"Лаборатория Касперского" Электронный журнал "Спамтест" No. 239 в этом номере: Новости Спам-статистика за период 23 - 29 июня 2008 г. Новости BitDefender: спам и фишинг в первом полугодии 2008 30.06.2008 Согласно отчету компании BitDefender, объемы нелегитимных писем в текстовом формате за истекшие полгода выросли до 70% спам-трафика, основную часть которого составляет реклама медицинских товаров и услуг. Излюбленной мишенью фишеров остаются англоязычные пользователи eBay и Paypal, а также крупнейших банковских онлайн-сервисов. По оценке BitDefender, за отчетный период объемы графического спама снизились с 60 до 3%. Количество спамовых писем с вложениями, включая аудио- и видеоконтент, также сократилось и в настоящее время составляет около 10% от общего объема спама в Интернете. Инициаторы спам-рассылок явно стали отдавать предпочтение простым коротким сообщениям в текстовом формате, на долю которых в первой половине прошлого года приходилось всего 20% спам-трафика. В тематическом разделении спам-рассылок лидирует категория медикаментов, на втором месте реклама поддельных ручных часов, на третьем - фишинговые послания. Из списка ведущей десятки категорий почти исчез "биржевой" спам, объемы которого за полгода сократились с 25 до 2% спам-трафика. Что касается фишинга, исследователи отмечают увеличение числа атакуемых злоумышленниками брэндов финансовых структур, а также количества целевых атак против их клиентов. Несмотря на преобладание англоязычных версий фишинговых писем, источники релевантных атак отличаются географическим разнообразием. В последние недели июня в компании были зафиксированы фишинговые атаки, осуществленные с территорий Испании, Италии и Франции. Помимо поддельных писем от имени легальных сервисов, фишеры также эффективно используют традиционный текстовый спам. По данным BitDefender, в прошедшем полугодии число жертв фишинга ежемесячно составляло около 50000. Источник: itwire.com MAAWG представила проект по ограничению спама с ботнетов 30.06.2008 Рабочая группа по борьбе со злоупотреблениями в системах передачи сообщений MAAWG разработала практические рекомендации, руководствуясь которыми, интернет-провайдеры смогут эффективней идентифицировать спам, рассылаемый с динамических IP-адресов и методом переадресации. Переадресация почты является одним из способов, широко используемых спамерами для рассылки нелегитимной рекламы с ботнетов, и политика многих интернет-провайдеров ориентирована на блокировку больших объемов подобной корреспонденции, проходящей через почтовые серверы. Однако в настоящее время ввиду интенсификации спам-трафика входящая легитимная почта, переадресованная с давно используемых аккаунтов, может восприниматься как спам и подвергаться автоматической блокировке. MAAWG предложила разделить почтовые серверы, принимающие входящую корреспонденцию, и серверы, перенаправляющие ее по указанному адресу. Таким образом, интернет-провайдеры получают возможность удостовериться в полномочности отсылающего сервера и отсеять спам до передачи его на адреса получателей. В настоящее время лишь немногие интернет-провайдеры предпринимают какие-либо меры, направленные на решение проблемы "переадресованного" спама. Активисты MAAWG надеются, что широкое распространение рекомендованной практики поможет пресечь поток подобной нелегитимной корреспонденции без ущерба для легальной почты. Вторая директива призвана наладить обмен информацией об использующихся провайдерами динамических адресных пространствах с целью повышения оперативности при обновлении настроек спам-фильтров. Дело в том, что установленный в зараженной системе спам-бот чаще всего начинает рассылать спам через порт 25 напрямую в Сеть - в отличие от легитимных отправлений, отсылаемых через порт 587 на почтовый сервер, требующий авторизации. Присваиваемые при подключении к Интернету динамические IP-адреса инфицированных машин далеко не всегда автоматически блокируются интернет-провайдерами. В настоящее время неавторизованную почту, рассылаемую с порта 25 непосредственно в Интернет, блокируют только крупные интернет-провайдеры. По оценке MAAWG, около половины провайдеров (преимущественно за пределами западного мира) этого вовсе не практикуют. Разумеется, принимающий почту сервер может заблокировать уличенный в рассылке спама адрес, однако многие вредоносные программы сориентированы на перезапуск резидентной системы для получения нового динамического IP-адреса взамен "засвеченного". Первоначально авторы проекта предложили ввести