Электронный журнал "Спамтест" No. 224 В этом номере: Новости Спам-статистика за период 03 - 09 марта 2008 г. Любовь в спаме Новости Symantec: в феврале спамеры эксплуатировали общественно значимые события 12.03.2008 Согласно статистике компании Symantec, доля спама в почтовом трафике в феврале не превысила январский показатель - 78,5%. В минувшем месяце спамеры активно эксплуатировали праздничную тематику, общественно-политические события и звездные имена для продвижения контрафактной продукции, реализации мошеннических схем и злонамеренных атак на чужие ПК. Тематическое распределение спама в феврале, по данным Symantec, выглядело следующим образом: промтовары и услуги - 26% спам-трафика, интернет-услуги - 23%, медицинские препараты и услуги - 12%, финансы - 10%. В странах Юго-Восточной Азии, Тихоокеанского региона и в Японии превалировал фармацевтический спам, доля которого в общем объеме нелегитимных рассылок с ноября прошлого года выросла на 30% и в феврале составляла 38%. В качестве приманки в февральских спам-кампаниях использовались такие общественно значимые события, как розыгрыш Суперкубка и День президента в США, День святого Валентина, Международный женский день. Особое место в арсенале спамеров занимала эксплуатация внимания общественности к президентским выборам в США. Рассылаемые спам-сообщения с именами Хиллари Клинтон, Обамы, Маккейна, Хакаби в заголовках рекламировали широкий спектр товаров и услуг - от виагры и порносайтов до дорожных отпаривателей для одежды и способов быстрого обогащения. Кроме того, в феврале в Symantec была зафиксирована серия масштабных спам-рассылок, предпринятых операторами зараженного троянцем Srizbi ботнета с целью расширения своего потенциала. Спамовые послания, призывающие загрузить видеоролик с сенсационными подробностями личной жизни той же Хиллари Клинтон, Дженнифер Лопес, Майкла Джексона, принцессы Дианы или Памелы Андерсон, на самом деле были снабжены ссылкой на страницу Google с поисковым редиректом. При переходе по ней пользователь загружал на свой ПК названную программу для рассылки спама. В числе уникальных спам-рассылок эксперты Symantec выделили китайскую версию "биржевого" спама. Продвигающие акции мелких компаний нелегитимные письма на китайском языке имели специфическую окраску. Они призывали получателей кооперироваться, объединять капиталы и сообща инвестировать их в "перспективные" компании. Для удобства вкладчикам предлагались даже координаты релевантной группы в китайском аналоге системы обмена мгновенными сообщениями - QQ. Всю представленную в предыдущих отчетах статистику по объемам спама, а также дополнительную тематическую информацию компания Symantec объединила в новом разделе своего веб-сайта - "The State of Spam" ("Сводные данные по спаму"). Источник: SYMANTEC MessageLabs: количество спама с Gmail-аккаунтов к концу февраля удвоилось 12.03.2008 Согласно статистике, представленной в отчете компании MessageLabs по сетевым угрозам за февраль, уровень спама в почтовом трафике несколько уменьшился по сравнению с январем и составил 72,7%. Более 4% спама в настоящее время рассылается с почтовых аккаунтов Yahoo, Hotmail, MSN и Gmail. Проведя серию атак на популярные бесплатные почтовые сервисы, спамеры путем взлома защитных систем CAPTCHA получили возможность создавать легитимные аккаунты для рассылки незапрошенной рекламы. По оценке MessageLabs, наиболее пострадавшим из сервисов является Yahoo. Google стал последним бастионом, сдавшим CAPTCHA спамерам. Количество спам-рассылок со свежеиспеченных Gmail-аккаунтов за прошедший месяц удвоилось и к концу февраля составило 4,6% от совокупного объема спама, рассылаемого из мошеннически "легализованных" источников. Что касается географического распределения февральских спам-рассылок, то, по данным MessageLabs, главной мишенью спамеров впервые стал Гонконг, где уровень спама составлял 85,7% почтового трафика. Второе место в рейтинге стран-получателей спама разделили Израиль и Швейцария (уровень спама в обеих - 80,4%). Наиболее высокие показатели по уровню спама по-прежнему наблюдались в сельскохозяйственном и производственном секторах, хотя минувший месяц стал "урожайным" и для спам-фильтров некоммерческих организаций. Исследователи MessageLabs отметили увеличение количества вредоносных ссылок в спамовых письмах - в среднем, на треть. Хостинг 96,3% подобных страниц располагался в сетях "штормового" ботнета. Помимо заряженных "штормовым" троянцем поздравлений с Днем святого Валентина, объемы которых составили