Электронный журнал "Спамтест" No. 197 в этом номере: Новости Спам - статистика за период 16 - 29 июля 2007 г. Спам - второй квартал 2007 года Новости В арсенале спамеров появились Excel-файлы 26.07.2007 В арсенале спамеров, занимающихся реализацией мошеннической схемы "pump and dump" (накачка и сброс), появился новый формат - Excel. Эксперты Commtouch сообщают, что ими было зафиксирован спам, продвигающий акций, с именами вложенных файлов типа "invoice20202.xls", "stock information-3572.xls" и "requested report.xls." Электронные таблицы Excel при этом содержат незапрашиваемое сообщение, в лучших традициях "pump and dump" рекламирующее якобы "горячие", находящиеся на стадии роста, акции некоторых компаний. При этом акции уже выкуплены мошенниками, чья задача теперь максимально выгодно их сбыть. Как только цена акций становится достаточно высокой, спамеры продают их, а ответственность за последующее ее падение ложится на обманутых пользователей. "Переход к формату Excel - логичное решение для спамеров, которые находятся в постоянном поиске чего-то еще не известного спам-фильтрам", - считает Ребекка Стейнберг Эрсон (Rebecca Steinberg Herson), старший управляющий по маркетингу компании Commtouch в Калифорнии. - "Со временем спам-фильтры фиксируют новые уловки спамеров, становятся более чувствительными и уже завоевали популярность среди пользователей. Ранее спамеры использовали рассылку графического спама, но как только спам-фильтры научились отсеивать и изображения, на смену им пришли вложения в формате PDF... Спамеры пробуют все новые и новые форматы". Представители Commtouch полагают, что Excel-спам рассылается при помощи "зомби"-компьютеров, зараженных вредоносным ПО. По данным, представленным менеджером компании IronPort Ником Эдвардсом (Nick Edwards), объемы акций, продвигаемых при помощи спама в формате Excel, за неделю с 16 по 23 июля выросли с 1000 до 40000. Это подняло их цену в среднем с 15 до 23 центов за акцию. По мнению экспертов Commtouch, спамеры использовали Excel, потому что в июне-июле 2006 года уже были зафиксированы атаки, эксплуатирующие уязвимости в программном обеспечении Microsoft, в частности, в Excel, Microsoft Word и PowerPoint. Для проверки нового метода рассылки спама спамеры бросают "пробный шар" в небольших объемах. Если получен хороший отклик, спамеры запускают массовую атаку. А значит, теперьможно ожидать появления спама в файлах Word и PowerPoint. Источник: YAHOO! News Корпоративные пользователи не довольны эффективностью спам-фильтрации 30.07.2007 Результаты опроса, проведенного компанией Brockmann & Company, показали, что большинство корпоративных пользователей недовольны спам-фильтрами, которыми они пользуются. Недовольство пользователей вызывает как низкая эффективность фильтров, пропускающих спам, так и ложные срабатывания. По словам Питера Бокманна (Peter Brockmann), автора исследования и главы Brockmann & Company, 36% компаний, участвовавших в опросе, понесли ущерб, связанный с тем, что деловая корреспонденция была отфильтрована как спам. В опросе участвовало 520 сотрудников различных компаний, работающих в сфере IT, продаж, маркетинга, финансов, HR, администраторы и менеджеры среднего звена. В ходе исследования респондентов попросили оценить 8 категорий антиспам-технологий. Оказалось, что шестью из восьми категорий более 70% опрошенных "не очень довольны". Коммерческим софтом, фильтрующим спам, полностью удовлетворены только 22% респондентов. Фильтрами, интегрированными в почтовые клиенты, согласно результатам исследования, довольны только 21% опрошенных. Такой же низкий уровень оценки получили услуги хостинг-провайдеров, обеспечивающих защиту от спама бизнес-клиентов, устройства для фильтрации спама и репутационные системы Commtouch, IronPort и Spamhaus, известные как "real-time black lists". Самую низкую оценку получили open source решения, такие как SpamPal и SpamAssassin, - ими довольны всего 16% опрошенных. Меньше всего жалоб вызвала работа систем, использующих технологию запрос-ответ (challenge-response), которыми довольны 67% респондентов. Использование таких технологий позволяет письмам от известных отправителей беспрепятственно попадать в почтовые ящики получателя. Неизвестному отправителю для