралии Джона Хауэрда (John Howard). Сообщения засылались от имени австралийского информационного сервиса The Australian и содержали ссылку на веб-страницу, загружавшую троянскую программу на компьютер жертвы - с последующим редиректом на сайт-подлинник с уведомлением об ошибке. Одним из компонентов загружаемого троянца является кейлоггер, регистрирующий активность жертвы в Сети. Чтобы придать ложным сообщениям надлежащую убедительность, компьютерные мошенники зарегистрировали несколько доменных имен, имеющих сходство с адресом используемого информационного источника. По оценке компании Websense, в настоящее время с использованием упомянутой спам-рассылки инфицировано около 2500 компьютеров, расположенных по всему миру, 30% из них находятся на территории Австралии. Согласно образцу фишерского списка, приведенному на веб-сайте этой компании, самыми неосторожными пользователями за пределами Австралии, попавшими в ловушку фишеров, стали жители Польши, Чехии, москвичи и токийцы. Атакам злоумышленников подверглись онлайн-клиенты австралийских банков Commonwealth Bank и Westpac, американских Bank of America и Wells Fargo, пяти немецких банков, включая Deutsche Bank, четырех банков Испании и Kasikorn Bank Тайланда. Точное географическое местонахождение зараженных машин определяется злоумышленниками по IP-адресу обращением на сервер Google Maps. Специалисты Websense полагают, что приобщение информации о расположении инфицированных компьютеров к собранным кейлоггерами данным позволит фишерам успешней распорядиться похищенными пользовательскими реквизитами по банковским счетам и страховым полисам. Источник: COMPUTERWORLD Marshal: к концу 2007 года 90% получаемой электронной корреспонденции будет спамом 27.02.2007 По мнению экспертов компании Marshal, если тенденция к увеличению объемов спама сохранится, в конце 2007 года каждые 9 из10 получаемых адресатами электронных сообщений будут спамовыми. По оценке Marshal, в настоящее время уровень спама в почтовых ящиках пользователей составляет 85% от общего объема получаемой электронной корреспонденции. В середине февраля исследователи Marshal зафиксировали резкое увеличение спама - на 30%, что позволило говорить о возрастании объемов спам-рассылок на 280% по сравнению с уровнем, зафиксированным в октябре 2006 года. Всплеск спама, зарегистрированный "ловушками" Marshal, расположенными в 18 странах мира, совпал по времени с интенсификацией спам-рассылок из Китая и Южной Кореи. Специалисты Marshal склонны объяснять эскалацию спама из азиатских стран безнаказанностью криминальных операторов ботнетов, эксплуатирующих обширный парк местных пользовательских ресурсов, слабо защищенных с точки зрения компьютерной безопасности. Источник: Techworld.com В Новой Зеландии принят закон против нелегитимных электронных сообщений 28.02.2007 В Новой Зеландии принят закон против спама, который обеспечивает правовую основу для борьбы с этим явлением в национальном секторе Интернета и для эффективного взаимодействия с международными правоохранительными органами. Unsolicited Electronic Messages Bill налагает запрет на рассылку нелегитимных сообщений по электронной почте, SMS- и IM-каналам. Закон не распространяется на телефонию, VoIP-сервис и факсимильную связь. Рассылка электронных сообщений коммерческого характера не противоречит закону, если осуществляется с однозначно выраженного согласия получателей. Коммерческие рассылки должны содержать достоверную контактную информацию и предоставлять возможность бесплатного отказа от подписки, на который источник рассылки обязан отреагировать в течение пяти дней. Вне закона также объявлены электронные сообщения порнографического характера, содержащие ссылки на соответствующие веб-сайты. Использование программного обеспечения для сбора списков электронных адресов новым законом не преследуется, но рассылка спама с использованием списков, составленных с помощью подобного ПО, является противозаконным деянием. Нарушители антиспам-законодательства караются жесткими штрафами: организации - до 500000 долларов, частные лица до 200000 долларов. За основу принятого в тексте закона определения нелегитимных электронных сообщений взята терминология, используемая в аналогичном австралийском законодательном акте. Наличие в электронном сообщении какой-либо ссылки, призванной скрыть истинное содержание сообщения, автоматически классифицирует его как спам. В новом новозеландском законе оговорены также отдельные виды сообщений, на которые определение спама не распространяется. Правоохранительные функции в рамках антиспам-законодательства будут, по всей видимости, возложены на министерство внутренних дел Новой Зеландии. Интернет-сообщество Новой Зеландии (Internet New Zealand), Маркетинговая Ассоциация (Marketing Association) и Форум поставщиков телекоммуникационных услуг (Telecommunications Carriers Forum) подготовили проект кодекса для интернет-провайдеров, определяющего круг их обязательств в отношении борьбы со спамом в электронном почтовом сервисе. Предложенные нормативы отражают характер взаимоотношений интернет-провайдеров с пользователями и министерством внутренних дел и должны вступить в силу одновременно с новым законом против спама. Закон Unsolicited Electronic Messages Bill вступит в силу через полгода. Источник: stuff.co.nz Спам - статистика за период 12 - 25 февраля 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама 12-18 февраля доля спама составила 78,4 % от общего объема почтового трафика; 19-25 февраля спам составлял в среднем 77,6% почтового трафика. Тематическое распределение спама на неделе 12-18 фераля было отмечено исключительной многочисленностью спама тематики "Медикаменты; товары и услуги для здоровья". Большую часть этих рассылок, как и обычно, составили письма, посвященные виагре и другим