около 1% февральского спам-трафика, операторы этого ботнета впервые подрядились рассылать спам-рекламу панацеи от "мужских комплексов" - VXPL, а также никотиновых пластырей для желающих избавиться от курения. Число веб-страниц, внесенных администраторами корпоративных сетей в "черные списки", увеличилось почти на 13%. По мнению экспертов компании, эти ресурсы, в большинстве своем живущие не более 1-2 суток, составляют потенциальную угрозу компьютерной безопасности, так как зачастую используются для рассылки спама и проведения злонамеренных атак. Согласно статистике MessageLabs, в настоящее время на подобных страницах размещены 62,2% зловредов и 82,5% шпионского ПО и программ для показа рекламы (AdWare). Источник: MessageLabs "Троянские" открытки с ftp-сервера 12.03.2008 Специалисты компании F-Secure обнаружили интересный образец "поздравительного" спама. Послание предлагает получателю ознакомиться с виртуальной открыткой с сервиса Hallmark, в качестве ссылки на которую приводится URL исполняемого файла, расположенного на ftp-ресурсе. При переходе по ссылке, имеющей вид IP-адреса, пользователь заражает свой ПК троянской программой Zapchast. Еще год-два назад основным методом распространения вредоносных творений вирусописателей в Интернете были прикрепляемые к спамовым письмам ехе-файлы. В настоящее время большинство корпоративных систем компьютерной безопасности отсеивает электронную корреспонденцию с подобными вложениями, и киберзлоумышленники предпочитают заменять их ссылками на зараженные веб-страницы, некоторые из которых содержат эксплойты. Получателей пытаются заманить на такие страницы при помощи самых разных ухищрений. Зафиксированное экспертами F-Secure послание наглядно демонстрирует, что технологии сетевого инфицирования пользовательских компьютеров не стоят на месте. Источник: F-SECURE "Подушная" статистика по спаму от Sophos 12.03.2008 Согласно новому рейтингу, составленному компанией Sophos на основе статистики по объемам рассылаемого спама в пересчете на душу населения, мировыми лидерами по спамопроизводительности являются острова Полинезии, Атлантики и города-государства Европы. Страны, по данным Sophos за IV квартал 2007 года ответственные за треть всех спам-рассылок, в новом списке оказались далеко за пределами первой десятки. Так, США - государство с обширным компьютерным парком, активно используемым спамерами, - по количеству рассылаемого спама в пересчете на душу населения оказалась на 64 месте, Россия - на 45, Китай - на 132. Первое место в "подушном" рейтинге стран-источников спама Sophos отвела полинезийскому острову Питкэрн, на котором проживают 50 подданных британской короны. Вторую и третью ступеньки этого непочетного пьедестала занимают новозеландские владения в Тихом Океане - островные государства Ниуэ и Токелау, каждое с численностью населения около 2000 человек. В ведущую десятку нового списка вошли также Фарерские, Бермудские, Фолклендские острова и города-княжества Монако и Андорра. Следует отметить, что данный итог систематизации статистики по спаму от Sophos вовсе не означает, будто все население малых островных государств поголовно вовлечено в спамерскую деятельность. Одной из возможных причин изобилия спама, рассылаемого с данных территорий, является слабая защита местного компьютерного парка от сетевых угроз. Например, рассылки могут производиться с похищенных (и, скорее всего, проданных на подпольном рынке) аккаунтов, зарегистрированных на местных электронных почтовых сервисах. Кроме того, использование спамерами веб-сайтов в доменных зонах названных государств может быть тактическим маневром, предназначенным для обхода спам-фильтров. Источник: SOPHOS SMS-спам становится глобальной проблемой 12.03.2008 Согласно либеральным оценкам маркетинговой компании Ferris Research, в прошлом году жители США получили 1,1 миллиарда спамовых SMS-сообщений. Ожидается, что мобильный "урожай" 2008 года будет выше в полтора раза. В США преобладает способ рассылки мобильного текстового спама при помощи интернет-сервисов операторов связи для отправки SMS, причем такой спам носит преимущественно рекламный характер. По данным региональных мобильных операторов компании Cloudmark, в Северной Америке каждое четвертое SMS-сообщение, посланное на мобильный телефон из Интернета, является спамовым. Почти четверть пользователей мобильной связи в США, принявших участие в проведенном маркетинговой компанией Nielsen Mobile опросе, заявили о фактах получения текстового спама в течение предыдущего