этого необходимо подтвердить, что письмо было действительно отправлено им: на его адрес высылается запрос, в котором отправителя просят либо отправить письмо-подтверждение, либо кликнуть по ссылке, либо посетить веб-сайт и подтвердить отправку письма. На втором месте по отзывам пользователей оказались почтовые сервисы, предлагающие услугу спам-фильтрации, такие, как Google-Postini, AppRiver и MXLogic. Им доверяют 42% респондентов. Как заявил Брокманн, они используют свои центры передачи данных и таким образом способны вычистить гигантское количество почты и обнаружить подозрительные письма. По данным Брокманна, в среднем каждый пользователь получает 11 нежелательных сообщений в день, что составляет 15% всех писем. Эти цифры учитывают работу спам-фильтров. В неотфильтрованных потоках спам составляет порядка 90% всех писем. Источник: TechWorld Авторы "штормового троянца" создают новые ботнеты 31.07.2007 По данным компании Postini, спамеры провели наиболее широкомасштабную атаку за последние 2 года, целью которой было создание ботнетов. Спам-сообщения содержали ссылки, переводящие пользователя на сайт, с которого на его компьютер устанавливается вредоносное ПО. В результате этого машина становится частью зомби-сети, и сама превращается в источник спама. В ходе атаки было зафиксировано 200 млн. спам-сообщений, отсылающих пользователей к вредносным сайтам. До начала атаки Postini регистрировала 1 млн. зараженных писем ежедневно, а в период атаки только на один из дней пришлось 42 млн. спамовых писем, связанных с "штормовым" троянцем. "Мы оказались в эпицентре невероятно масштабной атаки", - сказал Адам Свайдлер (Adam Swidler), старший менеджер компании Postini. "Атака продолжалась 9 дней и стала самой длительной из всех, с которыми мы сталкивались". Это не первая спам-атака, целью которой является заражение компьютеров пользователей "штормовым" троянцем и создание нового ботнета. Все подобные рассылки отличались агрессивностью и массовостью. Пол Генри (Paul Henry), вице-президент по технологиями Secure Computing, заявил, что ранее в июле таким же образом рассылались электронные поздравительные спам-открытки. "Декабрьский пик рассылки поздравительных спам-сообщений мы объясняли праздниками и считали, что следующая волна придется на День независимости, после чего она сойдет на нет. Однако на протяжении нескольких последних недель мы наблюдаем уровнь "поздравительного" спама, аналогичный декабрьскому". Сообщение в электронных открытках инсталлирует руткиты, и тем самым включает компьютер в зомби-сеть. Источник: InformationWeek Спамеры переходят на PDF-формат - надолго ли? 01.08.2007 Совершенствование корпоративных спам-фильтров привело к тому, что спамеры стали использовать для рассылок по корпоративным адресам электронной почты вложения в виде PDF-файлов. В результате объемы обычного графического спама, который еще в начале года составлял почти 60% от общего потока, снизились до 15%. Такие приливы и отливы различных видов спама являются отражением "гонки вооружений" между спамерами и сетевыми защитниками. Графический спам выделился в отдельное направление в конце 2006 года как способ продвижения акций и манипуляции внебиржевыми рынками ценных бумаг. Вскоре графический спам появился в других категориях, а его масштабы в январе 2007 года достигали 2/3 спам-трафика. По словам Мэта Саджента (Matt Sergeant), главного антиспам-технолога компании MessageLabs, объемы графического спама были столь велики, что крупные компании стали блокировать массовые сообщения с вложенными изображениями. Поэтому спамеры вынуждены были изменить тактику и стали экспериментировать с PDF-файлами. В середине июня компании по сетевой безопасности признали вложения в формате PDF отдельной категорией спама, но при этом их оценки масштабов бедствия довольно сильно различались. McAfee оценила объемы PDF-спама в 2,6%, а Symantec посчитал, что доля этой категории спама составляет от 2 до 7% от общего объема. По данным MessageLabs, PDF-спам составляет около 20% от всего графического спама. При этом PDF-спам ведет к увеличению спам-трафика, поскольку вложения в формате PDF более тяжелые, чем другие графические форматы. "С точки зрения спамеров, преимущество PDF в том, что этот формат широко