Электронный журнал "Спамтест" No. 217 В этом номере: Новости Спам-статистика за период 14 - 20 января 2008 г. Спам в декабре 2007 Новости "Штормовой" троянец охвачен любовным пылом 22.01.2008 Специалисты по сетевой безопасности отмечают появление новой волны предпраздничного спама, заряженного "штормовым" троянцем. Стремясь взять реванш за поздний рождественский старт, операторы "штормового" ботнета раскинули сети задолго до Дня святого Валентина, чтобы успеть использовать романтический настрой пользователей Интернета для увеличения своей зомбированной армии. По оценке экспертов, заголовки вредоносных сообщений в прошедшей рассылке в большинстве случаев были заимствованы из аналогичной спам-кампании 2007 года. Текст "любовных признаний" спамеров предельно сжат и безыскусен: стандартная фраза-"валентинка" в сопровождении характерной для "штормового" стиля ссылки в виде IP-адреса. Пройдя по данной ссылке, получатель такого "романтического" послания попадает на веб-страницу с изображением светящегося сердца, предлагающую вручную ускорить загрузку поздравительной открытки. Против ожиданий, эта страница не содержит эксплойтов, однако вредоносная ссылка защищена от автоматического обнаружения при помощи JavaScript-кода. При клике по ней или по самой картинке посетитель загружает на свой компьютер исполняемый файл с именем "withlove.exe" (или "with_love.exe") - очередную модификацию "штормового" троянца. По мнению исследователей, текущая атака "штормового" троянца во многом идентична прошлогодней. Единственным существенным отличием является форма доставки вредоносной программы на компьютер жертвы: в прошлом сезоне троянский файл рассылался в виде вложения в "любовные" послания спамеров. По данным Sophos, на долю инициированной операторами "штормового" ботнета спам-кампании в настоящее время приходится около 8% всего почтового трафика, и показатель этот растет. Источник: SYMANTEC Источник: SOPHOS Источник: isc.sans.org Пособники фишеров, атаковавших клиентов Nordea, предстали перед судом 22.01.2008 В Швеции начался судебный процесс по делу об ограблении клиентов скандинавского банка Nordea фишерами. Около 150 человек могут получить разные сроки тюремного заключения за пособничество в отмывании денег, добытых неправедным путем. Напомним, что киберпреступники получали доступ к банковским счетам Nordea в результате хищения персональных данных их владельцев с помощью специализированного троянца haxdoor.ki, рассылавшегося в виде вложения в фишинговые письма. Денежные средства с этих аккаунтов переводились на счета посредников, которые затем отправляли их в Россию, Украину, страны Прибалтики, Беларусь и Молдову, пользуясь услугами Western Union и других аналогичных сервисов. По приблизительным оценкам, сумма ущерба, нанесенного клиентской базе Nordea данной фишерской группировкой, составляет около 1,5 миллиона долларов. Следствие установило, что представшие ныне перед судом жители Швеции были завербованы авторами фишинговых атак через русскоязычные сайты вакансий, ICQ-каналы и электронную почту. Большинство обвиняемых - рядовые граждане, ранее не замеченные в криминальной деятельности. Согласившись участвовать в предприятии, имеющем видимость легитимного, они предоставили свои банковские счета в распоряжение "работодателей", соблазнившись привлекательными условиями оплаты - в зависимости от размеров переводимых за рубеж сумм их комиссионные составляли 5-10%. Правоохранительные органы Швеции продолжают придерживаться мнения, что инициаторами кибератак на клиентскую базу Nordea являются россияне. Представители шведской полиции заявили, что обнаружить посредников злоумышленников и предъявить им обвинение не составило особого труда, но добраться до организаторов фишинговой кампании пока не удается из-за пассивности российских правоохранительных органов. В управлении "К" МВД РФ затруднились прокомментировать этот конкретный случай, но говорят, что уже далеко не в первый раз европейцы ищут хакеров именно в России, и милиция "всегда приходит на помощь" своим иностранным коллегам. "Примеров тесного сотрудничества с зарубежными правоохранительными органами у нас немало, ведь интернет-преступность не знает государственных границ, - рассказала "Новым Известиям" пресс-секретарь управления "К" МВД Ирина Зубарева. - Вот только доказать причастность интернет-мошенников к преступлению очень сложно, несмотря на наличие всех необходимых уголовных статей. Это уже чисто технический вопрос." Источник: "Новые Известия" Спам-атака против "Автогаранта": "черный" PR или самореклама? 