"Лаборатория Касперского" Электронный журнал "Спамтест" No. 244 в этом номере: Новости Спам - статистика за период 28 июля - 03 августа 2008 г. Спам в июле 2008 г. Новости ФАС поймал второго за 2 года спамера 04.08.2008 C момента принятия в России закона "О рекламе" и введения штрафов за распространение спама был известен лишь один случай применения статьи закона о несанкционированной рассылке. На днях Тамбовское управление ФАС отловило и второго спамера, которым оказался филиал национального банка "Траст". Правда, обвиняемая организация утверждает, что спам не рассылает, а произошедшее - недоработка сотрудников банка. Сотрудник тамбовского филиала "Траст", занимавшийся рассылкой, утверждает, что согласие на получение рекламных предложений было им получено по телефону, как того и требует закон. На данный момент, по словам директора холдинга "Траст" по внешним связям, идет проверка факта нарушения правила банка - не использовать при рассылке сторонние базы данных. Возможно, что и эта рассылка осталась бы незамеченной для ФАС, однако спам-сообщение с рекламой кредитных услуг банка "Траст" имело неосторожность свалиться прямо в рабочий ящик тамбовского филиала ФАС. Это так возмутило чиновников, что они обвинили банк в рассылке спама и грозят наложением штрафа. Размеры штрафа не поражают воображение: нарушение закона "О рекламе" может обойтись распространителю и рекламодателю в сумму в размере 40-500 МРОТ. Виновное должностное лицо может быть оштрафовано на сумму от 4000 до 20000 руб. Источник: Ведомости Блоггеры обиделись на Google 05.08.2008 В последние дни июля аккаунты многих пользователей сайта Blogger.com, принадлежащего компании Google, оказались заблокированы, а их хозяева причислены к спамерам. В течение буквально пары дней сотрудники Google обнаружили сбой в коде обработки данных, разблокировали аккаунты и разослали электронные письма с извинениями. Однако возмущение блоггеров не ослабевает до сих пор, вплоть до того, что некоторые из них грозят уходом с ресурса. Google сообщает, что из-за выявленной ошибки система обнаружения спама отмечает аккаунты с BLogger.com как спамерские, поэтому сейчас введен дополнительный контроль, чтобы избежать подобных ошибок и не потерять доверия пользователей. В мае этого года, по данным StopBadware.org, Google по масштабам заражения занимал пятое место среди сетей мира. Источник: The Register Источник: www.pcadvisor.co.uk Спамеры на каникулах 06.08.2008 MessageLabs Intelligence опубликовала ежемесячный отчет за июль 2008 года. Согласно полученным данным, объемы спама в июле сократились на 1,4% и составили 75,1% от общего объема электронного трафика. Каждое из 148,2 писем было заражено вредоносным ПО, что также меньше июньских показателей на 0,07%. Фишинговой атаке подвергся получатель каждого из 180,6 писем, и этот показатель превысил июньский на 0,19%. В июле, сообщает MassageLabs, на каждые 1,33 сообщения приходилось одно письмо, содержащее спам - и это без учета уже отфильтрованных писем, пришедших с адресов, отмеченных в "черном списке". Без использования такого фильтра общий объем спама составил бы 81%. В июле спамеры разработали новый механизм распространения рекламы при помощи приложения Google Sites. MessageLabs в своем июльском отчете сообщает о перехвате писем, содержащих ссылки на домены sites.google.com. Пока объем такого спама составляет всего 1%. Но ранее спамеры уже использовали другие приложения Google, такие как Google Docs, Google Pages и Google Calendar, и если новая технология станет столь же популярной, то это приведет к заметному росту спам-трафика в ближайшие месяцы. За прошедший месяц на 91% выросло число атак типа SQL Injection. Ежедневно в июле по этой причине блокировались в среднем 3968 сайтов. Основная опасность этой категории спама в том, что изначально легальный сайт становится разносчиком вредоносного кода JavaScript. На 17,3% уменьшилось количество писем, содержащих ссылки на зараженные сайты. Причем 7,2% из них были сгенерированы длительной атакой штормовых троянцев, и это привело к увеличению спуфинга на 1,4% - до 23,7%. Еще 33,2% "грязных" ссылок было получено в письмах, содержащих ссылку на файл video.exe и предлагающих новости на тему громких международных событий. Мировым спам-лидером в июле стала Швейцария. 