используется в деловом мире, поэтому организации требуют, чтобы их почтовые системы обеспечивали беспрепятственную передачу PDF-документов пользователям", - объясняет Менаш Элизе (Menashe Eliezer), руководитель антиспам-исследований компании Commtouch. В настоящее время спамеры активно экспериментируют с PDF-вложениями, пытаясь найти "слабые места" фильтров. Однако эксперты считают, что эффективность и, как следствие, будущее PDF-спама зависит, в том числе, и от того, будет ли получатель просматривать вложенный файл. Если PDF-спам не даст прироста просмотров, то его активное использование продлится недолго. Источник: SecurityFocus Спама в блогах и на форумах станет больше 01.08.2007 Вирусописатели создали программу Xrumer, позволяющую автоматически публиковать на форумах и в блогах спам и ссылки на сайты с вредоносным ПО. Чаще всего спам в блогах используют для рекламы разнообразных подозрительных таблеток или для повышения узнаваемости сайтов поисковиками. Злоумышленники стали использовать ту же тактику для привлечения посетителей на зараженные сайты. До недавнего времени для массовой публикации комментариев требовались хотя бы минимальные навыки программирования. Но с появлением XRumer, как утверждают создатели программы, даже "зеленый" новичок, заплатив за нее около $450, сможет публиковать более 1100 комментариев менее чем за 15 минут. Обычно для защиты от автоматической регистрации при помощи ботов подозрительные IP блокируются, а пользователь должен пройти тест CAPTCHA - распознать буквы и цифры на изображении, подтвердив тем самым, что регистрируется человек, а не бот. Специалисты компании PandaLabs, внимание которых привлекла спамерская новинка, сообщают, что XRumer способен распознать текст на изображениях нескольких типов и содержит длинный список IP-адресов, которые могут быть использованы при регистрации. XRumer может публиковать спам на сайтах, созданных с помощью phpBB, PHP-Nuke (с любыми модификациями), yaBB, VBulletin, Invision Power Board, IconBoard, UltimateBB, exBB и phorum.org. Как правило, опубликованное спам-сообщение содержит ссылку на зараженный сайт, но метод годится и для распространения на форумах и в блогах спам-рекламы. Источник: The Register Спам - статистика за период 16 - 29 июля 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама К концу июля доля спама в почте Рунета вплотную приблизилась к 80%. Усредненный показатель за период 16 - 29 июля составил 78,9%. Пик спама пришелся на 17 июля (доля спама в почте - 81%). Во многом это связано с волной спама в pdf-вложениях, хотя мусорной почты в обычных форматах во второй половине месяца было больше, чем обычно. Вновь увеличилось количество предложений спамерских услуг - тематика "Услуги по электронной рекламе". В последнюю неделю июля доля таких предложений составила 6,7%. На высоком уровне удерживается доля спама тематики "Другие товары и услуги", представленная по большей части русскоязычными предложениями товаров и услуг. Многие из рекламируемых спамерами товаров весьма экзотичны и вызывают некоторое недоумение. Например, услугами спамеров пользуются маги, гадалки и прочие "специалисты широкого эзотерического профиля". Еще одно необычное предложение принадлежало одной звукозаписывающей компании. Предлагая, по сути, стандартные услуги, спамеры применили оригинальный ход, сделав упор на необычном использовании записанного материала - потенциальных покупателей уверяют в том, что им самим будет приятно обнаружить запись своего голоса "через двадцать лет". За период 16 - 29 июля спамеры пытались освоить новые приемы обхода фильтров и доставки спама пользователям. В этот раз разрабатывались возможности разных типов вложений. Спамеры форсировали рассылку спама в pdf-вложениях, а когда идея pdf стала давать меньше откликов (пользователи стали осторожнее относиться к таким вложениям и перестали их открывать), попробовали другие типы вложений. Например, архив формата zip. Примечательно, что, рассылая архивы, спамеры добавили в текст сообщения предупреждение о возможной вирусной опасности, таящейся в архивированных вложениях от незнакомых отправителей, и о необходимости сканировать входящую почту и вложения антивирусными программами. В данном случае спамеры ничем не рисковали, т.