24.01.2008 В середине января в Рунете была зафиксирована спам-рассылка, предлагающая услуги интимного характера, оказываемые готовыми на все виды секса и выезды на корпоративы молодыми девушками-славянками. Спам-письма выглядели вполне типично для подобных случаев: лаконичное сообщение, текст которого имел множество вариантов. Обратил на себя внимание тот факт, что контактные телефоны в письмах были приведены не стандартным "спамерским" способом, т.е. разбиты небуквенными символами, а указывались в "чистом" виде. Но любопытнее всего следующее: желающие приятно провести время по низким расценкам при звонке попадали: в офис московской страховой компании "Автогарант". Некоторое время спустя спам-аналитики "Лаборатории Касперского" отметили появление нового спама, касающегося данного страхового брокера. Письма рекламировали 40-процентную скидку на страхование автомобиля (ОСАГО и КАСКО) и прочие прелести сотрудничества с "Автогарантом". Телефоны были указаны те же. Напрашивался вывод: специалисты по страхованию воспользовались услугами спамеров в целях рекламы собственной фирмы. Однако любой пользователь при открытии корпоративного сайта "Автогаранта" (www.sb-garant.ru) мог видеть сообщение о том, что компания не предоставляет скидок на ОСАГО в размере 40%, не оказывает услуги досуга и не просит никого перезвонить по указанным в спам-письмах телефонам. Кроме того, имелся официальный комментарий по поводу произошедшего: "Мы стали жертвами недобросовестной конкуренции". Очевидно, налицо случай "черного" PR - явления редкого, но имеющего место в современном Интернете. Есть все основания предполагать, что обе рассылки взаимосвязаны. Если первый случай напоминает не очень умный розыгрыш, то вторая рассылка призвана подорвать репутацию "Автогаранта", повесив на нее ярлык компании-спамера. Вряд ли данная организация решила подогреть интерес к себе "через постель"; также сомнительно, что она воспользовалась случаем и занялась саморекламой, создав видимость продолжения атаки конкурентов. О том, что "Автогарант" стал жертвой спам-кампании, а не ее инициатором, свидетельствует официальное заявление на сайте, к тому же страховщикам пришлось сменить некоторые номера телефонов офиса. Что это было на самом деле - действительно происки конкурентов или чья-то месть - остается только догадываться. Источник: RUSSIAN BUSINESS PandaLabs: в 2007 году больше половины спама рассылалось из России 24.01.2008 Согласно статистике, представленной в годовом отчете PandaLabs, в прошлом году половину всей корреспонденции, получаемой владельцами домашних ПК, и 80-95% корпоративной входящей почты составлял спам. По мнению экспертов компании, эскалация спама в 2007 году составляла одну из наиболее серьезных сетевых угроз. Они подсчитали, что суточный объем спам-рассылок в Интернете мог бы занять около 2000 Тбайт дисковой памяти. Главным источником спама в минувшем году PandaLabs назвала Россию, на долю которой, по данным компании, приходилось 59,72% спам-трафика. Второе место в рейтинге заняли США (23,08% от общего объема спама), на третьей позиции Турция (6,12%), на четвертой и пятой - Германия и Великобритания (4,77% и 3,16% соответственно). Тематическое распределение спамовых сообщений было достаточно разнообразно. Согласно отчету PandaLabs, ведущей категорией спама в прошлом году была реклама медицинских препаратов. В I квартале нелегитимная реклама способов улучшения сексуального здоровья составляла 54% спам-трафика, во II и III кварталах на долю фармацевтической тематики приходилось 45% и 30% от общего объема спама соответственно. Специалисты PandaLabs отмечают, что в минувшем году 85% спам-рассылок проводилось с ботнетов. По их оценкам, в настоящее время около 11% всемирного парка компьютеров является составной частью ботнетов. Ежедневно в Сети жертвами инфицирования становятся почти полмиллиона ПК. Зараженные компьютеры объединяются киберзлоумышленниками в ботнеты и используются в целях распространения вредоносных программ, проведения DDoS-атак и - чаще всего - для рассылки спама. Источник: Panda Security Мароканские фишеры загребают жар руками фишеров-новичков 24.01.2008 Специалисты по безопасности