"Лаборатория Касперского" Электронный журнал "Спамтест" No. 237 в этом номере: Новости Спам-статистика за период 09 - 15 июня 2008 г. Новости IronPort о монетизации фармаспама 16.06.2008 По оценке компании IronPort более 80% спама, рассылаемого со "штормового" ботнета, составляет реклама интернет-аптек, зачастую занимающихся продажей контрафактных и вредных для здоровья медикаментов. Исследователям удалось установить, что повелители "штормового" троянца состоят в деловом партнерстве с теневыми бизнесменами от фармацевтики. Пытаясь выявить, кто стоит за одиозным ботнетом, эксперты IronPort обнаружили, что указываемые в фармацевтическом спаме ссылки ведут на веб-сайт SpamIt.com, посещение которого требует регистрации. Упорное уведомление об ошибке в связи с недоступностью сервера свидетельствовало о напряженном ритме работы ресурса, по всей видимости, занятого обработкой многочисленных запросов от спам-ботов. Как выяснилось, источник повышенной сетевой активности был связан с доменом mycanadianpharmacy.com, на котором размещен уже известный экспертам хорошо налаженный комплексный сервис по организации онлайн-продаж медикаментов сомнительного качества. Его клиентами являются канадские интернет-аптеки, названия которых часто встречаются в спам-рекламе, распространяемой со "штормового" ботнета, - Canadian Pharmacy, The Canadian Meds и Canadian Pharmacy Ltd. По данным IronPort, подпольный фармабизнес на базе Интернета поставлен на широкую ногу. Рекламируемые в спаме, рассылаемом с арендуемой части ботнета, снадобья изготавливаются в Индии и Китае. Две трети из них содержат активные компоненты в произвольной дозировке, а остальные представляют собой плацебо либо содержат вредные для организма наполнители. Заказы, оформляемые доверчивыми читателями спамовых писем, обрабатываются подрядными сервисами (также предоставляемыми в аренду) и обслуживаются сетью поставщиков, а для "повышения качества сервиса" потенциальным покупателям предоставляются услуги VoIP-связи и платежных систем. Доходы от нелегального фармабизнеса измеряются сотнями миллионов; по имеющимся сведениям, одна только Canadian Pharmacy ежегодно получает от продаж более 150 миллионов долларов. Как утверждают исследователи, в число клиентов сервиса SpamIt входит также российский сервис Glavmed.com. Партнерская программа Главмед, как известно, - предприятие международного масштаба с широкой сетью фармадилеров во многих странах мира. Последние получают до 40% комиссионных за успешно проведенные сделки. По свидетельству специалистов IronPort, данная организация тоже использует услуги операторов "штормового" ботнета, снабжая их шаблонами и URL для рассылки своей рекламы, а также содержит штат веб-дизайнеров и предоставляет весь комплекс услуг по оформлению и выполнению заказов. Источник: TechNewsWorld Источник: darkreading.com MySpace отсудила у спамера $6 миллионов 17.06.2008 Арбитражным решением Скотт Рихтер, обвиненный в подделке аккаунтов MySpace и рассылке нелегитимной рекламы в этой социальной сети, возместит нанесенный им ущерб и оплатит судебные издержки в размере 4,8 и 1,2 миллиона долларов соответственно. По свидетельству MySpace, в 2006 году Рихтер и его компания Media Breakaway LLC неоднократно использовали ее социальный ресурс для распространения несанкционированной рекламы своего веб-сайта Consumerpromotionscenter.com. Как установило следствие, данные рассылки производились в нарушение федерального антиспам-законодательства США (CAN-SPAM) с пользовательских аккаунтов, доступ к которым был получен с помощью фишинга. Дело Рихтера, неоднократно уличавшегося в рассылке спама, в середине прошлого года по его просьбе было передано на рассмотрение в арбитраж. Помимо назначенного арбитром штрафа, Скотту Рихтеру и Media Breakaway был вынесен судебный запрет на использование социального ресурса MySpace. Источник: PCWorld Июньские захватнические войны 18.06.2008 С начала июня специалисты Marshal наблюдают вспышку вредоносных рассылок с ботнетов Srizbi, Storm и Pushdo, свидетельствующую об усилении конкурентной борьбы за установление контроля над пользовательскими компьютерами. Согласно статистике компании, обычно на долю злонамеренных посланий, рассылаемых с ботнетов, приходится 1-2% от их спамопотенциала. В первую неделю июня количество спама с вредоносными ссылками и вложениями выросло до невиданных объемов и составило 9,8% спам-трафика, генерируемого ботами. По оценке Marshal, особой активностью по-прежнему отличаются операторы ботнета Srizbi. Помимо использованных в предыдущей кампании образцов спама, призывающих получателя загрузить на свой компьютер спамбот под видом якобы компрометирующего его видеоролика, данный ботнет предлагает "троянский дуплет", замаскированный под бесплатное порно. Новые сообщения от Srizbi предельно лаконичны и содержат только ссылку, гласящую: "No credit card needed" ("Без оплаты"). Данная ссылка открывает страницу main.html, размещенную на легальном веб-хостинге, которая по оформлению напоминает страницу видеосервиса YouTube и носит созвучное наименование - PornTube. При попытке скачать видеоролик на машину любителя "клубнички" загружается вредоносный файл video1.exe. Веб-браузеры с активным яваскриптом выводят уведомление о том, что для просмотра необходимо установить компонент ActiveX, под видом которого на машину жертвы загружается все тот же файл-даунлоудер. При установке и запуске даунлоудера получатель "бесплатного порно" становится обладателем спамбота Srizbi и троянской программы FakeAlert Trojan. Последняя генерирует ложные уведомления о наличии в системе шпионского ПО, провоцируя владельца приобрести специальную программу для очистки. Тем