к. в архиве был спам, а не вредоносное ПО - антивирус сочтет вложение безвредным. Зато пользователи будут более доверчивы по отношению к отправителю, который заботится о безопасности почты получателя. По содержанию спам последних двух недель июля в zip-ах содержал все тот же инвестиционный спам - продвижение акций. Популярные тематики No Тематика Описание Доля тематики 16-22 Доля тематики 23-29 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 21,8% 21,6% 2 Другие товары и услуги Предложения других товаров и услуг 19,6% 18,5% 3 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 10,5% 11,9% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 10,8% 10,6 5 Образование Реклама семинаров, тренингов, курсов 7,3% 7,6% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 5,9% 6,7% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,5% 6,7% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2,2% 2,4% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 5,1% 2,4% 10 Остальной спам   1,9% 2,4% 11 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Менее 2% 12 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Менее 2% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам - второй квартал 2007 года Анна Власова, "Лаборатория Касперского" Факты Минимум спама в почте Рунета: 62,9% - 27 апреля 2007 Максимум спама в почте Рунета: 86,0% - 28 мая 2007 Средняя доля спама: 70-80% от всей почты Рунета 1/5 всего спама (20,5%) - реклама виагры и других медикаментов, в основном, средств для усиления потенции и антидепрессантов. Актуальные тенденции Спамеры продолжают эксперименты: новые способы доставки графических файлов пользователю. Спам в pdf-вложениях. Спам в pdf и прочие спам-новшества как альтернатива "традиционному" графическому спаму Второй квартал 2007 года подтвердил наметившуюся в начале года тенденцию к снижению доли "графического" спама (спам во вложениях формата gif, jpeg и т.п.): апрель - 23,0%; май - 19,3%; июнь - 18,8%. По сравнению с первым кварталом 2007 года снижение замедлилось, но тенденция сохраняется. Эксперты "Лаборатории Касперского" полагают, что основная причина падения доли "графического" спама - снижение его эффективности. Многие спам-фильтры уже неплохо работают с вложенными графическими файлами и вполне способны блокировать спам "в картинках". Об успехах в развитии новых технологий, анализирующих графическую часть сообщения, уже достаточно давно заявили известные производители антиспам-софта, которые обеспечивают защиту от всех видов спама, включая "графический". Значит ли это, что спамеры откажутся от графики? Нет, они ищут новые пути доставки графической информации, кроме привычных уже вложений форматов gif и jpeg. Во втором квартале 2007 года они опробовали как минимум3 новых способа доставки и демонстрации пользователю "картинки": Размещение графических файлов на страницах бесплатного хостинга изображений (например, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com и т.п.). В теле спамерского сообщения указывалась ссылка на URL с "картинкой". Когда получатель открывал сообщение, в большинстве популярных мейлеров изображение подгружалось с указанного URL. Использование спамерской "картинки" в виде фонового изображения. Графический файл не вкладывался в сообщение, а, опять-таки, публиковался на том или ином сайте. В теле сообщений был указан только URL сайта, помещенный в тэг 'body', атрибут 'background'. В результате изображение могло автоматически подгружаться в некоторых мейлерах, а также в веб-интерфейсах части почтовых служб. Спам с вложениями формата pdf. Этот вид вложений не открывается и не подгружается автоматически. Чтобы увидеть спамерский контент, пользователь должен самостоятельно открыть вложение. В первых двух нововведениях ставка была сделана на то, что спамерское изображение не вложено в сообщение. Тем самым у спам-фильтров нет материала для анализа. В последнем случае изображение приложено, но формат вложения таков, что многие программы фильтрации его игнорируют. В итоге полноценный анализ спамерского контента не проводится. Если первые две новинки не нашли широкого распространения - по крайней мере, пока, - то спам в pdf-вложениях уже создал проблемы многим программам фильтрации. Хотя