повсеместную практику автоматической блокировки всех ПК, уличенных в рассылке почты с порта 25, - за исключением особых случаев его легитимного использования. Однако не все интернет-провайдеры обладают такой возможностью, поэтому окончательное решение вопроса свелось к идее обмена информацией по динамическим IP-адресам. Эту практику уже применяет некоммерческая организация Spamhaus, публикуя "черные списки" динамических адресов, рассылающих спам. Источник: PCWorld Об особенностях фильтрации иероглифического спама 01.07.2008 Специалисты компании Commtouch обнаружили образцы спамовых писем на китайском языке, оформленные по традиционным канонам иероглифической письменности - с вертикальным расположением языковых символов. Как отмечают исследователи, идентификация спама на китайском и японском языках всегда представляла проблему для защитных систем, основанных на фильтрации контента. В отличие от символики, принятой в прочих языках, иероглифы представлены двумя байтами, а сам иероглифический алфавит отличается значительной избыточностью. Кроме того, в китайском и японском языках слова не разделяются пробелами, могут быть представлены несколькими иероглифами, а их значение уточняется дополнительными смысловыми знаками. Наконец, классическое иероглифическое письмо имеет вертикальную ориентацию, затрудняющую работу обычных контент-сканеров. Все эти особенности требуют специальной настройки систем фильтрации. При использовании компьютера вертикальная форма написания, как правило, заменяется на общепринятую - слева направо и сверху вниз. В образцах же нелегитимных рекламных писем, зафиксированных Commtouch, обнаружилось традиционное вертикальное расположение иероглифов, которое легко прочитывается китайскими пользователями, но затрудняет процесс спам-фильтрации. Источник: Commtouch Спам становится все более опасным 02.07.2008 Анализ итогов проведенного компанией McAfee глобального эксперимента S.P.A.M. подтвердил, что спамеры не сдают позиций и непрерывно совершенствуют технологии отъема денежных средств и хищения персональной информации у пользователей Интернета. По уточненным данным, участники апрельской акции получили более 104000 единиц спама, многие из которых оказались фишинговыми посланиями или были потенциальными источниками вирусной инфекции. Напомним, что в течение апреля 50 добровольцев из 10 стран, вооружившись незащищенным лэптопом и специально созданными реквизитами, ежедневно путешествовали по "всемирной паутине", отзываясь на каждый призыв спамеров и регистрируя последствия своих действий. За месяц эксперимента каждый участник получил в среднем 2096 единиц спама - около 70 за сутки, что по современным меркам на удивление немного. Как показала собранная в ходе эксперимента статистика, по количеству спама лидируют американские пользователи - за месяц участники из США суммарно получили 23233 единиц спама. На втором месте оказалась Бразилия (15856 единиц), на третьем - Италия (15610 единиц). Меньше всех спама получили немцы и французы. В тематическом разделении полученного участниками спама превалировали категории рекламы, финансов и медицинских товаров и услуг. Широкая эксплуатация финансовой тематики в спаме отчасти была обусловлена объективными причинами: эксперимент проводился в период пересмотра налоговых льгот и условий кредитования. В связи с этим категория товаров, традиционно продвигаемых спамерами, - поддельных наручных часов и прочих "предметов роскоши" - оказалась в десятке лидеров на последнем месте. В категории "нигерийское мошенничество" лидировали добровольцы из Великобритании, которые получили 23% от общего количества подобных писем, зафиксированных участниками эксперимента. Распространители порноспама активней прочих атаковали жителей США, на долю которых приходилось 18% от общего объема спама, собранного в этой категории. В целом исследователи McAfee отмечают, что спамеры все чаще отдают предпочтение целевым рассылкам, изменяя спамовый контент в зависимости от местных условий обитания потенциальных получателей нелегитимных писем. Использование спамерами многоязычных вариантов текста и последних достижений социальной инженерии во многих случаях обеспечивает положительный отклик рецепиентов и позволяет "продавить" спамовые сообщения через системы фильтрации почты. Согласно итогам S.P.A.M., больше прочих неанглоязычный спам получали французы и немцы - 11 и 14% от общего объема соответственно. Что касается злонамеренных посланий, в Интернете пока опубликована только статистика, собранная