временем спамбот Srizbi начинает свою закулисную игру на новом подконтрольном ресурсе. Что касается вредоносного спама, распространяемого операторами "штормового" ботнета, он по-прежнему полон уверений в романтических чувствах и пытается вынудить получателей кликнуть по ссылке в виде IP-адреса "троянского" веб-хостинга. "Поклонники знаменитостей" также не отличаются большой изобретательностью и завлекают потенциальных жертв заряженной троянцем виртуальной открыткой, вложенной в спамовое письмо zip-файлом. Источник: Marshal "Росатом": спам-рассылки об авариях на Ленинградской и Волгодонской АЭС - очередная фальшивка 18.06.2008 В воскресенье, 15 июня, в Рунете появились спамовые сообщения о повышении радиационного фона в Ленинградской и Ростовской областях в связи с якобы происшедшей утечкой на местных АЭС. В официальном заявлении госкорпорация по атомной энергии "Росатом" решительно опровергла эти слухи и расценивает данную акцию как очередную информационную провокацию. Один из образцов спамовых писем был написан от имени пресс-центра атомной энергетики и промышленности и озаглавлен "Авария на ЛАЭС". Последующая спам-рассылка осуществлялась от имени и с поддельного адреса общественной организации, занимающейся защитой природы на юге России, - "Экологическая вахта по северному Кавказу". В этих сообщениях со ссылкой на Североамериканское Агентство по Авиации и Космонавтике говорилось о повышенном уровне радиационного излучения в нижнем течении Дона и Таганрогском заливе, причиной которого якобы является утечка на Волгодонской АЭС. Представители пресс-службы "Росатом" опровергли эти слухи и заявили, что все атомные станции РФ, включая Ленинградскую и Волгодонскую, эксплуатируются в нормальном режиме. Радиационный фон на площадках АЭС соответствует природным значениям, характерным для данной местности. В "Росатом" полагают, что рассылка данных фальшивок "имеет целью породить волну слухов среди населения российских регионов". Следует отметить, что подобная провокация - далеко не первая в Рунете. Летом 2007 года в результате аналогичных действий против Волгодонской АЭС были спровоцированы волнения населения в Краснодарском и Ставропольском краях. А в начале июня текущего года появились SMS-сообщения и спам-рассылки о якобы имевшем месте инциденте на Ленинградской АЭС. Источник: АМИ-ТАСС Источник: Интерфакс Спам-статистика за период 09 - 15 июня 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе составила в среднем 85,1%. Тематическое распределение спама на прошедшей неделе претерпело значительные изменения. Серьезно увеличилась доля спама тематик "Медикаменты; товары и услуги для здоровья" (+6,3%) и "Личные финансы" (+3,9%). Также продолжает расти доля рубрики "Отдых и путешествия" (+1,1%). Доля рубрик "Образование" (-6,5%) и "Недвижимость" (-2,4%), напротив, уменьшилась Хотя доля спама "для взрослых" после резкого скачка на предыдущей неделе немного снизилась, его показатели по-прежнему остаются на высоком для этой тематики уровне (5,7%). На прошедшей неделе основные изменения в долевом распределении спама были обусловлены типичными спамерскими рассылками, ничего нового спамеры не придумали. В "медицинском" спаме рекламируются все те же препараты, используются все те же технические приемы, что и в течение последних месяцев. Рассылки, увеличившие долю рубрики "Личные финансы", также не новы для Рунета, хотя и являются англоязычными. Это, в первую очередь, предложения о выгодных ссудах и кредитах. В последнее время такие рассылки производились не слишком активно, но в прошлом это был один из основных типов англоязычного спама. Сказалось на содержании спам-рекламы и наступление летнего сезона. Нельзя не отметить разнообразие наводнивших спам предложений, касающихся отдыха и путешествий. Одно из таких спамовых писем можно прочитать ниже - все желающие приглашаются в Парк Горького на концерт, посвященный The Beatles и: Индии. Особенно трогательно выглядит приписка в конце рекламного текста с призывом разослать письмо минимум десяти адресатам, дабы обрести "благословения Лакшми-деви", и пояснение: "Конечно, с одной стороны - это рекламный ход, но с другой - это чистая правда : К тому же всегда приятно провести время с друзьями, не так ли?". Другой верный признак наступления лета в нашем высокотехнологичном мире - увеличение количества рекламы кондиционеров, вентиляционных систем и приспособлений, помогающих в использовании кондиционеров (например, специальных направляющих, которые призваны решить проблему сквозняков, возникающих при работе кондиционеров). На этом фоне несколько экзотично смотрится реклама интернет-магазина, торгующего пуховыми платками, перчатками, джемперами и другими вязаными изделиями. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 29,8% +6,3% 2 Другие товары и услуги Предложения других товаров и услуг 14,2% -3,0% 3 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 11,1% +1,1% 4 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 10,1% -0,2% 5 Образование Реклама семинаров, тренингов, курсов 9,3% -6,5% 6 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 6,7% +3,9% 7 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 5,7% -1,2% 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,5% +0,9% 9 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 4,2% +2,2% 10 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 2,7% -1,2% 11 Остальной спам   2% +1,0% 12 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -2,4% 13 Юридические услуги и аудит Предложения юридических услуг Менее 2% -0,9% 14 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% Без изменений Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005