Электронный журнал "Спамтест" No. 194 в этом номере: Новости Спам - статистика за период 18 - 24 июня 2007 г. Вредоносное творчество спамеров Выпущен Critical Fix 1 для Kaspersky Anti-Spam 3.0 (3.0.274.0) Новости McAfee поверила правильность собственных прогнозов 25.06.2007 По прошествии половины 2007 года, как раз в день летнего солнцестояния, McAfee решила проверить правильность собственных прогнозов относительно развития сетевых угроз. За прошедшие полгода выявленные экспертами тенденции в целом подтвердились, хотя сокращение объемов графического спама и числа вредоносных атак в секторе мобильной связи стали приятным сюрпризом. Предсказанный McAfee рост объемов спам-рассылок пока не внушает особых опасений. Согласно данным компании, в первой половине 2007 года уровень спама в Интернете оставался довольно стабильным. Объемы графического спама, доля которого в начале года составляла 65% от общего количества спама, несколько уменьшились. В настоящее время этот показатель составляет от 30 до 50%. Экспоненциальный рост числа фишерских веб-сайтов в первом полугодии полностью подтвердил худшие опасения исследователей. В январе последние блокировали почти вчетверо (на 358%) больше поддельных страниц, созданных с целью хищения персональных данных, чем за весь четвертый квартал 2006 года. В феврале и марте число блокированных McAfee фишерских ресурсов более чем вдвое превысило тот же показатель, и активность фишеров продолжает возрастать. В McAfee предвидят рост числа атак, при которых фишеры используют поддельные аккаунты на сайтах с общедоступным контентом (к примеру, Google и Wiki), а также архивационных сайтах. Мишенью злоумышленников все чаще становятся пользователи MySpace; похищенные на этом социальном сервисе персональные данные используются мошенниками для рассылки спама. Неожиданное сокращение фишинговых и вредоносных атак на пользователей мобильных сервисов свело на нет одно из прорицаний McAfee. В первом квартале 2007 года специалисты компании зафиксировали всего 12 вредоносных атак на владельцев мобильных средств связи, тогда как в тот же период 2006 года было зарегистрировано 47 подобных атак. По статистике McAfee, активность ботнетов в ноябре 2006 года значительно уменьшилась, а с начала 2007 года их использование вновь стало расширяться. По оценке исследователей компании, в настоящее время число активных зомби-компьютеров еще не сравнялось с показателями годовой давности, но продолжает увеличиваться. В целом рост профессионализма и организованности киберкриминалов, как уже было отмечено специалистами McAfee, способствует возрастанию угроз безопасности в Сети. Источник: Avertlabs.com Сообщник спамера признал свою вину и будет лишен свободы на три года 25.06.2007 Тодд Мёллер (Todd Moeller), 28-летний подручный Адама Вайтале (Adam Vitale), сознался в незаконной рассылке 47000 рекламных писем 1,2 миллиона пользователей AOL. Нарушителю грозит тюремное заключение на срок до трех лет. Мёллеру инкриминируется нарушение федерального антиспамового законодательства. Нелегитимная рекламная рассылка была спровоцирована конспиративным информатором секретной службы и проводилась Адамом Вайтале и его сообщниками в течение недели августа 2005 года. В целях сохранения собственной анонимности организаторы спам-рассылки использовали несколько релеев и искажали заголовки писем. Максимальный срок тюремного заключения по данному обвинению может составить 11 лет. Согласно предварительному решению федерального суда Манхэттена, содержание раскаявшегося спамера под стражей ограничится 30-37 месяцами; окончательный приговор будет вынесен Мёллеру к концу сентября. Источник: www.nj.com Две австралийские компании оштрафованы за SMS-спам 26.06.2007 Управление по средствам связи Австралии (Australian Communications and Media Authority, ACMA) оштрафовало компании Pitch Entertainment Group и International Machinery Parts Pty Ltd за рассылку коммерческой SMS-рекламы без функциональной опции "отказаться от рассылки". Суммы штрафов в австралийских долларах составили соответственно 11000 (более 9300 долларов США) и 4400 (более 3700 долларов США). Pitch Entertainment, известная в Австралии как Splash Mobile, была