84,2% ее электронного трафика составили несанкционированные рассылки. Максимальный рост спама (5,9%) был отмечен в США, а снижение его объемов на 11%- в Израиле, где количество спамовых писем составило всего 69,1%. Максимальный рост вирусной активности (0,48%) наблюдался в Канаде. Каждое из 80,7 писем несло в себе вредоносную программу, что ставит Канаду в июле на третье место в мировом вирусном рейтинге. Для сравнения: в Японии этот показатель составил 1 к 378,6. Продолжается сезонным спад объемов спама в бизнес-секторе рынка. Спама стало меньше практически во всех сегментах, за исключением некоммерческого, где его объемы за июль выросли на 5,8% и составили 82,2%. Источник: MessageLabs Россия - лидер международного спам-трафика 07.08.2008 По данным IBM, Россия генерирует 11,6% мирового спама, а более 38% ссылок в спамовых письмах ведут на американские сайты. В целом спам стал легче и лаконичнее. Согласно опубликованному IBM в конце июля отчету, столь популярный в 2007 году спам со вложенными изображениям, похоже, уходит в прошлое, а на его место приходит URL-спам. По мнению экспертов, это вызвано преимуществами его использования. Далеко не все спам-фильтры способны идентифицировать спам, если он представлен в виде нескольких слов и ссылки на сайт. Срок жизни URL, указанных в спаме, стремительно сокращается: еще 2 года назад эти ссылки работали по месяцу и больше, сейчас более 90% URL "живет" неделю, а то и того меньше. Одним из следствий отказа от спама с PDF и вложенными изображениями стало потеря спама в весе. В среднем размер спам сообщения в этом году составил менее 4 кб. Еще одна тенденция этого года - рост объемов рассылок писем, содержащих простой короткий текст, без каких-либо ссылок или приложенных файлов. Чаще всего, это так называемый stock-спам, направленный на повышение курса определенных акций. Россия (11,6%), Турция (8,0%) и США (7,1%) составили "большую тройку" стран, обеспечивающих более четверти международного спам трафика. IBM уточняет, что поскольку бот-сети могут управляться из любого уголка мира, применимо к данному рейтингу следует говорить лишь о местоположении серверов, рассылающих спам. А вот при составлении рейтинга стран, куда ведут URL, указанные в спаме, получается совсем другая картина. Тут бесспорное лидерство досталось США - 38,1% сайтов, на втором месте Южная Корея с ее 7,2%, Россия в этом списке только пятая (4,0%). Фишинг по-прежнему популярен и медленно, но верно набирает обороты. Однако общий спам-трафик растет быстрее, поэтому объемы фишинга на общем фоне даже уменьшились на 0,4%. В рейтинге стран, на чьей территории расположены сервера-участники фишинг-атак, на первом месте Испания (16,7%), на втором - Италия (15,1%), Россия же вообще не вошла в этот рейтинг. А основной улов пользователей, попавшихся на удочку фишеров, опять приходится на США (26,1%) и Южную Корею (23,8%). Причем 18 из 20 целей фишеров являются финансовыми учреждениями. Источник: IBM (PDF) Игра на интерес 07.08.2008 МакКейн, Обама и Олимпийские игры в Пекине стали основными темами спамерских рассылок в июле, сообщает компания Symantec. По данным компании, в июле этого года спам составил 78% всего электронного трафика, что на 12% больше, чем в июне 2007 года. Наибольшее количество спама пришлось на письма с предложениями интернет-услуг (22%). Реклама товаров и бытовых услуг заняла второе место (21%). На третьем (20%) - спам-атаки, связанные с финансами (ссуды, инвестиции и т.п.). Наименьшей популярностью среди спамеров (всего 3%) пользуются рассылки категории "старше 18". Спам, посвященный выборам Президента США и Олимпийским играм, стал безусловным лидером спам-трафика. Основная цель таких рассылок - привлечение внимание пользователей к волнующим их событиям, чтобы на этом фоне инфицировать компьютер вредоносной программой. Довольно часто в июле, отмечает Semantec, спамеры использовали для распространения вредоносного ПО легальные сайты, отследить которые тяжелее. Помимо вполне реальных американских выборов и китайской Олимпиады, пользователи прекрасно "ловились" на "утку" о начале III Мировой войны, вызванной вторжением американцев в Иран. При активации ссылки в таких письмах запускается Trojan.Peacomm. На фоне экономического спада спамеры вовсю пользуются повышенным интересом американцев к финансовым проблемам. Symantec констатирует, что в июле резко вырос объем финансовых предложений, предназначенных для получения личной информации от доверчивых потребителей с целью