Электронный журнал "Спамтест" No. 220 В этом номере: Новости Спам-статистика за период 04 - 10 февраля 2008 г. Новости Mega-D - родственник "штормового" ботнета? 08.02.2008 По данным компании Marshal, около 32% всего спама в настоящее время рассылается с ботнета, условно названного Mega-D[ick] из-за узкой специфики рекламируемых им товаров - лекарственных снадобий, призванных (если верить спамерам) увеличить мужское достоинство до фантастических размеров. Специалисты Marshal наблюдают за деятельностью Mega-D около года и отмечают, что за это время объемы рассылаемого с него спама увеличились почти втрое и значительно превысили предельный показатель его "штормового" конкурента - 21%, зафиксированный компанией в середине прошлого года. Основными объектами рекламной кампании, проводимой операторами Mega-D с помощью спам-рассылок, являются такие "достижения" доморощенной фармацевтики, как Herbal King, MaxHerbal, Express Herbals и VPXL. Согласно экспертным оценкам, владельцы ботнета за последние несколько месяцев значительно расширили свой боевой арсенал за счет инфицированных компьютеров в странах Азии и Северной Америки. Mega-D атакует владельцев ПК посредством спамовых писем, снабженных ссылками на поддельные веб-страницы социальных ресурсов, - в частности, Facebook. Пройдя по ссылке, получатель видит уведомление о необходимости обновить флэш-плеер и кнопку соответствующей опции. При попытке скачать "новую версию плеера" пользователь загружает на свой компьютер троянскую программу, однако в продолжение иллюзии получает доступ к обещанному видеоконтенту. Особенности организации Mega-D и стиль работы его операторов позволили некоторым экспертам высказать предположение о его близком родстве со "штормовым" ботнетом. Подобно последнему, Mega-D умело эксплуатирует интерес интернет-сообщества к громким событиям и сенсациям, отражая их в заголовках писем-приманок. Управление ботнетом и связь между его отдельными узлами осуществляются на основе р2р-протокола. Во избежание обнаружения антивирусным ПО, в котором используется метод сигнатурного анализа, версии Mega-D-троянца регулярно обновляются. Кроме того, при попытке изучить троянскую программу в виртуальной среде она, как и "штормовой" троянец, дезактивируется. В то же время эксперты отмечают, что в отличие от операторов "штормового" ботнета владельцы Mega-D атакуют осторожно, не привлекая к себе лишнего внимания блюстителей сетевой безопасности и СМИ. Исследователи Marshal полагают, что "штормовой" ботнет идет ко дну за счет собственного паблисити. По данным компании, количество рассылаемой им нелегитимной корреспонденции в последнее время значительно сократилось и составляет менее 2% всего спам-трафика. Как показал анализ статистики Marshal, за 70% спама в январе были ответственны операторы пяти ботнетов: Mega-D, Pushdo ("поклонники знаменитостей"), HTML, One Word Sub и "штормового". Вторым по плодовитости фигурантом (после Mega-D) является ботнет, специализирующийся на рассылке рекламы фальшивых часов и виагры в html-формате. На его долю приходится 23% от общего объема спама. Объемы рассылок с ботнета Pushdo, эксплуатирующего звездные имена, сократились до 6% спам-трафика. Источник: ZD Net Источник: SC Magazine Источник: MARSHAL Даунлоудер для любителей "клубнички" со звездами 11.02.2008 Специалисты по сетевой безопасности предупреждают о появлении спамовых сообщений, предлагающих под видом видеоролика с обнаженной Бритни Спирз или Пэрис Хилтон загрузить троянца-даунлоудера. В качестве ссылки злоумышленники используют модифицированный редирект рекламной службы Google. На первый взгляд URL страницы, ссылка на которую внедрена в спамовое письмо, выглядит вполне безобидно и способен ввести в заблуждение рядовой спам-фильтр. Эксперты BitDefender полагают, что адреса в аналогичном формате используются в программе Google AdSense. Вместо обещанного ролика со "звездным" порно любитель дармовой "клубнички" загружает на свой ПК исполняемый файл "trailer.exe" - новоиспеченного троянца, которому BitDefender присвоила наименование Trojan.Downloader.Exchanger.A. Он, в свою очередь, загружает на машину жертвы еще две вредоносные программы - одну из модификаций предназначенного для рассылки спама троянца Srizbi и сетевого червя, представителя семейства Mydoom. Источник: SC Magazine Symantec: Европа стала главным источником спама 11.02.2008 Согласно спам-статистике, представленной в январском отчете Symantec, 44% спама в Интернете рассылается из стран Европы, 35,1% - из Северной Америки. Исследователи компании полагают, что утвердившееся в течение последних трех месяцев лидерство европейских источников спам-рассылок может быть вызвано активным внедрением широкополосной связи в странах этого континента. По данным Организации экономического сотрудничества и