британской компании Netcraft сообщили о существовании группировки фишеров, избравшей в качестве жертв своих потенциальных "коллег". Группа из Марокко, именующая себя "Мистер Брэйн" ("Mr-Brain"), через свой веб-сайт свободно (!) распространяет готовые комплекты для проведения фишинговых атак. Данный инструментарий предназначен для создания мошеннических сайтов, имитирующих легитимные, с целью хищения конфиденциальной информации пользователей. В комплекты включены шаблоны спам-писем, имитирующих сообщения от банков HSBC и Bank of America, электронного аукциона eBay, платежной системы PayPal. Потенциальные киберзлоумышленники вряд ли подозревают о том, что сами станут жертвами хитроумного обмана. Комплекты ПО от "Mr-Brain" имеют специальную скрытую функцию, прописанную в PHP-скриптах, один из которых зашифрован. Данная функция обеспечивает отправку на электронные адреса членов группировки всей похищенной в результате использования их комплектов конфиденциальной информации. В свете этого становится понятным, почему фишинг-комплекты распространяются бесплатно. Придуманная "Mr-Brain" схема, несомненно, рассчитана главным образом на неопытных фишеров-новичков. Последние фактически делают за злоумышленников всю "грязную" работу, а те в свою очередь пользуются результатами и извлекают выгоду. Источник: TechWorld Заглянуть врагу в лицо 24.01.2008 Румынский художник и лаборант Массачусетского технологического института Алекс Драгулеску (Alex Dragulescu) создал специальную программу, позволяющую преобразовывать представленные в двоичном коде данные о конкретных образцах сетевых угроз в объемное цветное изображение. Исходный фактографический материал для создания компьютерных образов автору программы предоставила компания MessageLabs. Увековеченные программой "портреты" имеют элегантные формы, но вызывают тревожное ощущение. Над каждым графическим изображением программа трудится по нескольку часов, выискивая закономерности в поведении "модели", которые могут быть переданы визуальными средствами. Благодаря плодотворному сотрудничеству с художником база данных MessageLabs по сетевым угрозам пополнилась "портретной" галереей, созданной на основе обнаруженных ее экспертами образцов таких угроз. Представленные в графическом виде угрозы поделены на шесть категорий: вирусы, спам, фишинговые атаки, программы-шпионы, вредоносные ссылки и троянские программы. Драгулеску допускает, что его "произведения искусства" могут быть восприняты как очередной рекламный ход со стороны компании-эксперта в области компьютерной безопасности либо как средство дополнительного заработка и паблисити для их автора. Тем не менее, он надеется, что создаваемые им персонифицированные образы помогут интернет-сообществу успешнее различать отдельные виды сетевых угроз, которые до сих пор воспринимались им как безликая армия понятий из области вычислительной техники. ("Портреты" некоторых сетевых угроз, созданные при помощи программы Драгулеску, доступны на сайте Спамтест.) Источник: Washington Post Источник: MESSAGELABS Чем грозит взлом CAPTCHA на Yahoo? 24.01.2008 На одном из блогов Рунета появился постинг с сообщением о взломе системы CAPTCHA, одного из самых распространенных и эффективных средств борьбы со спам-ботами, на сервисе Yahoo. В сообщении приводилась ссылка на программу, способную, по заверению ее создателей, обходить данную систему приблизительно в 30% случаев. Автор постинга - Джон Уэйн, член некой группы "исследователей в области сетевой безопасности" из России. Новая система взлома CAPTCHA состоит из двух частей - серверной, распознающей графическое изображение, и клиентской, занимающейся непосредственно регистрацией аккаунтов и размещением спам-сообщений на блогах и форумах. Понять из содержащейся на блоге информации, каким именно образом осуществляется распознавание изображения, довольно сложно. Тем не менее, разработчики новой системы не исключают ее дальнейшей платной эксплуатации. Разумеется, появившаяся программа - далеко не первая. Однако ранее ту модификацию CAPTCHA, которую использует Yahoo (равно как и Google, к примеру), обойти не удавалось никому. Если новая система взлома действительно столь эффективна, как заявляют "исследователи", в скором времени следует ожидать увеличения спам-трафика, "замусоривания" блогов и форумов. Даже 30-процентная мощность весьма существенна, если