месяца. Более половины из них предприняли ответные действия: отправили ответную SMS-реплику или позвонили по указанному номеру. Следует отметить, что в США при осуществлении коммерческих SMS-рассылок рекламодатель должен заручиться предварительным согласием абонентов на получение рекламы. Итоги опроса, проведенного маркетинговой компанией M:Metrics, показали, что за последние 8 месяцев число невольных получателей текстовой рекламы (не оформлявших подписку) выросло в полтора раза и в настоящее время составляет 28% от общего числа пользователей мобильной связи. Нелегитимная реклама недешево обходится американским владельцам сотовых телефонов: каждое входящее SMS-сообщение стоит 10-20 центов. Что касается злоупотреблений мобильной связью в странах Европы, политика ограничения европейскими операторами чужой рекламы и сравнительно высокая стоимость SMS-связи ограждает владельцев мобильных телефонов от навязчивых спам-рассылок, хотя и не гарантирует их полного отсутствия. Здесь, по оценкам Cloudmark, преобладает так называемый "смишинг" (SMS-атаки фишеров) и рассылка сообщений с просьбой перезвонить на номер, обслуживаемый по завышенному тарифу. Проблему составляют также DDoS-атаки, осуществляемые с помощью текстовых сообщений. Пользователи мобильной связи в Китае и странах Юго-Восточной Азии, где стоимость текстовых сообщений невысока, более привычны к получению коммерческой рекламы. Кроме того, мобильные телефоны здесь повсеместно используются для подключения к Интернету, поэтому SMS-каналы активно эксплуатируются спамерами и фишерами. По данным Cloudmark, в Китае каждый рядовой владелец мобильного телефона ежедневно получает в среднем 6-10 спамовых сообщений. В Индии количество спама, получаемого клиентами некоторых операторов мобильной связи, составляет около 30% от общего объема текстовых сообщений - даже при наличии систем фильтрации. При SMS-рассылках спамеры используют те же приемы, что и в электронно-почтовом сервисе. Они добывают телефонные номера абонентов мобильной связи, взламывая базы данных легальных веб-сайтов, имеющих разрешение на рассылку SMS-сообщений, - бюро путешествий, интернет-магазинов; подделывают адреса отправителей, используют незарегистрированные SIM-карты с предоплатой. Кроме того, подобрать телефонный номер неизмеримо легче, чем адрес электронной почты - выбор ограничен 10 цифрами. Большинство текстовых сообщений отсылается в незашифрованном виде, что облегчает их перехват и открывает злоумышленникам доступ к персональным данным получателя. Злоупотребления в мобильном сервисе подрывают доверие к этому средству связи, увеличивают накладные расходы операторов и отсев абонентов. Распространение нелегитимной рекламы по SMS-каналам ведет к уменьшению числа подписчиков на извещения легальных рекламодателей. Это лишает операторов солидной статьи дохода и умаляет перспективы мобильной связи как эффективного средства маркетинга. Источник: WASHINGTONPOST Источник: TheRegister "Троянский" скринсейвер на ваш выбор 12.03.2008 Специалисты компании Sunbelt Software предупреждают о появлении спамовых сообщений, призывающих обзавестись трехмерным скринсейвером. Пройдя по указанной в письме ссылке, получатель попадает на веб-страницу, где под видом представленного в широком ассортименте искомого продукта ему предлагают загрузить программу-бэкдор. По данным Sunbelt, данный троянец пока не детектируется большинством антивирусных средств. После загрузки он посылает http-запрос на установку других вредоносных программ, а затем ожидает команды от управляющего сервера. Открываемые по ссылкам в спам-письмах страницы размещены, по всей видимости, на приобщенных к ботнету серверах. Экспертам Sunbelt удалось заблокировать один из двух обнаруженных хостингов. Троянский бэкдор загружается с сервера, который, как оказалось, контролируется криминальной группировкой, приостановившей свою деятельность в Интернете после предпринятой конкурентами DDoS-атаки. Данная группировка организовала онлайн-сервис по распространению различного вредоносного ПО на заказ и взимала плату в зависимости от результата - по числу заражений. В октябре 2007 года ее члены оперировали ботнетом, в состав которого входило более 35000 ПК. Цена в зависимости от географического местоположения атакуемых машин могла составлять от нескольких десятков до трех сотен долларов за тысячу успешных попыток инфицирования. "Бизнес-центр" сервиса, предоставляющего "скринсейверы", первоначально был размещен в доменной зоне ".