использования ее в будущих спамерских рассылках. Среди других июльских тенденций: БАДы для похудения, фишинг, появление двуязычного спама и сообщений о новых методах борьбы с алкоголизмом и наркоманией. Источник: Symantec (PDF) Спам - статистика за период 28 июля - 03 августа 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 76,2%. Основное изменение в тематическом распределении спама на прошлой неделе коснулось тематики "для взрослых", ее доля значительно уменьшилась (-7,6%). Повысилась доля рубрики "Медикаменты; товары/услуги для здоровья" (+2,4%). За счет англоязычной рассылки с предложениями займов и кредитов на выгодных условиях возросла доля тематики "Личные финансы" (+2,7%). Доля тематики "Другие товары и услуги" остается на высоком уровне благодаря многочисленным предложениям миниатюрных видеокамер, электрошокеров, а также предложений услуг магов. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Другие товары и услуги   Предложения других товаров и услуг   22,50%   +1,60%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   18,20%   +2,40%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   10,70%   -0,80%   4   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   8,90%   -7,60%   5   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   6,90%   -1,70%   6   Остальной спам       5,00%   +2,00%   7   Образование   Реклама семинаров, тренингов, курсов   5,00%   +2,00%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,10%   -2,40%   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,00%   +0,30%   10   Юридические услуги и аудит   Предложения юридических услуг   3,50%   +0,20%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   3,40%   +2,70%   12   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,40%   -0,20%   13   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   3,00%   +1,40%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2,0%   +0,30%   Вредоносные рассылки Прошлая неделя ознаменовалась масштабной рассылкой спамовых писем, содержащих ссылки на страницы с вредоносными программами. Письма сопровождались текстом шокирующего новостного или порнографического характера. Пользователю предлагалось посмотреть видео соответствующего содержания, вместо которого на компьютер пользователя пыталась загрузиться троянская программа-даунлоадер. Хакеры взломали десятки легальных сайтов, расположенных в различных доменных зонах, и разместили на них свои страницы. Ссылки в подобных письмах имели вид {site}/showvideo.html, {site}/index1.php, {site}/live.html или даже {site}/1.php. Доля такого спама составила 3,9%. Спам и социальные сети Наиболее популярная российская социальная сеть "Одноклассники" продолжает служить источником вдохновения для спамеров. В одной из рассылок спамеры рекламировали программу, распространяющую рекламу в социальной сети. В еще одном спамовом письме предлагалось скачать программу, которая автоматически вводит логин и пароль пользователя при входе на сайт Odnoklassniki.ru. Предлагаемая спамерами программа действительно заходит на Odnoklassniki.ru, но при этом посылает информацию о логине пользователя на сторонний сайт. Это вредоносная программа Trojan-PSW.Win32.SocNet.a. Примеры спамовых писем, а также образчики самого массового спама вы найдете на сайте Спамтест. Спам в июле 2008 г. Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Наблюдался всплеск незапрошенных рассылок, связанных с социальными сетями. Доля спама в почтовом трафике по сравнению с июнем уменьшилась на 3,2% и составила в среднем 78,9%. Доля графического спама составила 9%. Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей. Вредоносные файлы содержались в 0,27% всех писем. Во второй половине июля прошли масштабные рассылки со ссылками, ведущими на зараженные страницы. Появился новый спамерский прием - запись контактной информации с помощью закрашенных ячеек в таблице. Спамеров заинтересовали социальные сети Все больше людей прибегает к общению в социальных сетях. Популярность подобных ресурсов растет с огромной скоростью. Это не могло не привлечь спамеров и хакеров, которые использовали все возрастающую славу этих сайтов в своих целях. Первым признаком того, что спамеры заинтересовались социальными сетями, стала июньская массовая рассылка писем, имитирующих извещение о получении сообщения с сайта Odnoklassniki.ru. Ссылка вела на подложный сайт, с которого