Электронный журнал "Спамтест" No. 208 В этом номере: Новости Спам-статистика за период 29 октября - 04 ноября 2007 г. По следам спамовой рекламы Новости Троянцы в pdf-формате 01.11.2007 Эксперты по сетевой безопасности зафиксировали две массовые спам-рассылки с Gmail-аккаунтов, "заряженные" троянскими программами под видом pdf-вложений. Во время первой рассылки специалисты iSight заблокировали более 75000 вредоносных писем, регистрируя новое письмо каждые 10 секунд. Спамовые сообщения с малограмотными англоязычными заголовками "INVOICE alacrity", "INVOICE depredate", "STATEMET indigene" были лишены текстового контента, но содержали вложенный pdf-файл под одним из следующих имен: "INVOICE.pdf", "YOUR_BILL.pdf", "BILL.pdf" или "STATEMET.pdf". При открытии последнего на компьютер жертвы загружалась троянская программа семейства Exploit.Win32.PDF-URI. Согласно экспертным данным, злонамеренные послания эксплуатируют уязвимость в схеме реализации протокола "mailto:" (CVE-2007-5020) в браузере Internet Explorer 7 под управлением Windows XP и Windows Server 2003. Компания Adobe Systems уже выпустила патч для последних версий своих продуктов Adobe Reader и Adobe Acrobat, но далеко не все пользователи успели его установить, чем и воспользовались злоумышленники. Специалисты Microsoft обещают выпустить собственный патч в составе ноябрьского пакета обновлений для Windows. Названный троянец отключает брандмауэр Windows на резидентном ПК и с находящегося в России (IP-адрес 81.95.146.130, зарегистрирован в сетях RBN) ftp-сервера загружает программу-downloader. Последняя, в свою очередь, устанавливает в директорию Windows итоговый компонент - новый вариант троянской программы Gozi - Gozi.f. Троянец Gozi, в классификации "Лаборатории Касперского" носящий имя Small.bs, появился в Интернете в конце прошлого года и в экспертных кругах известен как программа, специализирующаяся на хищении банковских реквизитов, введенных в типовые веб-формы, даже если они защищены SSL-шифром. Хостинг Gozi также зарегистрирован в сетях RBN (IP-адрес 81.95.147.107). Специалисты Secure Works предполагают, что инициатором второй атаки является другая группа злоумышленников, использующая для первоначального инфицирования машин жертв собственные эксплойты, в том числе вариант Zeus троянской программы PRG Trojan. Экперты F-Secure называют данный эксплойт Exploit:W32/AdobeReader.K. Для загрузки даунлоадера (названного в F-Secure Trojan-Downloader.Win32.Small.gkc) и итогового троянца он использует протокол BITS - облегченный вариант протокола на базе HTTP, применяемый Microsoft для рассылки своих обновлений в обход брандмауэра. В качестве вредоносного хостинга данная группа спамеров использует серверы в Малайзии и Швеции. По данным F-Secure, заголовки и имена вредоносных вложений во второй спам-рассылке отличаются безупречностью с точки зрения правописания (например, "Your Credit File", "Personal Financial Statement", "Balance Report"; "report.pdf", "debt.2007.pdf", "overdraft.2007.10.26.pdf", "INVOICE2.pdf", "debt.2007.10.26.9790416.pdf"). По оценке Marshal, рассылаемые второй группой спамеров вредоносные письма в настоящий момент составляют 1% от общего объема спама в Интернете. Исследователи Secure Works полагают, что их количество уже превысило объем первоначальной спам-рассылки с "троянскими" pdf-вложениями. Исходя из специфики устанавливаемых на компьютер жертвы троянских программ, эксперты Symantec подчеркивают целевой характер описанных атак. Кроме того, pdf-формат широко используется в деловой переписке, и письма с pdf-вложениями обычно не блокируются спам-фильтрами, что повышает вероятность доставки спамовых писем пользователям. В заключение стоит отметить, что процент инфицирования пользовательских ПК оказался столь высок, что частые обращения к веб-хостингам вредоносных программ перегрузили сетевой трафик злоумышленников. Владельцам вредоносных ресурсов пришлось закрыть их - надолго ли?.. источник: eWEEK источник: F-SECURE "Штормовой" троянец в праздничном наряде 02.11.2007 Повелители "штормового" троянца не обошли вниманием популярный осенний праздник Хэллоуин. Перехваченные специалистами по безопасности спам-рассылки завлекают пользователей на вредоносный веб-сайт, который символично демонстрирует танцующий скелет. Согласно экспертной оценке, спамовые сообщения оформлены без прикрас и снабжены привлекательными заголовками: "Dancing skeleton", "Halloween Fun", "This will make you laugh", "Show this to the kids", "Watch him dance" ("Танцующий скелет", "Веселый Хэллоуин", "Повеселись", "Покажи детям", "Вот так танец") и т.п. В качестве ссылки спамеры приводят в письмах IP-адрес веб-страницы, содержащей эксплойты. При попытке получателя опасного послания посмотреть забавную картинку на его компьютер автоматически загружается троянский файл "halloween.exe". Анимированная картинка снабжена дополнительными ссылками, загружающими идентичный файл. Троянская программа опознана исследователями F-Secure как Email-Worm.Win32.Zhelatin.LJ. Эта вредоносная атака - не единственная попытка злоумышленников воспользоваться тематикой праздника. Недавно в Sophos была зафиксирована спам-рассылка, рекламирующая веб-сайт с атрибутикой Хэллоуина. Посетителям сайта спамеры сулят подарочную карту на сумму 250 долларов и запрашивают массу персональной информации, включая кредиты на образование и вредные привычки. По данным компании Marshal, вредоносные сообщения, начиненные "штормовым" троянцем, в настоящее время составляют 20% от общего объема спама в Интернете. В оценке количества зараженных компьютеров, входящих в состав задействованного в рассылке "штормового" спама ботнета, специалисты колеблются и называют цифру от 1 до 5 миллионов. Источник: MARSHAL Посмотри стриптиз - помоги спамеру 02.11.2007 Специалисты Trend Micro обнаружили троянскую программу, которая предлагает пользователям посмотреть стриптиз в обмен на расшифровку контрольных изображений (система CAPTCHA), используемых при регистрации новых аккаунтов в Yahoo! Mail. По данным Trend Micro, троянец с именем TROJ_CAPTCHAR.A загружается на инфицированный компьютер резидентной вредоносной программой и активируется при подключении к Интернету. Он выводит на экран изображение пикантной блондинки. Виртуальная Мелисса раздевается по мере того, как пользователь поочередно расшифровывает символы на сопровождающих картинку контрольных изображениях и корректно вводит их в специальное поле. Предлагаемые любителям стриптиза изображения для расшифровки вполне реальны и позаимствованы спамерами с веб-сайтов, которые применяют CAPTCHA для предотвращения автоматической регистрации аккаунтов и использования последних в криминальных целях, в том числе для рассылки спама. Киберпреступники не оставляют попытки взломать этот высокоэффективный механизм защиты сетевых ресурсов от ботов. Летом 2007 года румынская антивирусная компания BitDefender обнаружила специализированного троянца Trojan.Spammer.HotLan, использующего методику оптического распознавания образов для расшифровки контрольного изображения. Троянская программа TROJ_CAPTCHAR.A устанавливается на компьютеры под управлением Windows 98/ME/NT/2000/XP/Server 2003. По мнению экспертов Trend Micro, данный трюк спамеров может претендовать на успех среди сильной половины среднестатистических пользователей Интернета. Программа-приманка разошлась по Сети ограниченным тиражом и, по всей видимости, проходит период "обкатки". Источник: BBC Marshal: объемы спама и фишинговых атак из России достигли небывалой величины 02.11.2007 Как показывает статистика Marshal, объемы спама, рассылаемого непосредственно с российских IP-адресов, до сих пор были довольно незначительными по сравнению с показателями других стран. Однако за последние два месяца уровень спама российского происхождения вырос втрое; в настоящее время нелегитимные сообщения из России составляют 9% от общего объема спама в Интернете. В рейтинге стран-источников спама, регулярно обновляемом