развития (ОЭСР) на середину 2007 года, США являются мировым лидером по числу пользователей широкополосных интернет-каналов (около 66 миллионов), но из десятки лидирующих по этому показателю стран шесть находятся на территории Европы. Следует напомнить, что в настоящее время география источников спама далеко не всегда отражает истинное местонахождение самих инициаторов рассылок. Эволюционирующие технические средства камуфляжа, принимаемые спамерами на вооружение, позволяют им не без успеха скрывать плацдармы своих атак и уходить от правовой ответственности. Против ожиданий, общий уровень спама в Интернете после новогодних праздников продолжал расти и, по данным Symantec, в настоящее время составляет 78,5% почтового трафика. В тематическом рейтинге спамовых сообщений в январе, как и в прошлом месяце, лидируют категории "Промтовары и услуги" и "Интернет-услуги" (28% и 23% от общего объема спама соответственно). Третье место заняли финансовые рассылки, на долю которых пришлось 12% спам-трафика. С сокращением объемов графического спама уменьшилась и нагрузка на каналы электронной почты. В январе размеры 64% отсеянных спам-фильтрами Symantec писем не превышали 5 Кб, и только 5% нелегитимных посланий были причислены к разряду объемных (10-50 Кб). На долю писем с вложениями приходилось менее 8% от общего объема спама. Специалисты Symantec отмечают сохранение тенденции к эксплуатации спамерами сервисов Google. В январе была зафиксирована спам-рассылка, использующая открытый редирект одного из них для привлечения клиентов на веб-страницу подпольной интернет-аптеки. Кроме того, спамеры провели две сезонных кампании - в упреждение Дня святого Валентина и установления налоговых скидок Министерством финансов США. Спам-реклама подарков "для любимой" была снабжена редирект-ссылками, дифференцированными по географическому признаку: европейских пользователей и жителей некоторых азиатских стран спамеры перенаправляли на сайт знакомств, североамериканцев - на страницу интернет-магазина, осуществляющего торговлю со скидками. Поддельные письма от имени Налоговой службы США под предлогом возврата налогов пытались заманить получателей на фишинговый веб-сайт, созданный для хищения персональных данных. Кроме того, в минувшем месяце Symantec зарегистрировала несколько любопытных образцов русскоязычного спама: предложения по оформлению Шенгенской визы, рекламу биогазовой установки по переработке органических отходов и фишинговые письма, обещающие неограниченный доступ к порнороликам в обмен на регистрационные данные, которые получателю надлежит выслать посредством sms-сообщения. Источник: SYMANTEC Источник: ZD Net MAAWG объединяется с антиспам-коалицией LAP 11.02.2008 Коалиция "Лондонский план действий по международному сотрудничеству в области применения законодательства против спама" (London Action Plan on International Spam Enforcement Cooperation, LAP) предложила Рабочей группе по борьбе со злоупотреблениями в системах передачи сообщений (Messaging Anti-Abuse Working Group, MAAWG) объединить усилия в борьбе против сетевых угроз. "Лондонский план действий" - международный альянс общественных и частных организаций из 27 стран мира, созданный для координации правовых вопросов в отношении спама на трансграничном уровне. Его работа определяет соответствующую политику таких важных фигурантов, как Организация экономического сотрудничества и развития (ОЭСР), Международный союз по электросвязи (МСЭ), Европейский Союз (ЕС), Международная ассоциация государственных органов, контролирующих соблюдение прав потребителей (ICPEN) и Азиатско-Тихоокеанское экономическое сотрудничество (АТЭС). MAAWG - международная ассоциация сетевых операторов, провайдеров электронно-почтовых услуг и поставщиков ПО и аппаратуры для почтового сервиса, объединившихся в целях обмена опытом и совершенствования методов борьбы с кибер-злоупотреблениями и сетевыми угрозами. В Совет директоров MAAWG входят такие представители IT-индустрии, как AOL, AT&T, Bell Canada, Cloudmark, Comcast, Cox Communications, EarthLink, France Telecom, Google, Verizon Communications и Yahoo. В настоящее время ассоциация объединяет около 300 профессиональных организаций, в числе которых AG Interactive, Internet Initiative Japan, Ironport Systems, McAfee, MX Logic, Sprint, Sun Microsystems, Symantec и Telefonica SA. Важным аспектом работы MAAWG является установление и укрепление взаимодействия ее членов как представителей частных IT-структур с мировыми общественными организациями в интересах защиты прав потребителей и легального бизнеса. Присоединение MAAWG к LAP рассматривается руководством ассоциации как важный шаг в этом направлении. Источник: MAAWG Великобритания: "цепочка памяти" о Холокосте - не более чем спам 11.02.2008 Правительство Великобритании опубликовало