"Лаборатория Касперского" Электронный журнал "Спамтест" No. 249 Примечание : заголовки нужно делать заголовком второго уровня , а подзаголови третьим в этом номере: Новости Спам-статистика за период 1 - 7 сентября 2008 г. Спам в августе 2008. Новости MessageLabs: увеличение объемов спама в августе вызвано активизацией ботнетов 8.09.2008 Согласно статистике компании MessageLabs, в минувший месяц в связи с увеличением объемов спама в глобальном почтовом трафике на 160% уровень спама из новых и неизвестных источников вырос на 3,12% и достиг показателя 78,2%. Интенсификацию спам-рассылок эксперты объясняют расширением потенциала двух основных ботнетов - Srizbi и Cutwail (по классификации компании Marshal – Pushdo), агрессивность которых в июле-августе увеличилась на 20-25%. По данным MessageLabs, основную часть спама в отчетный период составляли короткие текстовые сообщения. В географическом разделении больше прочих от спама страдали пользователи Франции, где количество нелегитимных писем составляло 82,8% электронной корреспонденции. Среди отраслей хозяйственной деятельности самый высокий уровень спама наблюдался в автомобильной промышленности – 83,6%. В августе исследователи зафиксировали первые случаи эксплуатации спамерами сервиса Picasa Web Albums компании Google. Взлом защиты от автоматического создания аккаунтов на этом веб-хостинге (CAPTCHA) позволил инициаторам спам-рассылок указывать легальный домен ggpht.com в редирект-ссылках на свою рекламу, маскируя ее веб-хостинг от обнаружения системами фильтрации, основанными на анализе URL. По данным MessageLabs, некоторые спамовые сообщения с подобными ссылками имели и более опасное назначение – распространение вредоносных программ. Кроме того, эксперты отметили еще один тактический прием маскировки спамового веб-хостинга - распространение нелегитимных html-сообщений со ссылками на Flash-редиректы (файлы в формате .swf), размещенные спамерами на бесплатных ресурсах с «белой» репутацией, которые при активации воспроизводили целевую спам-рекламу. Основная часть подобных спамовых писем, зарегистрированных в компании, рекламировала изделия нелицензированных интернет-аптек. Отдельные образцы данного спама предлагали надомную работу с целью отмывания денег (например, объявления литовской компании Retoneva, Ltd.), а некоторые также использовались для привлечения посетителей на зараженные веб-сайты. По оценке MessageLabs, количество спамовых писем обоих видов, использующих легальные веб-ресурсы для камуфляжа, в августе не превышало 2% от общего объема спама, хотя в ближайшие месяцы вполне можно ожидать дальнейшее увеличение потока аналогичной корреспонденции. Специалисты компании отмечают также интенсификацию злонамеренного спам-трафика. Количество обнаруженных в MessageLabs вредоносных программ, распространяемых через указываемые в нелегитимных сообщениях ссылки, увеличилось на 12,2% и составило 15,2% от общего количества зафиксированных в августе творений вирусописателей. При этом в сравнении с июльскими показателями число зараженных писем, замаскированных под виртуальные открытки, выросло более чем в полтора раза и составляло 64% от общего количества нелегитимной корреспонденции с вредоносными ссылками. Основной программой, распространяемой под видом виртуальных поздравлений, а также через ссылки на Google Picasa и .swf-файлы, был новый вариант приложения Antivirus XP 2008, которое ранее распространялось злоумышленниками под видом бесплатного обновления Microsoft и рекламировалось как программа для обнаружения шпионского ПО. Данный лже-антивирус тем или иным незаконным путем проникает на машину пользователя, «демонстрирует» свои возможности многочисленными уведомлениями о якобы обнаруженных в резидентной системе вредоносах и предлагает приобрести полную версию этого «инструмента» за отдельную плату. Источник: messagelabs.com Shadowserver: за лето число зараженных компьютеров выросло более чем в 4 раза 9.09.2008 По оценке некоммерческой организации Shadowserver Foundation, осуществляющей мониторинг