неоднократно замечена в подобном нарушении австралийского антиспам-законодательства. Компания разослала владельцам мобильных телефонов более миллиона SMS с коммерческой рекламой, не снабженных активированной опцией отказа. Хотя представители компании заявили, что с середины 2006 года их SMS-реклама стала сопровождаться инструкцией по оформлению отказа от рассылки, ACMA настояло на применении штрафных санкций к злостному нарушителю. Руководство компании обязали впредь соблюдать требования австралийского Spam Act, ввести строгую отчетность и проводить просветительские мероприятия для сотрудников компании. Коммерческая SMS-реклама International Machinery Parts (IMP Mobile) также не предоставляла получателям возможности оказа от получения рекламы, и инициаторам ее рассылки пришлось раскошелиться. Максимальная сумма штрафа, налагаемая федеральным судом Австралии при неоднократном нарушении Spam Act, составляет 1,1 миллион австралийских долларов (более 930000 долларов США). Источник: COMPUTERWORLD В России появится антиспамовое законодательство 27.06.2007 В ближайшее время в правительство будет внесен законопроект, направленный на борьбу с массовыми рассылками электронных сообщений. С таким заявлением выступил заместитель главы Мининформсвязи Александр Маслов. Рабочая группа при Госдуме готовит соответствующие поправки в законодательство. По словам Маслова, поправки будут внесены в действующие нормативные документы: "О рекламе", "О почтовой связи", "О связи". В работе думской группы принимают участие представители ведомств, которые имеют отношение к этим отраслям, в том числе Мининформсвязи. Cроки внесения необходимых поправок не озвучивались. Источник: www.rusnovosti.ru Пособник в отмывании денег возместит ущерб, нанесенный фишерами 27.06.2007 Около 40 тысяч долларов будет взыскано по суду с учащегося английского колледжа, который был осужден за отмывание денег, похищенных фишерами с банковских онлайн-счетов. В августе 2006 года 20-летний житель графства Линкольншир Мустафа Саид (Mustafa Said) был на год отправлен за решетку, признав себя виновным по 6 пунктам в приобретении нажитого преступным путем имущества и по 3 пунктам - в передаче этого имущества другим лицам. Решением суда с него должна быть удержана сумма в 21498 фунтов стерлингов (примерно 42500 долларов), зафиксированная на его банковских счетах и приобретенная в результате фишинга. На состоявшемся недавно заседании Уголовного суда присяжных города Линкольна адвокат Саида попыталась оспорить решение суда, отметив, что подлежащая конфискации сумма не может рассматриваться как собственность ее подзащитного, так как он уже передал ее своим "работодателям" и не располагает средствами для исполнения судебного постановления. Доводы адвоката не убедили судью. Он постановил, что пособник фишеров обязан заплатить 19688 фунтов (около 40000 долларов) в течение полугода, в противном случае срок его содержания под стражей будет продлен еще на год. Источник: www.thisislincolnshire.co.uk Спам - статистика за период 18 - 24 июня 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе средний объем спама составил 75,8%. Самое существенное изменение в тематическом распределении спама на прошедшей неделе затронуло рубрику "Личные финансы". В течение последних недель доля спама этой тематики в общем потоке спама не превышала 6%, чаще составляя 3-4%. На прошедшей неделе эта доля достигла 9%. Рубрика "Услуги по электронной рекламе", совершившая аналогичный скачок на неделю раньше, держится на уровне прошлой недели. Это не единственное "возвращение", которое можно было отметить в спаме. Спустя несколько лет в спам-потоки вернулась англоязычная реклама сигар. Некогда рекламе табачной продукции была посвящена значительная доля спама, но в последние несколько лет она практически исчезла из наших спам-потоков. Впрочем, спамеры на прошедшей неделе не только вспоминали хорошо забытое старое, но и рекламировали новое. Одним из примеров нового товара на рынке стали "цифровые фоторамки". Как верно заметили спамеры в тексте письма, "цифровые новшества стремительно врываются в нашу жизнь", и сами спамеры, конечно, не хотят отставать от веяний моды. (Пример такого письма см. на сайте Спамтест.) Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 21,3% Без изменений 2 Другие товары и услуги Предложения других товаров и услуг 18,6% -5,4% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 10,2% +2,2% 4 Образование Реклама семинаров, тренингов, курсов 9,3% -6,2% 5 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 9,1% +6,6% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 8,6% +0,6% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 8,6% +0,6% 8 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,2% +0,2% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,0% +0,1% 10 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,6% 11 Остальной спам   Менее 2% -0,4% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Без изменений Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Записки антиспамеров. Екатерина Зудина: вредоносное творчество спамеров Среди спамеров, безусловно, есть люди, не лишенные воображения и творческих способностей, хотя направленность их творческой активности и специфическая. Некоторые из спамописателей весьма плодовиты, что не удивительно - основным стимулом к сочинительству для них являются деньги. Если создатель вредоносной программы готов платить за ее распространение, почему бы не сочинить пару-тройку историй для доверчивых пользователей, дабы они прониклись интересом, сочувствием или возмущением? Разумеется, основная цель сочинителей спама - не развлечение читателей, а провокация: пользователь должен открыть вредоносное вложение или кликнуть по вредоносной ссылке в спамовом письме. Немецкие спамеры не остаются в стороне от вредносного творчества. Их "перу", в частности, принадлежит история одного троянца, рассказанная в разных литературных жанрах. Конец этой истории во всех вариантах один: не в меру увлеченный читатель рискует получить на свой компьютер троянскую программу. Научная фантастика История эта начинается с в Берлинском метро, где, как сообщили спамеры, был найден неизвестный летательный аппарат. Произошло это во время исследования подземных туннелей, начавшегося из-за того, что многие работники метро стали жаловаться на плохое самочувствие. Подозревают, что летательный аппарат размером с автобус может иметь странное излучение, потому что вокруг его корпуса образовалась "зона молчания" (необлучаемая зона). Подробнее об этом предлагают прочитать, например, по такой ссылке: http://geocities.com/IvyBurnett2342. Как оказалось, пройдя по этой и всем другим ссылкам, предлагаемым в таких письмах, пользователь получал троянца. Детектив Потом стали появляться сообщения якобы от Web-Nachrichten Deutschlands о том, что в Мюнхене объявлен траур в связи с жестоким убийством 6 человек, которое совершил некий азиат, исчезнувший после этого в неизвестном направлении. Убийца прокрался в дом и зарезал всех его обитателей, включая 2 десятилетних девочек. Полиция (как ей и положено) в шоке и делает все возможное, чтобы найти преступника. Одна прохожая смогла дать краткое описание убийцы, на основании которого составили фоторобот. За сведения, способные оказать помощь в расследовании, обещано вознаграждение. Посмотреть фоторобот и ознакомиться с деталями предлагается, например, по ссылке http://geocities.com/JammieRheba9598, - на которой всех поджидает троянская программа. Путешествия Продолжение истории троянца не заставило себя ждать. Спамеры сообщили, что авиакомпания Berliner Airlines (на самом деле существет компания Berlin Airlines) этим летом проводит специальную акцию. Билет до любого пункта назначения внутри ЕС теперь можно будет купить всего за 20 евро, оплатив только свои страховку и топливо. Конечно, необходимо поторопиться, т.к. число мест сильно ограничено. Чтобы узнать подробности (и получить троянскую программу) предлагалось пройти по по ссылке в письме. Заметим, что письма о дешевых билетах на самолет интересны еще и тем, что авиакомпании в Германии на самом деле устраивают подобные акции и даже не только в рамках ЕС. Например, если удачно купить билет в German Wings, можно слетать в Москву и обратно всего за 40 евро. Поэтому новость на первый взгляд не выглядит совсем по-спамерски. Другое дело, что рассылки авиакомпаний производятся с соответсвующим оформлением писем и т.