официальное опровержение в связи с распространением в Интернете "цепочечных" писем с ложной информацией о прекращении изучения темы "Холокост" в английских школах. В передаваемых по цепочке "письмах протеста" с возмущением утверждается, что данная тема якобы была исключена британским правительством из учебных программ как оскорбительная для проживающих в Англии мусульман, которые отрицают историческую достоверность Холокоста. Инициаторы рассылки предлагают получателям принять участие в акции по защите памяти о жертвах Холокоста, переслав это письмо десяти своим знакомым. По предположениям экспертов, данные "письма памяти" циркулируют в электронно-почтовом сервисе и в социальных сетях с весны 2007 года. Именно тогда обнаружилось, что некоторые учителя английских школ сомневаются в уместности изучения исторических тем, вызывающих неоднозначную и даже негативную реакцию у детей иммигрантов. Например, для мусульман такими "деликатными" темами являются Крестовый поход и Холокост. Поскольку количество упомянутых писем не идет на убыль, а их содержание продолжает вызывать недоумение у пользователей Интернета, правительство Великобритании сочло необходимым выступить перед представителями иностранных посольств и СМИ с официальным опровержением. Холокост был и остается обязательной для изучения темой, включенной в программу английской средней школы (для учащихся 11-14 лет). К слову сказать, в Сети имеет хождение еще один вариант текста "писем протеста", в котором вместо Великобритании упоминается Университет американского штата Кентукки. Ведь по-английски сокращенное название и этой страны, и учебного заведения пишется одинаково - "UK"! По мнению специалистов по информационной безопасности, данные "цепочечные" письма в основной массе достаточно безвредны, однако в силу своего провокационного характера они распространяются в Интернете лавинообразно и способны значительно увеличить нагрузку на почтовый трафик. Кроме того, электронные адреса участников подобных "акций протеста", бездумно пересылающих спам, легко могут попасть в руки киберкриминальных элементов (спамеров, фишеров), которые не преминут употребить "праведный гнев общественности" себе на пользу. Источник: BBC Sophos: в IV квартале 2007 Россия вывела Европу на 2 место по рассылке спама 12.02.2008 Согласно итогам отчета Sophos по спаму за IV квартал 2007, Россия обошла Китай и Южную Корею в рейтинге стран-источников спам-рассылок и занимает 2 позицию. По данным Sophos, в отчетный период США, несмотря на уменьшившийся показатель - 21,3% мирового спам-трафика, - сохранили свое лидерство по рассылке спама. Объемы спама, рассылаемого с российских ПК, продолжали стремительно увеличиваться: в минувшем квартале на долю России приходилось 8,3% от общего объема спама в Интернете. 3-5 места в непочетном рейтинге стран-спамеров заняли Китай, Бразилия и Южная Корея (4,2%, 4% и 3,9% общего спам-трафика соответственно). Восхождение России к вершине "грязной дюжины" не могло не отразиться на рейтинге всего европейского континента. Согласно статистике Sophos, Европа в IV квартале занимала 2 место по количеству спам-рассылок - после Азии (27,1% и 32,1% от общего объема спама соответственно). Северная Америка с более "скромными" результатами (26,5%) опустилась на 3 позицию. Специалисты Sophos подчеркивают, что учитываемые компанией при составлении рейтингов показатели свидетельствуют главным образом о количестве зараженных компьютеров, расположенных на территории конкретных стран и континентов. Поскольку в настоящее время большая часть спама рассылается с ботнетов, высокое место в рейтинге источников спама означает наличие большого парка подключенных к Интернету машин, плохо защищенных от сетевых угроз. Среди значительных событий в спаме, зафиксированных Sophos в IV квартале, эксперты особо отметили пробную рассылку "биржевых" нелегитимных писем в mp3-формате. Директор направления аутсорсинга IT-безопасности "Лаборатории Касперского" Андрей Никишин отмечает, что основными источниками спама в России являются города-миллионники, средоточие компьютеров в которых наиболее велико. По его словам, в целом за 2007 год по количеству спама лидируют США (с показателем 11,2%) и Европа (Россия - 10,8%, Польша - 6,6%, Германия - 5,8%). Ощутимый "вклад" в мировой спам-трафик осуществляют также Китай (4,5%) и Южная Корея (6,2%), страна с большим количеством пользователей ПК и высоким проникновением Интернета. Источник: SOPHOS Источник: "Лаборатория Касперского" Лавина "валентинок" с сюрпризом 13.02.2008 Специалисты "Лаборатории Касперского" зафиксировали крупномасштабную спам-рассылку, посвященную Дню святого Валентина. Спам-рассылка носит глобальный характер. Ее начало было зарегистрировано 12 февраля в два часа ночи по московскому времени. По российскому сегменту