Marshal, Россия в настоящий момент занимает 2 место. По данным компании, большую часть спама, рассылаемого из России, составляет реклама Виагры и аналогичных медицинских препаратов. Неизменным лидером в рейтинге стран-спамеров являются США, на долю которых приходится более 15% мирового спам-трафика. Специалисты Marshal зафиксировали также всплеск агрессивности российских фишеров: за предпоследнюю неделю октября количество фишинговых атак с территории России увеличилось с 3,8% до 20% (практически впятеро) от общемирового показателя. За тот же период США опустились со второй позиции рейтинга Marshal по странам-источникам фишинга на девятую. В настоящее время, по оценке Marshal, североамериканские фишеры по уровню активности сильно уступают своим "коллегам" из Южной Америки, Азии и Европы. Последняя значительно опережает по числу фишинговых атак прочие континенты, лидируя в континентальном рейтинге Marshal с показателем около 70% от общего числа атак фишеров в Интернете. Источник: MARSHAL Отчет MessageLabs по спаму: октябрь 2007 г. 06.11.2007 Согласно очередному отчету MessageLabs, уровень спама в октябре 2007 г. несколько повысился по сравнению с предыдущими месяцами и составил 74,5% всего почтового трафика. Большинство зафиксированных экспертами компании нелегитимных сообщений были выполнены в текстовом либо в html-формате. По данным MessageLabs, в отчетный период графический спам составил менее 10% глобального спам-трафика; на долю спамовых писем с вложениями (в форматах ".pdf", ".zip", ".rar", ".xls", ".rtf") пришлось менее 1% от общего объема спама в Интернете. В середине октября специалисты MessageLabs зафиксировали многотиражную рассылку "биржевого" спама со "штормового" ботнета, в которой использовались вложения в mp3-формате. В течение полутора суток в MessageLabs было заблокировано 15 миллионов подобных посланий, составивших, по экспертным оценкам, 5-10% от общего объема спама в данный период. Исследователи MessageLabs подчеркивают экспериментальный характер спам-рассылки и прогнозируют дальнейшее развитие этой спамерской технологии. По их предположениям, со временем спамеры могут перейти от использования писем с mp3-файлами к размещению рекламных аудиозаписей на бесплатных веб-хостингах (например, YouTube, Google Video, MySpace), как это уже наблюдалось в ходе эволюции графического спама. Не исключено, что в сферу дальнейших экспериментов спамеров будут также включены видео- и ppt-форматы. Что касается географического разделения спама, основной мишенью спамеров по-прежнему остается Израиль, на долю которого, по данным MessageLabs, в октябре пришлось 77,1% от мирового объема спама. В отчетный период специалисты MessageLabs отметили уменьшение уровня спама во всех профессиональных сферах деятельности. Наибольшее количество нелегитимных сообщений зарегистрировано в секторе телекоммуникаций (60,8% от общего объема спама), меньше прочих спам получали финансовые структуры (29,5%). По оценке MessageLabs, количество вредоносных писем, рассылаемых по каналам электронной почты, в октябре уменьшилось: носителем вируса было в среднем 1 письмо из 161,5. Исследователи компании объясняют это снижением активности "штормового" троянца, особенно досаждавшего интернет-сообществу в августе и сентябре 2007 г. Атаки фишеров в октябре стали реже - по данным MessageLabs, фишинговым было 1 письмо из 174. Однако по сравнению с другими злонамеренными атаками, проводимыми с использованием почтового сервиса, фишинг достиг рекордного уровня: послания фишеров составили 92,8% всего вредоносного трафика. В заключение стоит отметить, что почти половина вредоносных программ, обнаруженных специалистами MessageLabs в октябре, не были зарегистрированы в базе данных компании. Количество новых вредоносных веб-сайтов, ежедневно регистрируемых экспертами, увеличилось на 63% и составило в среднем 1100. Источник: MESSAGELABS Источник: MARKETWIRE Жертву "нигерийцев" освободили из неволи 07.11.2007 В результате международной