проблемы эти вполне решаемы. Например, фильтр Kaspersky Anti-Spam оснащен необходимыми средствами борьбы со спамом в pdf-вложениях и способен противостоять новому виду спама без дополнительных программных изменений. Трудно прогнозировать, насколько жизнеспособным окажется спам в pdf-вложениях. Это зависит как от скорости реакции крупных производителей спам-фильтров, так и от пользователей - насколько активно они будут открывать вложения. "Pdf-атака" вполне может оказаться скоротечной. Пока нет причин считать, что pdf-спам придет на смену "традиционному" графическому спаму. По данным на конец июня его доля в общем объеме спама составляет 2-6%. Долевое и тематическое распределение спама Во втором квартале 2007 года спам держался на уровне 70-80% от общего объема почты в Рунете. Минимальное значение - 62, 9% - было зафиксировано 27 апреля, максимальное - 86,0% - 28 мая. Пятерка тематических лидеров в спаме за второй квартал выглядит так: "Медикаменты; товары и услуги для здоровья" - 20,5% от всего спама "Образование" - 12,3% "Компьютеры и Интернет" - 9,3% "Компьютерное мошенничество" - 9,0% "Отдых и путешествия" - 8,1% В этом квартале спам, предлагающий медикаменты и товары для здоровья, занял лидирующую позицию. Его доля увеличилась на 6,5% по сравнению с первым кварталом. Наряду с уже привычными англоязычными предложениями виагры и антидепрессантов, спам этой тематики пополнился русскоязычными предложениями услуг и товаров для здоровья: массажные очки, пособия по отказу от курения и абонементы в фитнес-клубы. Постепенный спад доли спама категории "Личные финансы", наблюдавшийся практически с начала года, привел к тому, что тематика полностью сдала свои позиции (рекордно низкие 2,1% в последнюю неделю мая), вышла из пятерки лидеров и теперь составляет всего 4,7% от общего потока спама в Рунете. Вредоносные программы и спам "в одном флаконе" Целью спама все чаще является не столько продвижение товара/услуги, и даже не мошенничество в том или ином виде, а сам пользователь. Точнее - его персональный компьютер. Спам несет с собой вредоносные программы или ссылки на них. Открывая вложение или переходя по ссылке, пользователь рискует заразить свой компьютер, после чего его машина превратится в звено ботнета, может быть использована для DDoS атаки и пр. Это не новость, тенденция к киберкриминализации спама, его сращению с различной вредоносной деятельностью наблюдается уже давно. Но второй квартал 2007 года дал очередной повод задуматься о том, насколько далеко зашел этот процесс. За три месяца прошло множество спам-рассылок со ссылками якобы на откровенные фотографии, интересные сайты и т.п., которые на самом деле вели к источнику, откуда пыталась загрузиться троянская программа. Во всех таких рассылках спамеры играют на немудреных человеческих страстях: любви к бесплатному сыру, сексуальных интересах. Но теперь они решили использовать еще одну слабость обывателя - интерес к чужой частной жизни, желание подслушивать и подсматривать. В начале июня 2007 года по Рунету прошел спам с предложением скачать ПО, которое якобы способно скачивать SMS-сообщения с чужих мобильных. В действительности пользователь скачивал троянскую программу удаленного администрирования Backdoor.Win32.IRCBot.abc. Этот спам вызвал некоторый переполох среди пользователей мобильной связи. Операторы мобильной связи были вынуждены отвечать на вопросы абонентов, объясняя им, что в реальной жизни не существует программ, обладающих подобными возможностями и способных "перехватить" или скачать с СИМ-карты чужие SMS-сообщения. Чуть позже пользователи западного сегмента Интернета подверглись сходной по целям спам-атаке, но мотивация для клика по ссылке, откуда грузился вредоносный софт, была уже другой. Спам маскировался под уведомление от Microsoft и содержал предложение скачать обновление для обеспечения безопасности своего компьютера. Эксперты "Лаборатории Касперского" в очередной раз предупреждают: спам опасен. Соблюдайте меры компьютерной гигиены, не открывайте вложения в спаме. И не забывайте, что ни Microsoft, ни Билл Гейтс лично, ни банки и прочие крупные организации не рассылают по электронной почте обновления программ. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005