на компьютеры пользователей пыталась загрузиться троянская программа Trojan.Win32.Agent.qxk. Волна подобных писем была зафиксирована и в середине июля. В последние дни июля прошла рассылка с приглашением от пользователя портала Friends зарегистрироваться на нем. Ссылка в письме не работала, однако по некоторым признакам - по небрежности, с которой было составлено приглашение (пришедшее от имени Olga, оно имело примечание: "Если ты не знаешь пользователя Natalija или не желаешь принимать от него приглашение, просто удали это письмо"); по тому, что рассылка имела массовый характер и распространялась на нескольких языках; по тому, что в разных письмах этой рассылки были указаны похожие, но не идентичные адреса сайта, - можно предположить, что рассылка имела такую же цель, как и письма якобы с сайта Odnoklassniki.ru. В связи с чем важно еще раз напомнить о потенциальной опасности приглашений, пришедших с незнакомых адресов. Другим проявлением интереса спамеров к социальным сетям стало использование в ссылке названия сети в качестве приманки (на самом же деле по ссылке открывалась страница с рекламой). Отправители незапрошенной рассылки о дешевом софте поспешили воспользоваться популярной в Интернете шуткой про возникновение нового ресурса Сокамерники.ру. Письмо действительно носит шутливый характер и подделано под блатной жаргон. Это, равно как и предложение воспользоваться готовыми логином и паролем, должно было заинтриговать получателя. Однако отважных посетителей нового социального проекта ожидало разочарование: настоящая ссылка вела на сайт по продаже спамерского и хакерского программного обеспечения. Всеобщее увлечение социальными сетями побудило хакеров создать специальное программное обеспечение. Часть программ, на первый взгляд, призвана облегчить жизнь завсегдатаям таких сайтов. Так, востребованность ресурса Odnoklassniki.ru породила рассылку с предложением утилиты, которая должна упростить посещение сайта. Утверждалось, что программа для автоматического ввода логина и пароля при входе на личную страницу освободит посетителя от утомительного набора своих данных. Однако безвредная утилитка на самом деле оказалась троянской программой Trojan-PSW.Win32.SocNet.a, которая, действительно, автоматически заполняла форму регистрации на сайте, но при этом передавала личные данные владельца на сайт злоумышленников. Кроме того, хакеры создали новое ПО для социальной сети "Одноклассники" - в помощь спамеру. Так что пользователям сайта Odnoklassniki.ru в ближайшее время вполне может понадобиться кнопка "пожаловаться на спам". Важно обратить внимание на то, что заявленная программа будет производить рассылку не всем подряд, а только пользователям, которые находятся на сайте и входят в определенную социальную группу. В настоящее время все спамерские предложения, так или иначе связанные с социальными сетями, носят криминальный характер. Спамеры, рекламирующие обычные товары и услуги, в почтовых рассылках пока не используют популярность социальных сетей, тогда как ссылки на вредоносные программы и предложения хакерского и спамерского ПО уже стали постоянными спутниками подобного спама. Доля спама в почтовом трафике Доля спама в почтовом трафике в июне 2008 года в среднем составила 78,9%. Самый низкий показатель был отмечен 16 июля - 66,2%, больше всего спама было зафиксировано 11 числа - 88,9%. Доля графического спама составила 9%. В июле снизился процент спамовых писем с вредоносными вложениями и фишинговыми ссылками. Письма со ссылками на фишинговые сайты составили 0,58%, что в два раза меньше июньских показателей. Вредоносные файлы содержались в 0,27% всех писем. Однако спамеры постарались по-своему компенсировать этот спад. Вторая половина месяца характеризовалась большой рассылкой писем, ссылка в которых вела на сайты, зараженные вредоносными программами. Хакеры взломали десятки сайтов, расположенных в различных доменных зонах. Письма сопровождались шокирующими новостными заголовками для того, чтобы пользователь без колебаний проследовал по ссылке на вредоносную программу (например, Новости BBC. В Нью-Йорке приземлился НЛО. Нажмите, чтобы посмотреть видео). Еще в одной из таких рассылок письма содержали предложение приобрести бесплатный антивирус, который в случае немедленной установки сотрет с компьютера всех троянцев и червей. При попытке получить такую "эффективную защиту" компьютер