операции, предпринятой Интерполом совместно с полицейскими подразделениями Ирландии и Ганы, 49-летний ирландец был освобожден из рук похитителей, которые удерживали его в заложниках, требуя выкуп. Поняв, что стал жертвой онлайн-мошенников, Джеймс Лафферти (James Lafferty) отправился в Гану за своими деньгами, вложенными в фиктивные предприятия. Доверчивый инвеститор был захвачен участниками мошеннической схемы и пять дней провел под их охраной в номере столичного отеля. Похитители связались с его родственниками и коллегами по работе, требуя выкуп за его освобождение. Ирландские детективы, узнав об исчезновении Лафферти, подключили к розыскам Интерпол и полицию Ганы. Получив наводку от информатора, африканские полицейские провели рейд и освободили заложника. В ходе операции был задержан один из участников похищения, который сообщил на допросе, что похитители не были вооружены. Сотрудники консульства в Аккре готовят возвращение Лафферти на родину. Источник: BBC Спам-статистика за период 29 октября - 04 ноября 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 85%. Тематическое распределение спама на прошедшей неделе претерпело серьезные изменения в рубриках "Медикаменты; товары/услуги для здоровья" (-18,6%), "Другие товары и услуги" (+13%) и "Образование" (+9,4%). Несколько понизилась и доля спама тематики "Услуги по электронной рекламе" (-4,9%). В преддверии ноябрьских праздников не обошлось без спама с приглашением принять участие в праздничной демонстрации, посвященной "90-летию Великого Октября". Любопытно, что данная рассылка была анонимной не только с технической точки зрения - в письме не упоминается ни автор приглашения, ни организаторы демонстрации. В остальном прошедшая неделя ничем примечательным не отличилась. Однако некоторые тенденции все же можно выделить. В первую очередь это касается сезонного спама. Спамеры разослали последнюю порцию предложений отдыха на ноябрьские праздники и переключились на Новый год: реклама новогодних туров и корпоративных вечеринок - чемпионы рубрики "Отдых и путешествия". Также вполне значимая доля рассылок этой тематики посвящена рекламе театральных постановок, составляющей на данный момент конкуренцию "новогодним" рассылкам. Любопытно, что в англоязычном спаме реклама театральных постановок полностью отсутствует, а большая часть англоязычных рассылок рубрики "Отдых и путешествия" посвящена концертам и вечеринкам. В русскоязычных почтовых потоках также присутствует реклама концертов и вечеринок (к примеру, на прошедшей неделе зафиксирована рассылка, анонсирующая выступление Киркорова), но число "театральных" рассылок значительно их превосходит. Другая рубрика, чутко реагирующая на приближение Нового года, - "Полиграфия". Сувениры с корпоративной символикой особенно востребованы в преддверии этого праздника. Немалой популярностью пользуются и календари. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 25,3% +13,0% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 18,9% -18,6% 3 Образование Реклама семинаров, тренингов, курсов 18,5% +9,4% 4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7,6% -0,9% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,2% -0,7% 6 Остальной спам   5,6% +2,1% 7 Полиграфия Визитки, календари, печать, услуги типографии и пр. 4,0% +2,5% 8 Юридические услуги и аудит Предложения юридических услуг 4,0% +2,5% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,6% +1,5% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2,8% -2,2% 11 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,0% -2,4% 12 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. менее 2% -4,9% 13 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% -1,5% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. По следам спамовой рекламы Татьяна Никитина Сотрудник отдела IT-безопасности софтверной компании CA Марк Уэйд (Mark Wade) сделал контрольную закупку по разосланной спамерами рекламе и проследил все источники, связанные с оформлением заказа. Получив