сс" (она принадлежит Кокосовым островам). Исследователи Sunbelt обнаружили, что теневые "бизнесмены" сменили доменн. По экспертному мнению, создавшая данный сервис группировка имеет российские корни. В пользу этого предположения говорит в том числе тот факт, что большая часть представленной на сайте злоумышленников информации изложена по-русски. Источник: Sunbelt Blog Источник: SC Magazine Спам-статистика за период 03 - 09 марта 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета за прошедшую неделю несколько уменьшилась по сравнению с предыдущей и составила в среднем 89,8%. В тематическом распределении спама произошло несколько существенных изменений: на 5% увеличилась относительная доля лидера рейтинга - рубрики "Медикаменты; товары и услуги для здоровья", почти столько же прибавила тематика-новичок "Реплики элитных часов". На 6,6% уменьшилось количество рассылок, посвященных образованию. Как и следовало ожидать, значительная часть спам-рассылок на прошедшей неделе была связана с 8 Марта, хотя ассортимент предлагаемых спамерами товаров особым разнообразием не отличался. Наряду с уже упоминавшимися нами многочисленными предложениями услуг по продаже и доставке цветочных букетов для любимой нельзя не отметить рекламу пинцета для бровей с подсветкой. Не растерялись и порноспамеры, воспользовавшиеся моментом и приурочившие к наступающему празднику рекламу сайтов определенного содержания и пособия под многообещающим названием "Система тотального подчинения женщины" (предложения приобрести которое неоднократно встречались нам и ранее). Из старых знакомых в потоках спама на прошедшей неделе также объявились системы "Golden Stream" и "Киберсант-матрица". Мошенники пытаются вовлечь интернет-пользователей в финансовые пирамиды, предлагая приобрести специальное программное обеспечение и уверяя, что оно способно принести быстрый и крупный доход. Самым примечательным событием в спаме на прошедшей неделе, пожалуй, стала рассылка, произведенная от имени шеф-редактора газеты "Коммерсантъ". Спам-письма радостно сообщали о том, что теперь издание будет выпускаться в рулонах, и расписывали все прелести "клозетного носителя". Сотрудники издательского дома "Коммерсантъ" официально заявили о своей непричастности к этой акции и назвали ее "черным" PR. Напомним, что спамерские технологии позволяют вписать в поле "From" ("От") произвольный электронный адрес, что обеспечивает нелегитимным рассылкам анонимность и делает их удобным инструментом "черного" PR. В заключение хотелось бы упомянуть об одном уже опробованном спамерами приеме для обхода спам-фильтров, получившем широкое распространение на прошедшей неделе. Письма многих спам-рассылок содержали ссылки на страницу сервиса Google с заданным поисковым запросом, обеспечивающим редирект на сайт со спам-рекламой. В качестве запроса использовался URL данного сайта. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 29,8% +5,0% 2 Другие товары и услуги Предложения других товаров и услуг 16,7% -4,9% 3 Образование Реклама семинаров, тренингов, курсов 11,8% -6,6% 4 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 9,4% +4,8% 5 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6,4% -0,7% 6 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 5,5% -1,1% 7 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,5% +1,7% 8 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 3,5% +0,7% 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 3,1% +2,0% 10 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,3% +0,5% 11 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2,1% +0,3% 12 Юридические услуги и аудит Предложения юридических услуг 2,0% -1,5% 13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,9% 14 Остальной спам   Менее 2% -1,1% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Любовь в спаме Анна Володина, "Лаборатория Касперского" На пороге весны мы традиционно отмечаем три праздника - День святого Валентина (14 февраля), 23 февраля и 8 Марта. Именно в эти дни люди настраиваются на романтический лад, стремятся выразить свои самые светлые и теплые чувства. Спамеры не могут не воспользоваться моментом. Любовная тематика в потоках спама как любовная лирика в поэтическом сборнике - куда без нее? Симпатия, страсть, вожделение... Игра на эти сильных и глубоких чувствах помогает инициаторам спам-рассылок привлечь внимание получателей и заманить их в свои сети. В этом году в предпраздничные и праздничные периоды мы зафиксировали огромное количество разнообразных рассылок, так или иначе эксплуатирующих