подобным препаратам, но значительная доля пришлась и на русскоязычные рассылки, рекламирующие услуги стоматологических клиник, методов похудания и диагностики состояния здоровья по лицу. На прошлой неделе (19-25 февраля) доля спама тематики "Медикаменты" в потоке спама несколько снизилась. Среди прочих количественных изменений можно выделить падение доли спама тематической категории "Отдых и путешествия". На неделе 12-18 февраля почти все письма этой тематики были посвящены турам и корпоративному отдыху 14 февраля, 23 февраля и 8 марта. На неделе 19-25 февраля рассылки данной категории продемонстрировали все возможное многообразие. Спам этой тематики рекламировал и концерты, и весенние туристические поездки, и разные виды празднования 8 марта и 23 февраля. Присутствовали и занявшие в последнее время прочное место в этой тематической нише прайс-листы на выступление популярных артистов. Еще одним близким по тематике предложением явился спам, рекламирующий аренду замков во Франции под различные мероприятия. В спаме уже появилось множество весенних предложений, но и типичные зимние товары пока не сдают позиции - спамеры используют неожиданно наступившую зиму. На прошедшей неделе абсолютными лидерами зимних предложений стали снегокаты (конечно, самые лучшие, надежные и даже красивые). Еще одна популярная тема последних двух недель - подарки к 23 февраля. "Не все мужчины получают на 23 февраля крем для бритья", уверенно заявили спамеры и предоставили полный спектр рекламы эхолотов, навигационных устройств и других совершенно необходимых мужчинам предметов. Популярные тематики No Тематика Описание Доля тематики 12-18 февр. Доля тематики 19-25 февр. 1 Другие товары и услуги Предложения других товаров и услуг 18,3% 25,2% 2 Образование Реклама семинаров, тренингов, курсов 20,0% 21,6% 3 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 15,8% 10,1% 4 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 8,3% 7,9% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,4% 7,9% 6 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 13,8% 7,6% 7 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 5,0% 6,1% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,5% 4,0% 9 Остальной спам   2,1% 4,0% 10 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% 3,6% 11 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,5% Менее 2% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Менее 2% Образчики самого массового спама, а также самые оригинальные спам-предложения вы найдете на сайте Спамтест. Читайте на сайте Спамтест: отчет "Лаборатории Касперского" "Спам в яваре 2007". Профиль главаря спамеров: Лео Куваев По экспертному мнению, за значительную часть спам-трафика в глобальном Интернете несут ответственность организованные криминальные группировки, такие как интернациональная спам-империя Лео Куваева. О неуловимом спамере рассказывает The Sunday Times. По свидетельству компьютерных экспертов, Куваев одним из первых начал использовать графический спам и, по слухам, приложил руку к созданию вирусов-спамеров, вербующих пользовательские компьютеры в армию рассылающих спам ботнетов. 34-летний вдохновитель спамерских эскапад проявил себя как хороший организатор: его криминальные боевые подразделения работают на окладе и имеют четкую структуру, укомплектованы делопроизводителями и разработчиками программного обеспечения. По данным Spamhaus, Лео Куваев нередко объединяется с другими спамерами и спамерскими группировками, устанавливая контроль над миллионами пользовательских компьютеров. Среди его партнеров числятся небезызвестные Алан Ральски (Alan Ralsky), Майкл Линдсей (Michael Lindsay), создатель инструментария для скрытной спам-рассылки Руслан Ибрагимов и две организации, также внесенные в списки злостных спамеров ROKSO Spamhaus, - российская Pavka/Artofit и украинская Yambo Financials. Вожак международного спам-сообщества ведет чрезвычайно активную и разностороннюю деятельность: создает собственные системы доменных имен и делится ими с "коллегами по бизнесу"; анонимно регистрирует множество доменов, сменяя их каждые три часа; охотится за новыми, "незасвеченными" зомби; арендует надежные хостинги в Бразилии, России, Китае. Кое-кто приписывает Куваеву также инициацию дерзкой DDoS-атаки на веб-сайт BlueSecurity, положившей конец антиспамерской деятельности этого сервиса. Зарубежная пресса называет Куваева "серым кардиналом спамеров", намекая на его роль закулисного вдохновителя и организатора бесчисленных спам-рассылок с рекламой контрафактных медикаментов и акций безвестных компаний, пиратского ПО и порнопродукции всех видов и мастей. По свидетельствам подельников Куваева, главарю "империи спама" чужды какие-либо этические ограничения, он не гнушается ничем в погоне за прибылью. Второй по агрессивности спамер планеты - высококлассный программист, закончивший Массачусетский университет по специальности "компьютеры на основе искусственного интеллекта". Теневой бизнесмен знает себе цену; на одной из веб-страниц он оставил такой комментарий: "Попробуй обставить меня. Не думаю, что у тебя получится". Остается только пожалеть, что в погоне за наживой Куваев вложил свои таланты в столь сомнительную деятельность. Как пишет The Sunday Times, после бостонского процесса, на который Куваев не явился, он вернулся в Москву, числится в бегах и разыскивается ФБР. В Москве его дважды задерживала милиция по подозрению в поставках поддельных или нелицензированных медицинских препаратов, но до суда дело не дошло. Международная общественность считает, что спамеру удается оставаться на свободе благодаря попустительству российских властей, уклоняющихся от сотрудничества с зарубежными правоохранительными органами. Источник: The Sunday Times Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005