по электронной почте письмо со спамерской рекламой дешевых часов марки "Ролекс", Уэйд обратил внимание на адрес отправителя - cherylcn@hisplacechurch.com. Как выяснилось, домен был зарегистрирован на небольшую церковь в штате Вашингтон, а электронный адрес принадлежал ассистенту пастора Черил Нефф (Cheryl Neff). По всей видимости, церковный компьютер был инфицирован и контролировался спамерами или они просто использовали адрес Черил в числе прочих в этой спам-рассылке. Исследовав несколько идентичных спамовых писем, Уэйн составил список из 9 разных URL, предлагаемых спамерами в качестве адресов интернет-магазинов. Все они оказались зарегистрированы в Китае, причем 3 из них - на имя китайской актрисы Лю Тао (Liu Tao). Отыскать среди спамерских веб-сайтов действующий оказалось нелегкой задачей, поскольку они бывают активными в течение 1-2 недель. Подстановка выявленных Уэйном действующих IР-адресов в окно веб-браузера выдавала характерный ответ с релевантных китайских и корейских серверов: "site not found on our server!" ("веб-сайт на сервере не найден"). Наконец, Уэйну повезло. Проверив ресурс на наличие вредоносных программ и убедившись в их отсутствии, он под вымышленным именем оформил небольшой заказ, используя специально купленную для эксперимента кредитную карту. Программа-разведчик, которую исследователь предусмотрительно установил в своей локальной сети, зафиксировала, что все персональные данные были отправлены открытым текстом, хотя держатели "интернет-магазина" активно заверяли в SSL-защите конфиденциальной переписки. Подтверждение совершившейся сделки не заставило себя долго ждать. Проверка указанного в спамовом письме электронного адреса службы технической поддержки выявила, что домен уже недействителен, а релевантный веб-сайт зарегистрирован на имя компании CSMJBS в Лас-Вегасе. Поиск в Google определил сайт как поддельный. Тогда Уэйн позвонил в Лас-Вегас и выяснил, что CSMJBS обанкротилась весной, а ее глава проживает в штате Вашингтон и недавно был привлечен к суду за создание веб-сайтов, имитирующих онлайн-сервисы различных финансовых структур. Обманывая пользователей Интернета, мошенник успел сколотить состояние в 2 миллиона долларов. Уэйн проверил состояние счета на своей контрольной кредитке: сумма, на которую был оформлен заказ, оказалась снята сервисом ElegantReplica.com (с указанием телефонного номера). Поиск указанного продавца в Интернете не дал ничего, кроме нескольких дезактивированных ссылок и жалоб на его участие в аферах спамеров. Поиск владельца телефонного номера оказался более удачным решением: номер числился за некоей компанией на Кипре. Звонок на Кипр вознаградил упорство исследователя, сделав его счастливым обладателем сопроводительного номера заказа. Проверив по этому номеру состояние своего заказа на веб-сайте продавца, Уэйн обнаружил подробный отчет о прохождении покупки через все промежуточные инстанции - вплоть до аэропорта Кеннеди и местных почтовых отделений в своем штате. Только вот самой покупки исследователь так и не дождался, хотя не поленился связаться с американской почтовой службой. Обвинять последнюю в недобросовестности у него нет оснований. В заключение своего виртуального путешествия Уэйн еще раз обратился в интернет-магазин, оформивший его заказ, - веб-сайт оказался закрыт. Одному из читателей этой увлекательной эпопеи удалось заглянуть на данный сайтт, когда последний вновь возобновил работу. По его отзывам, исходная программа страницы "Contact Us" ("Контактная информация") имеет зашифрованную JavaScript функцию "RemoveWords" ("удалить слова"). В список слов, неугодных спамерам, попали такие выражения, как 'stop sending", "unsubscribe', "take me off", 'delete me", 'stop email", "opt out", "spam", "no more" ("прекратите рассылку", "отказаться от подписки", "прошу исключить мой адрес из", "удалите мой адрес", "не присылайте писем", "отказ", "спам", "не надо больше"). Источник: CA Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005