п., так что можно надеяться, что шансы спамеров достичь своих целей в данном случае довольно малы. На этом спамописатели не успокоились, и последовала новая серия рассылок результатов их творческих усилий. Гламурный роман Троянца пытались разослать под видом распечатки чека, который прислали пользователю, т.к. он якобы только что совершил покупку в Интернете. В некоторых случаях покупка была совершенно определенной - мобильный телефон. Любопытно, что по крайней мере в одном случае спамеры сами запутались в своих рассылках и прислали письмо про чек на покупку с темой про предложение авиакомпании. К тематике интернет-покупок относилась и следующая "троянская" рассылка с темой "Случайная блокировка счета". В письме сообщалось, что пользователь превысил баланс счета и ушел в минус на 245 евро. Авторы письма советуют, естественно, пополнить счет, а если никаких операций в ближайшее время не проводилось, пройти по ссылке для выяснения причин. Само собой разумеется, что ни указания банка или платежной системы, где открыт счет, ни номера счета нет. Интересно, что в качестве отправителей писем спамеры указывают либо eBay support [support@ebay.de] (при этом ссылка выглядит как http://ebay.de/online/, но на самом деле ведет на сайт http://geocities.com/ClinePraia8985), либо Info-Center [service@dwhh.de] (тогда ссылка, которую пользователь видит как http://dwhh.de ведет на сайт http://geocities.com/TaborOlympic5521). Адреса страниц, на которые ведут ссылки спамовых писем, не случайно кажется знакомым тем, кто следит за творчеством спамеров - как уже догадались читатели, на этих страницах пользователей ждал троянец. Кстати, на сайте, который открывается по реальной ссылке http://dwhh.de, висит предупреждение о такого рода письмах. Но и это оказался не конец - безудержное творчество спамеров превзошло самые смелые ожидания. Мистический триллер Поледнее на данный момент письмо из этой серии имеет вопиющую тему "Душевнобольной Папа Римский!". В нем сообщается, что их (т.е. немец по происхождению) Папа Римский Бенедикт XVI переступил границу здравомыслия. Авторы призывают всех пользователей немедленно выйти из секты, которая называет себя "Католическая церковь", чтобы не быть причастными к новым античеловеческим акциям Ватикана. Основания подобного заявления предлагают посмотреть по ссылке. Что именно ожидает там любопытных получателей творений спамописателей - уже не новость. Выпущен Critical Fix 1 для Kaspersky Anti-Spam 3.0 (3.0.274.0) Что нового По сравнению с версией Kaspersky Anti-Spam 3.0 MP1 (3.0.255.0) были выполнены следующие изменения. Улучшены методы борьбы с "графическим" спамом, то есть средства анализа графических вложений. Реализованы новые алгоритмы обработки и идентификации однотипных картинок с текстовым содержимым, технологии GSG-8 и GSG-9. Добавлена поддержка платформы FreeBSD 6.2. Больше не поддерживается платформа FreeBSD 4.11. Для утилиты uds-rtts.sh добавлена новая функциональность (новый аргумент '-a') для проверки работоспособности системы UDS. Исправлено По сравнению с Kaspersky Anti-Spam 3.0 MP1 (3.0.255.0) решены следующие проблемы. Устранено возможное завершение с ошибкой модуля kas-pipe (модуля для интеграции с postfix и exim) при неверных параметрах конфигурации. Исключена возможность доступа неавторизованных пользователей к некоторым каталогам Центра управления. Исправлена неверная обработка списка защищенных доменов при их написании в верхнем регистре. Устранены проблемы при работе с DNSBL-серверами. Улучшена детализация информации, заносимой в отчет о работе модуля kas-qmail, предназначенном для интеграции с qmail. Улучшена обработка конфигурационных параметров в модуле kas-cgpro, предназначенном для интеграции с почтовым сервером Communigate Pro, и обеспечена корректность его поведения при ошибках на сервере фильтрации. Исправлена информация об адресах Службы технической поддержки ЗАО <Лаборатория Касперского>. Улучшена интеграция приложения с почтовым сервером postfix. Обновление версии Kaspersky Anti-Spam 3.0 или версии Kaspersky Anti-Spam 3.0 MP1 - см. на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005