любовную тему. Своими наблюдениями мы хотим поделиться с вами. Мы уже неоднократно говорили о "романтическом" спаме, в течение многих лет не покидающем потоки нелегитимной электронной корреспонденции. Это и трепетные послания "нигерийских" невест, сулящих своему спасителю себя с несметным богатством впридачу, и лавина предложений избавиться от мужских проблем при помощи Виагры и подобных ей чудо-снадобий, и реклама порносайтов - чаще всего довольно банальных. Вообще спамовые письма, приуроченные ко Дню всех влюбленных и к двум, так сказать, гендерно окрашенным праздникам, можно условно разделить на следующие категории: реклама подарков и мероприятий, предложения воспользоваться сайтом знакомств и "валентинки". Что касается услуг по проведению праздничных мероприятий, то они достаточно однообразны - как правило, предлагается романтический вечер с соответствующей обстановкой и свечами. С подарками дело обстоит иначе. Их ассортимент подчас не уступает к новогоднему. При этом практически любой товар позиционируется как "самый-самый", "удивительный", "необычный" презент - в лучших традициях спамеров. Так, нестандартно поздравить в День святого Валентина и тем самым приятно удивить любимого/любимую предлагается, преподнеся ему/ей сертификат на обучение вождению. Действительно, чем не оптимальное решение для людей с практическим складом ума? Для романтических натур, пожалуй, больше подойдет предложение "цветочной камасутры". Милых дам в их день можно порадовать следующими способами: Украсить праздничную вечеринку обнаженными мужчинами. Преподнести букет. Спам последнего времени изобиловал предложениями различных фирм по продаже и доставке цветочных композиций. Покупателям обещались исключительно свежие и лучшие цветы. Кое-кто решил соригинальничать и здесь - вместо привычных букетов предлагалось приобрести букеты из конфет. Поразить подарком оригинальным и полезным. Таким как машинка для нанесения рисунка на ногти в домашних условиях. Второй распространенный тип спама, посвященного любовной тематике - реклама сайтов знакомств. Наряду с прямой рекламой подобных ресурсов (в том числе даже для домашних животных!), т.е. с предложениями посетить их, попадаются весьма оригинальные рассылки. Зачастую используется классический спамерский прием - попытка маскировки под личную переписку. Получатель всегда охотнее читает корреспонденцию, адресованную непосредственно ему. К тому же, если человек верит, что перед ним в самом деле личное письмо, но попавшее к нему по ошибке, он продолжает читать из любопытства и склонен доверять заключенной в сообщении информации. В одной из рассылок незнакомец предлагал читательнице самостоятельно ввести адрес его анкеты на сайте знакомств в строку браузера по частям: "Набери {***}, потом {***}, затем {***}". Складывающаяся из фрагментов ссылка на самом деле имела нехарактерный для анкет на данном сайте вид, и при попытке ее открытия осуществлялся переход на главную страницу. Сложная схема с ручным набором адреса была придумана спамерами с целью обхода спам-фильтров. Как и большинство подобных уловок, она приводит к снижению читабельности текста. Очень похожи на это письмо непосредственные предложения знакомства. Пока доподлинно не известно, что именно скрывается за рассылаемыми на миллионы почтовых адресов Рунета прозрачными намеками одиноких девушек на переписку и встречу. Возможно, иные отчаявшиеся барышни и вправду не видят другого способа найти свое счастье. Однако вероятнее всего следует говорить о мошенничестве. Гораздо чаще, чем телефон или электронный адрес, желающие познакомиться оставляют потенциальным избранникам ссылку на страничку со своими фотографиями. По ней незадачливого искателя отношений может ожидать что угодно - от опасной вредоносной программы до предложения заплатить несколько долларов и сполна насладиться порнографической фото- и видеопродукцией. То же самое касается и виртуальных "валентинок". Если письмо прислано неизвестным отправителем, можно не сомневаться - вложенный файл является вредоносным. Зловред может поджидать вас и по ссылкам, внедренным в "поздравительное" послание (что, впрочем, не помешает увидеть романтичные и красочные картинки). В лучшем случае ссылки приведут вас на не относящийся к теме сайт, рекламируемый спамерами обманным путем. Как и в обычной жизни, любовь в спаме может быть коварна. Будьте бдительны и поменьше вам сердечных терзаний! (Примеры спамовых писем вы найдете на сайте Спамтест.) Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005