учесть, что один и тот же ресурс может атаковаться ботами до 100000 раз в день. Источник: COMPULENTA Источник: WEBPLANET Спам-статистика за период 14 - 20 января 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 86,4%. Тематическое распределение спама на прошедшей неделе продолжало нормализоваться после праздничных метаморфоз. В первую очередь, привычные показатели обрели рубрики "Медикаменты; другие товары и услуги для здоровья" (-32,2%), "Другие товары и услуги" (+8,7%) и "Образование" (+9,9%). Также на прошедшей неделе существенно увеличилось относительное количество рассылок, рекламирующих юридические услуги (+7,0%) и посвященных операциям с недвижимостью (+4,0%). Большая часть "юридического" спама предлагает услуги по регистрации и ликвидации предприятий, оформлению разрешений на работу и получению виз. Предложения по недвижимости также стандартны - главным образом это продажа и сдача в аренду офисных помещений и складов, продажа земли и жилых коттеджей. Как уже отмечалось ранее, в последние недели наблюдалась тенденция к увеличению количества рассылок "взрослой" тематики. Обилие материала породило поиск спамерами новых форм его подачи. Если несколько лет назад наиболее распространены были письма, напичканные порнографическими картинками и ссылками на сайты соответствующей тематики, то сегодня большая часть подобного спама маскируется под личную переписку (письма от парней/девушек) или под уведомления о победе в некой акции, дающей право на бесплатное пользование рекламируемым сайтом в течение нескольких дней. На прошедшей неделе было отмечено весьма оригинальное спамовое послание, текст которого гласил, что Британская академия кино- и телевизионного искусства (British Academy of Film and Television Arts) признала порнографические фильмы искусством нового поколения, и приводилась ссылка на сайт с типичными образцами сего искусства. На прошедшей неделе спамеры воспользовались интересом интернет-пользователей к социальным сетям, всплеск которого наблюдается в последнее время. В спам-письмах зафиксированной рассылки предлагались особо выгодные условия для всех бывших одноклассников, которые решат организовать встречу в рекламируемом ресторане. Еще одна интересная рассылка - мошенническая - призывала доверчивых адресатов перевести энную сумму якобы на озеленение городских улиц. Особенно любопытно то, что несколько недель назад в почтовых потоках наблюдался аналогичный спам, собиравший средства на предновогоднее украшение Москвы. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 24,0% -32,2% 2 Другие товары и услуги Предложения других товаров и услуг 20,1% +8,7% 3 Образование Реклама семинаров, тренингов, курсов 16,1% +9,9% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 9,4% +6,0% 5 Юридические услуги и аудит Предложения юридических услуг 7,3% +7,0% 6 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,6% -1,6% 7 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 4,5% +4,0% 8 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 4,0% +0,1% 9 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,0% -0,6% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2,2% +0,3% 11 Остальной спам   Менее 2% -0,3% 12 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Без изменений 13 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества Менее 2% -1,3% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Спам в декабре 2007 Дарья Гудкова, "Лаборатория Касперского" Особенности месяца Количество спама в почтовом трафике остается высоким. Обилие "новогодних" товаров и услуг, предлагаемых спамерами. Спамеры активно используют бесплатные хостинги с целью рекламы своих товаров и услуг. Доля спама в почтовом трафике Средняя доля спама в почтовом трафике в декабре 2007 составила 84,9%. Самый низкий показатель был зафиксирован 10 декабря и составил всего 69,4%, самый высокий - 96,5% - наблюдался 23 числа. Общее количество спама по сравнению с предыдущим месяцем немного снизилось, но в целом показатель продолжает оставаться высоким. Подобный уровень спама характерен для конца года. Скорее всего, в январе процент несколько уменьшится. Пики спамовой активности приходятся на выходные. Однако это не говорит о тенденции увеличения количества спама именно в эти дни, а, скорее, свидетельствует об отсутствии легитимной корреспонденции - деловая переписка в