английскими участниками эксперимента. Хотя они не получили ни одного письма, зараженного вирусами, 8% зарегистрированных ими нелегитимных сообщений были признаны фишинговыми. В целом в ходе эксперимента добровольцы отмечали постепенное снижение производительности вверенных им компьютерных ресурсов, которое эксперты объяснили наличием вредоносных программ, скрытно установленных на лэптопы во время работы в Сети. Как считают в McAfee, апрельский эксперимент подтвердил тенденцию к криминализации и персистентной эволюции спама, масштабы которого не оставляют надежды на искоренение этого явления, но диктуют настоятельную потребность в установлении контроля над ним. Источник: itwire.com MessageLabs: июнь - месяц вредоносных посланий с ботнет 02.07.2008 Согласно статистике компании MessageLabs, в прошедшем месяце уровень спама из новых и неизвестных источников незначительно снизился и составил 76,5% почтового трафика, хотя квартальные объемы спама превысили все показатели за последние полтора года. Активность повелителей одиозного "штормового" троянца за последний квартал снизилась вчетверо, поэтому спамеры обратились к услугам операторов других криминальных ресурсов, в частности, Srizbi , на долю которого в настоящее время приходится около 40% спам-трафика. По данным MessageLabs, за истекший месяц Швейцария обогнала Гонконг по уровню получаемого спама, который в этой стране составляет 84,8% от общего объема почтовой корреспонденции. В отраслевом разделении по уровню спама бессменно лидирует производственный сектор с показателем 82,9%. Пытаясь привлечь внимание пользователей, спамеры используют самые разнообразные уловки. В одной из зафиксированных экспертами спам-рассылок текст письма призывал просмотреть видеоролик, якобы изображающий получателя в невыгодном для него свете. Указанные в подобных письмах ссылки с виду носили вполне легитимный характер и были привязаны к домену поисковой системы Dogpile, но при активации перенаправляли получателя на вредоносную веб-страницу с уже неоднократно использовавшимся злоумышленниками троянским файлом video.exe. IP-адреса данной страницы были опознаны экспертами как принадлежащие "штормовому" ресурсу. В двух июньских спам-рассылках, зарегистрированных в MessageLabs, злоумышленники использовали имя Барака Обамы. Один из образцов спамовых писем был снабжен ссылкой на интернет-ресурс PornTube, где поддельная веб-страница r.html пыталась под видом компонента ActiveX загрузить все тот же файл video.exe, по данным MessageLabs, взаимосвязанный со "штормовым" ботнетом. Второй образец спама традиционно рекламировал поддельные наручные часы. Кроме того, "штормовой" ботнет был уличен экспертами в рассылке нелегитимных сообщений о мифическом землетрясении в Китае. Что касается фишинга, то несмотря на сокращение количества сетевых атак, число атакуемых организаций продолжает увеличиваться. В число подделываемых фишерами брэндов стали входит также кадровые агентства и онлайн-сервисы розничной торговли. Специалисты MessageLabs особо отмечают, что за последний месяц число ежедневно блокируемых новых зараженных веб-сайтов увеличилось на 58% и достигло беспрецедентного уровня, если сравнивать с показателями последних 13 месяцев. Эксперты полагают, что этот факт является следствием проведенной в течение года кампании по блокированию веб-хостингов шпионского ПО и специализированных программ для распространения нелегитимной рекламы (adware). Источник: MessageLabs Оператор ботнета решил покаяться 02.07.2008 19-летний автор троянской программы Nugache и владелец многотысячного ботнета, обвиняемый в несанкционированном доступе к чужим компьютерам с целью кражи конфиденциальной информации, признает свою вину в обмен на смягчение приговора. Созданный Джейсоном Милмонтом (Jason Milmont) троянец, зафиксированный в базе данных "Лаборатории Касперского" как Email-Worm.Win32.Nugache, появился в Интернете в начале 2006 года. Высокое на тот момент техническое исполнение выгодно отличало новую троянскую программу от конкурирующих "изданий". Зараженные ею ПК становились частью децентрализованного ботнета, управление которым осуществлялось на основе р2р-протокола. По данным инициированного ФБР расследования, IP-адреса управляющего ресурса и вредоносного веб-хостинга менялись каждые 300 секунд. Милмонт внедрил троянца в популярные прикладные программы, которые предлагал "в безвозмездного пользование" на поддельных веб-страницах р2р-сетей. Инфицирование пользовательских ПК также осуществлялось путем