оказывался заражен разновидностью Trojan-Downloader. Тематический состав спама Пятерка лидирующих спам-тематик июля: "Медикаменты; товары и услуги для здоровья" - 18% "Отдых и путешествия" - 14% Спам "для взрослых" - 12% "Образование" - 8% "Реплики элитных товаров" - 7% Тематика "Медикаменты; товары и услуги для здоровья" остается на первой позиции даже в период отпусков. "Забота" о здоровье пользователей Интернета, а заодно об их досуге, была проявлена спамерами, разославшими письма со ссылкой на страницу одного из русскоязычных блогов. На этой странице размещалась реклама сайтов с порнографией, виагрой и казино. Второй в пятерке лидеров в середине лета следует рубрика "Отдых и путешествия", полностью соответствующая настроениям второго летнего месяца. Особенно часто в письмах данной тематики встречались предложения туров внутри страны. Спамеры шли на разнообразные ухищрения, чтобы такие рассылки дошли до пользователя даже в неудобочитаемом виде. В приведенном ниже письме спамерская ссылка, перенаправляющая на сайт в доменной зоне tk, была замаскирована с помощью линка, ведущего на уважаемый туристический сайт tours.ru. А спам с образовательной тематикой, наоборот, оставил свои позиции, хотя и не покинул пятерку лидеров. В июле подходят к концу вступительные экзамены в институты и уже сданы летние сессии, поэтому и спам в этой области бывает иногда очень необычным. Украинская рассылка предлагала пользователям Интернета сориентироваться в многообразии учебных заведений и даже скомпрометировать непонравившийся ВУЗ - совершенно анонимно. Черный PR Все более популярным средством борьбы с конкурентами или просто личными врагами становится черный PR. Такой неблагородный метод компрометации неоднократно применялся спамерами в начале года. На протяжении нескольких недель атаке подвергался некий российский форум. Спамовые письма, разосланные якобы администрацией ресурса, носили агрессивный характер, часто в них использовалась нецензурная лексика и угрозы забанивания за спам. Несколько таких рассылок уже проходило во второй половине июня, но в июле прошла еще более агрессивная атака. Сложно сказать, какую цель преследуют злоумышленники: добиваются ли они закрытия сайта или просто хотят, чтобы количество постоянных посетителей форума резко уменьшилось. Еще одним проявлением черного пиара стала рассылка, предлагавшая пластид и гексоген. Ссылки, которые были даны для получения информации, вели на безобидные сайты разной направленности. А само содержание писем подразумевало не слишком добрую шутку. Помимо компрометации указанных сайтов спамеры ссылались на то, что эта реклама якобы была одобрена ФСБ России. Спамерские методы и трюки. "Японский сканворд" В июле спамеры изобрели новый прием обхода спам-фильтров. И ранее спамеры использовали различные приемы для зашумления рекламного текста - отрывки из классики мировой литературы, объявления, написанные вручную, - а теперь в ход пошли и "японские сканворды". Текст письма преподносится в привычном виде, а контактная информация тщательно маскируется. В данном случае для того, чтобы спам-фильтры не могли блокировать письма, содержащие конкретный номер телефона, спамеры прибегли к методу японского сканворда. Была создана таблица с большим количеством ячеек. Закрашенные ячейки внутри таблицы складываются в изображение цифр телефона. Заключение Прогнозы о сезонном уменьшении доли спама в почтовом трафике полностью оправдали себя. Тематический состав спама в течение лета остается почти неизменным. Однако возрастающая популярность социальных сетей позволяет прогнозировать увеличение количества незапрошенных рассылок, так или иначе связанных с этими ресурсами. В настоящее время спам, который затрагивает подобные сайты, носит криминальный характер. Большую часть его составляют письма со ссылками на вредоносные программы или на зараженные страницы. Но и спам, не имеющий отношения к социальным сетям, все чаще носит нелегитимный характер. Черный PR, компрометирующий ресурсы различной направленности, ссылки на вредоносные программы или на зараженные сайты, реклама поддельных и контрафактных товаров, предложения услуг криминального характера или ПО для хакерской и спамерской деятельности - все это содержится в спамовых письмах. И это заставляет говорить о продолжающейся криминализации спама. Диаграммы и примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005