субботу-воскресенье замирает, спам же продолжает поступать в почтовые ящики. Тематический состав спама Тематическое распределение спама в декабре 2007: "Медикаменты; товары и услуги для здоровья" - 35,7%. "Отдых и путешествия" - 10,7%. "Компьютерное мошенничество" - 7%. "Услуги по электронной рекламе" - 6,1%. Спам "Для взрослых" - 5,5%. "Компьютеры и Интернет" - 3,2%. "Личные финансы" - 2,8%. "Образование" - 2,3%. "Недвижимость" - 2,3%. "Юридические услуги и аудит" - 1,1%. "Полиграфия" - 0,8%. С большим отрывом по-прежнему лидирует рубрика "Медикаменты; товары и услуги для здоровья". В декабре она набрала целых 35,7%. На втором месте оказалась рубрика "Отдых и путешествия". Это вполне объяснимо: декабрь - месяц предновогодний, сезон предпраздничных и праздничных отпусков, чем спамеры не могут не пользоваться. Рубрика же "Образование", занимавшая второе место в предыдущем месяце, покинула пятерку лидеров. "Образовательный" спам традиционно активен в сентябре-октябре (в начале учебного года), в декабре он уже не так актуален. Рубрика "Услуги по электронной рекламе" - спамерская самореклама - набрала ровно столько же процентов, сколько и в прошлом месяце, но тем не менее сдала одну позицию, уступив третье место тематике "Компьютерное мошенничество". Последняя, учитывая нынешний уровень криминализации спама, практически всегда входит в пятерку лидеров с показателем около 7%. В декабре неожиданно увеличилось количество спама "для взрослых" - спама, рекламирующего различную порнографическую продукцию, а также сайты знакомств. Возможно, спамеры посчитали эту тему более актуальной перед Новым годом?.. Спам-рассылок, предлагающих товары разнообразнейшего рода в качестве новогодних подарков, в декабре было по-прежнему много - и это понятно. Спамеры рекламировали также организацию новогоднего досуга и отпуска (о чем уже говорилось выше) и многое другое, так или иначе приуроченное к праздникам. Спамерские методы и трюки Грядущий Новый год стал для спамеров поводом рекламировать свои товары и услуги (даже не связанные напрямую с праздником) новыми способами. К примеру, пользователям Интернета предлагалось не просто "улучшить финансовое положение, работая 2-3 часа в день", а "заработать деньги на подарки родным и близким" или "на достойную встречу Нового года". В угоду поклонникам гороскопов в "письмах счастья" "денежные коты" сменились на "денежных крыс". Каждый из ранее предлагавшихся товаров теперь превратился в "замечательный подарок к Новому году". Расширился диапазон необычных новогодних презентов: от персонального спиртового заводика до мини-бань. В предвкушении длительных каникул спамеры решили не изобретать новых методов рассылки спама, а взялись за совершенствование старых. По Сети прокатилась волна спам-писем, в которые были включены ссылки на бесплатные веб-хостинги. Особенность подобных писем заключается в том, что спамеры заводят множество дублирующих друг друга сайтов на различных бесплатных хостингах и рассылают короткие послания со ссылками. Эти письма, как правило, содержат небольшой рекламный фрагмент (чтобы получатель понимал, о чем идет речь) с искаженным текстом, а также фрагмент случайного текста. Сложность для спам-фильтров заключается в том, что в каждом сообщении уникален не только текст, но и URL. Кроме того, спамеры снова пытались воздействовать на доверчивых пользователей от лица портала Mail.ru. Но на сей раз они решили использовать в своих махинациях мобильную связь. Спамовые сообщения якобы от службы безопасности портала уведомляли получателя о попытке взлома его аккаунта. С целью включения Взлом-Защиты предлагалось не позднее чем через 10 минут после прочтения письма отправить sms-сообщение с указанным в нем "уникальным кодом". Каким образом sms-сообщение должно включить некую Взлом-Защиту и как будет отслежено время прочтения пользователям письма, спамеры не упомянули. Очевидно, что ставка делается на испуг наивного и невнимательного пользователя, который после прочтения письма должен немедленно отправить sms. Разумеется, в этом случае он просто переведет злоумышленникам некоторое количество средств со своего счета. В связи с этим мы рекомендуем пользователям быть более бдительными и не поддаваться на спамерские уловки. (Иллюстрации и образчики спамовых писем вы найдете на сайте Спамтест.) Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005