активности ботнетов в Сети, за летние месяцы число пользовательских ПК, инфицированных программами удаленного администрирования, увеличилось примерно со 100000 до 400000. Сотрудник Центра по сетевым угрозам (Internet Storm Center, ISC) института SANS Джон Бамбенек (John Bambenek) полагает, что данная вспышка эпидемии связана с успехом предпринятых в текущем году злоумышленниками массовых SQL-атак на легальные веб-сайты. В результате SQL-инъекций многие из атакованных ресурсов оказались заражены эксплойтами, использующими уязвимости популярных веб-браузеров. Заключение активистов Shadowserver впечатляет и подтверждает отмеченную экспертами тенденцию к стремительному росту числа заражений, но сама статистика, скорее всего, не отражает реального масштаба эпидемии в Интернете. По свидетельству многих исследователей, каждый из зарегистрированных на сегодняшний день крупнейших ботнетов насчитывает по нескольку сотен тысяч зомби-машин, а число эксплуатируемых криминальными элементами ботнетов измеряется тысячами. С переводом функций управления ботнетами с IRC-каналов в Сеть реальное число ботнетов и их размеры определить стало неизмеримо сложнее. Сеансы обмена между зараженными компьютерами и командными серверами трудно выделить из обычного веб-трафика. Кроме того, они кратковременны и проводятся с периодичностью раз в полчаса-час. Источник: voices.washingtonpost.com Вирусоносный август 10.09.2008 По данным компании Symantec, в прошлом месяце количество спамовых писем с вложениями составляло 10% спам-трафика. Большинство этих посланий было нацелено на распространение вредоносных программ. Как отмечают исследователи, в целом в отчетный период уровень спама в электронной почте оставался стабильным и не превышал 80%. В связи с ростом числа злонамеренных предложений с вредоносными ссылками доля нелегитимной рекламы интернет-услуг и программных продуктов в глобальном спам-трафике существенно увеличилась и достигла показателя 27%. Второе место по-прежнему занимала категория промтоваров (20%), количество спамовых предложений финансового характера и рекламы медицинских препаратов и услуг было примерно одинаковым и составляло 17% от общего объема спама в Интернете. Среди стран-источников спама с большим отрывом уверенно лидируют США с показателем 27%. Вторую и третью позиции этого непочетного рейтинга занимают Турция и Россия, доля участия которых в глобальном спам-трафике, по оценке Symantec, примерно одинакова и составляет 7%. Большое количество зафиксированных в компании вредоносных посланий относится к категории так называемого «новостного» спама. Эти нелегитимные сообщения были снабжены броскими заголовками на тему актуальных – реальных и вымышленных – событий общественной жизни с претензией на сенсацию, призванными привлечь внимание интернет-аудитории и вынудить получателей пройти по указанной ссылке на зараженный веб-сайт или открыть «троянское» вложение. Примером подобной провокации послужил ряд спам-рассылок, эксплуатирующих интерес мировой общественности к военному конфликту между Россией и Грузией. Фальшивые сообщения об убийстве журналистов были снабжены zip-вложениями, которые якобы содержали релевантный видеоконтент, но на самом деле при активации перенаправляли получателя на «троянский» веб-хостинг. В августе в Symantec были также зарегистрированы более 200 миллионов спамовых сообщений, замаскированных под спецпредложение от компании Microsoft на установку бесплатной версии Internet Explorer 7. Пройдя по указанной в теле письма ссылке, получатель вместо новейшего браузера приобретал исполняемый файл, детектируемый в Symantec как Trojan.Bluesod. В целевой фишинговой атаке, проведенной против пользователей одного из финансовых учреждений, злоумышленники использовали необычную тактику. Вместо ссылки на подставной веб-сайт, куда обычно адресуется получатель с целью хищения его персональных данных, данные ложные уведомления использовали зараженное вложение, замаскированное под защитную программу, которую реципиенту якобы надлежало установить в