Интернета нелегитимные сообщения стали распространяться только днем. В настоящее время количество спамовых писем не уменьшается. Послание содержит текст, предлагающий перейти на некий сайт с целью просмотра поздравительной "валентинки". При переходе по указанной ссылке на компьютер получателя загружается вредоносный файл Packed.Win32.Tibs.ic. Стоит обратить внимание на следующее: в письма внедрены ссылки вида http://xxx.xxx.xxx.xxx, где "xxx" - это цифры, что не является типичным для подобных рассылок. "Мы предполагаем, что пик спам-сообщений, эксплуатирующих тему Дня святого Валентина, еще впереди, - говорит Андрей Никишин, директор направления аутсорсинга IT-безопасности "Лаборатории Касперского"." (Примеры спамовых писем можно найти на сайте Спамтест.) Источник: "Лаборатория Касперского" Операция "Улисс": в Испании задержаны 76 кибермошенников 14.02.2008 В результате расследования в области киберпреступлений, предпринятого испанской полицией во взаимодействии с Интерполом и Европолом, на территории 15 испанских автономий были произведены 76 арестов. Основная масса задержанных - испанцы, остальные - представители 16 национальностей Европы, Африки и Латинской Америки. Согласно заявлению полиции, проведенная операция, получившая название "Улисс", - первая крупномасштабная акция, предпринятая испанскими властями против киберзлоумышленников. Задержанные не являются членами одной группировки и подозреваются в совершении различных мошенничеств с использованием Интернета: обмане пользователей интернет-магазинов и онлайн-аукционов, хищении персональных данных клиентов систем интернет-банкинга с помощью фишинга и вредоносного ПО, переводе денежных средств с чужих онлайн-счетов, отмывании денег, полученных противозаконными методами. Министерство внутренних дел Испании полагает, что от деятельности данных лиц могли пострадать тысячи пользователей Интернета - как в самой Испании, так и за ее пределами. Суммы причиненного мошенниками индивидуального ущерба составляют от 400 до 10000 евро. По оценке министерства, общая сумма похищенных через Интернет средств превышает 3 миллиона евро. Представители испанской полиции сетуют, что бороться с киберпреступлениями им мешают ограниченные ресурсы и мягкость наказаний, устанавливаемых судами за подобные правонарушения. Источник: ABC.es Спам-статистика за период 04 - 10 февраля 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю составила в среднем 87,6%. Основные изменения в тематическом распределении спама коснулись рубрик "Отдых и путешествия" (+4,6%) и "Другие товары и услуги" (-3,0%). Также можно отметить увеличение относительных долей тематик "Личные финансы" и "Компьютерное мошенничество" - на 2,3% и 2,6% соответственно. К стандартным рассылкам тематики "Отдых и путешествия" на прошедшей неделе добавилась реклама туров на выходные 23-25 февраля и 8-9 марта. Не отстают и другие рассылки, посвященные праздникам: реклама открыток, доставки цветов и предложения праздничной полиграфии. Букеты, кстати, предлагаются не только цветочные, но и конфетные. Впрочем, это не самое оригинальное подарочное предложение. Например, в одном из посланий спамеры предлагают преподнести всем женщинам по мужскому духовому оркестру, а мужчинам - по женскому ансамблю барабанщиц. Прошедшая неделя охарактеризовалась повышенным количеством вредоносных рассылок. Любопытно, что тематика таких писем была весьма разнообразной. Инфицировать свой компьютер пользователь мог, как перейдя по ссылке с фотографиями пропавшего ребенка (по уверениям спамеров), так и путем распаковывания вложения, якобы представляющего собой бесплатный софт. Также на прошедшей неделе была зафиксирована волна спамовых писем, предлагающих посмотреть видео с обнаженными Бритни Спирз и Пэрис Хилтон. По ссылкам в данных сообщениях располагался троянец-даунлоудер. Есть основания предполагать, что рассылка была произведена с ботнета "поклонников знаменитостей". Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 29,7% +0,1% 2 Другие товары и услуги Предложения других товаров и услуг 17,7% -3,0% 3 Образование Реклама семинаров, тренингов, курсов 15,0% +0,1% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 12,9% +4,6% 5 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 4,9% -2,1% 6 Юридические услуги и аудит Предложения юридических услуг 3,5% -0,7% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 3,4% -0,1% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3,3% +2,3% 9 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 3,2% +2,6% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,2% +0,9% 11 Остальной спам   2,4% -0,2% 12 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 2,2% -1,9% 13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,5% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005