размещения вредоносных ссылок в блогах и распространения спама с релевантными ссылками по IM-каналам AOL. Активизация Nugache на резидентной машине порождала новую волну спам-рассылок по контактным адресам жертвы. Юный вирусописатель начал даже предлагать услуги по рассылке спама по умеренным ценам. По данным компании Secure Computing, он брал менее 100 долларов за отправку миллиона писем (к слову сказать, весьма малограмотных с точки зрения грамматики). Масштабные спам-рассылки объемом свыше 10 миллионов обходились заказчику еще дешевле - менее 80 долларов. Со временем Милмонт усовершенствовал свое оружие: добавил графический интерфейс, позволивший контролировать зараженные машины с домашнего сервера; стал шифровать внутренний трафик и оперативно менять структуру троянского кода, чтобы обойти антивирусные средства, работающие по методу сигнатурного анализа. Последняя версия Nugache включала кей-логгер, позволяющий красть персональную информацию жертв инфекции. По оценкам следователей, в состав данного ботнета входило 5-15 тысяч готовых к действию инфицированных машин. Специалисты Secure Computing ежедневно фиксировали в Сети не менее 300-400 тысяч активных единиц Nugache. Помимо рассылки вредоносного спама, ботнет использовался Милмонтом для проведения DDoS-атак, сбора пользовательской информации и оформления покупок в Интернете с помощью похищенных реквизитов. Максимальным уголовным наказанием, которое Милмонт просил смягчить в обмен на признание вины, является тюремное заключение на срок до 5 лет и штраф на сумму 250 тысяч долларов. Злоумышленник также согласился уплатить своим жертвам компенсацию - около 74 тысяч долларов. Источник: theregister.co.uk Источник: darkreading.com Спам-статистика за период 23 - 29 июня 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 82,3%. Изменения, произошедшие в тематическом распределении спама, были незначительны. Доля спама, посвященного медикаментам, снизилась на 3,5%. На 2% выросла доля спама, посвященного услугам, связанным с компьютерами и интернетом, и на 1,9% - доля спама "для взрослых". Колебания долей других рубрик были в пределах 1%. Главным событием прошедшей недели для многих миллионов человек стали страсти, развернувшиеся вокруг футбола. Спам не остался в стороне. С помощью спама рассылались предложения поддержать свою команду или выразить презрение к команде противника. Многие компании использовали футбольную тему для привлечения внимания к собственной продукции. Спамеры не стали исключением. Выразительный пример - письмо, в котором внимание пользователя к рекламе спам-рассылок привлекают с помощью "футбольного" слова в теме письма, а в качестве "иллюстрации" к такому предложению и используется фотография с матча. Среди интересных технических новинок, использованных спамерами в этот период, можно отметить использование аккаунтов livejournal в качестве бесплатного хостинга. Как это часто бывает, "первооткрывателями" стали спамеры, рекламирующие медицинские препараты. В недельной спам-корреспонденции нашлось и типичное нигерийское письмо, в котором адвокат рассказывает о своем погибшем богатом клиенте, все родственники которого также успели умереть еще раньше, и предлагает получателю вместе добыть и разделить оставшееся богатство. Любопытно в этом примере использование ссылки на статью из Википедии, не относящейся к делу напрямую (она иллюстрирует только то, что упомянутый катаклизм произошел в действительности). Видимо, автор решил, что такая ссылка сделает письмо более убедительным... Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 22,4% -3,5% 2 Другие товары и услуги Предложения других товаров и услуг 18,9% -0,4% 3 Образование Реклама семинаров, тренингов, курсов 15,7% -0,5% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 11,2% +0,9% 5 Реплики элитных часов Копии элитных, в первую очередь швейцарских, часов 8,3% -0,1% 6 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. 5,0% +1,9% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 4,8% +2,0% 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,2% -0,6% 9 Юридические услуги и аудит Предложения юридических услуг 2,6% +0,1% 10 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. 2,2% Без изменений 11 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 2,0% +0,5% 12 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -0,4% 13 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% +0,1% 14 Остальной спам   Менее 2% +0,1% Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005