незамедлительном порядке. Отдельные августовские спам-рассылки имели целью распространение инфекции под видом резюме для претендентов на престижную должность (требуемая к заполнению форма якобы содержалась на указанном в ссылке адресе) и заказа на авиабилеты (вложенный zip-файл вместо формы заказа и счета-фактуры загружал на машину жертвы программу-шпион). Ряд спам-рассылок с традиционными предложениями поддельных часов и курсов по изучению китайского языка продолжал эксплуатировать олимпийскую тематику. Источник: forums.symantec.com Источник: eval.symantec.com [.PDF] Рыбак рыбака… 10.09.2008 Переход одиозной фишерской группировки Rock Phish на технологию fast-flux, по мнению исследователей компании RSA, свидетельствует о ее деловом партнерстве с операторами ботнета Asprox, также специализирующимися на фишинге. По имеющимся свидетельствам, последние пять месяцев «рок-фишеры», ответственные за половину фишинговых атак в Интернете, в результате которых многонациональная клиентура онлайн-банкинга потеряла десятки миллионов долларов, усердно занимались модернизацией своей боевой инфраструктуры. Одной из новых программ, взятых на вооружение этой криминальной группировкой, является заказная версия клиента, распространяемая с помощью пакета Neosploit, который неоднократно использовался операторами Asprox для расширения потенциала своего ботнета. До сих пор при проведении фишинговых атак функционеры Rock Phish использовали простые прокси-серверы. В результате обновления злоумышленники получили возможность использовать преимущества технологии динамической перерегистрации IP-адресов (fast-flux), которая позволяет успешней скрывать поддельные веб-сайты в Сети и тем продлить период их жизнедеятельности. Специалисты RSA полагают, что «рок-фишеры» воспользовались готовыми разработками, купив данную технологию у владельцев ботнета Asprox, функционирующего на ее основе. В пользу этого предположения говорит тот факт, что директория обновленного управляющего сервера Rock Phish имеет ту же структуру, которая используется на многих серверах Asprox. Кроме того, имеются свидетельства, что в проведении фишинговых атак обеими группировками совместно используется по крайней мере один общий сервер. Наконец, исследователи отмечают уменьшение числа атак, базирующихся на прежнем веб-хостинге Rock Phish и одновременный всплеск фишерской агрессии со стороны Asprox. Источник: theregister.co.uk Спам-статистика за период 1 - 7 сентября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 83,2%. В тематическом распределении спама по-прежнему лидирует рубрика «Медикаменты; товары/услуги для здоровья», доля которой составила 21,6%. Наступление осени ознаменовалось значительным увеличением процента спама тематик «Образование» (+4,7%) и «Юридические услуги и аудит» (+4,0%) в общем почтовом трафике. Заметно уменьшились доли рубрик «Реплики элитных товаров» (-2,9%) и «Личные финансы» (-2,1%). Изменение долей остальных тематик осталось в пределах 2%. Спамеры придумали еще один способ выманить информацию об аккаунтах на сайте социальной сети «Вконтакте». В письме сообщалось, что аккаунт пользователя может быть заблокирован, так как поступили жалобы, что с него рассылается спам. «Во избежание блокировки» нужно было пройти по указанной ссылке и ввести свои логин и пароль, которые таким образом пополняли спамерские базы. На прошлой неделе была отмечена рассылка, являющаяся ничем иным как черным пиаром одного из крупных российских провайдеров. К забавному можно отнести спам с рекламой «зеленых таблеток, которые экономят топливо в автомобиле». Рекорд массовости побила рассылка из разряда «для взрослых». Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   21,6%   -0,9%   2   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   17,5%   Без изменений   3   Образование   Реклама семинаров, тренингов, курсов   12,3%   +4,7%   4   Другие товары и услуги   Предложения других товаров и услуг   10,7%   -0,8%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   6,7%   +1,8%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,2%   Без изменений   7   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   6,1%   -2,9%   8   Юридические услуги и аудит   Предложения юридических услуг   5,8%   +4,0%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   4,1%   +0,5%   10   Остальной спам     2,9%   -1,5%   11   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,3%   -1,1%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   +0,2%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -2,1%   14   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   -1,7%   Примеры спамовых писем смотрите на сайте Спамтест. Спам в августе 2008. Татьяна Куликова, "Лаборатория Касперского" В последнем месяце лета доля спама в почтовом трафике в среднем составила 80,3%. Наиболее низкий показатель отмечен 12 августа – 69,8%, наиболее высокий – 90,5% - 20-го августа. Летом – в период снижения спроса на товары и услуги - основная деятельность спамеров заключалась в рассылке вредоносных писем. Если характерной чертой спама в июле был высокий процент писем, содержащих ссылки на зараженные web-страницы, то август был отмечен увеличением числа писем с вредоносными вложениями. Доля таких писем возросла с 0,27% до 0,7%. Почти на 0,6% в истекшем месяце выросла доля фишинговых посланий, составив 0,64% против 0,06%, наблюдавшихся в июле. Самыми атакуемыми со стороны фишеров организациями в августе стали: PayPal, eBay, AssociatedBank, Bank of America, TD Banknorth. Все новые хитрости придумывают спамеры, чтобы заставить получателя открыть вредоносное вложение или загрузить опасный файл. Жестокий способ распространения зараженных файлов был избран в англоязычной рассылке. Из спамерского письма получатель узнавал, что его ребенок похищен и для его выкупа требуется крупная сумма денег. К письму прилагалась «фотография жертвы» киднеппинга. Расчет был на то, что впавший в панику получатель поспешит открыть файл с «фото», который на самом деле содержал вредоносную программу Trojan-Downloader.Win32.Delf.bfc. Письма одной из русскоязычных рассылок с интригующей темой «Ну и что это за документ у Вас на сайте?» содержали ссылку на сайт в доменной зоне tk, но в левой части адреса сайта содержалось имя известного легитимного ресурса. При попытке скачать «документ» на компьютер пользователя под видом doc-файла загружался Trojan downloader. Состав пятерки лидирующих спам-тематик в течение лета оставался постоянным. В тематическом распределении спама наиболее популярной по-прежнему остается рубрика «Медикаменты; товары и услуги для здоровья» (22,4%). Второе место занял спам «для взрослых». Начиная с мая, доля этого спама растет, и в августе он составил уже 17,6% спам-трафика, прежде всего за счет русскоязычных рассылок. Рубрика «Отдых и путешествия», занимавшая третье и второе места в самые горячие для турагентств первые месяцы лета, спустилась на пятую позицию (6,6%). С приближением нового учебного года активизировались рассылки с предложением разнообразных образовательных услуг, и рубрика «Образование» вышла на третье место в рейтинге спам-тематик (8,6%). Тема Олимпиады в Пекине, как и ожидалось, была использована в спам-рассылках для привлечения внимания получателей писем. Рекламируемая таким образом продукция зачастую не имела ничего общего ни с Олимпиадой, ни со спортом как таковым. Не обошли вниманием олимпийскую тематику и мошенники: в письмах, разосланных якобы от лица компании МТС, предлагалось подключиться к тарифу «Безлимитная Олимпиада» и послать SMS-сообщение на короткий номер, «почему-то» не совпадавший с номером, указанным в официальной рекламной кампании сотового оператора. Последний месяц лета ознаменовался некоторым увеличением процента непрошенных писем в нашей почте по сравнению с июлем. Сезонный спад, наблюдавшийся впервые за последние годы, подходит к концу. Вероятно, осенью доля спама в почтовом трафике снова достигнет весенних показателей и продолжит свой рост. Более подробную информацию и примеры спам-писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005