"Лаборатория Касперского" Электронный журнал "Спамтест" No. 250 в этом номере: Новости Спам-статистика за период 8 - 14 сентября 2008 г. Новости Mytob атакует пиратов 11.09.2008 В Интернете продолжают циркулировать грозные уведомления-фальшивки, написанные от лица защитника авторских прав Media Defender и снабженные вредоносным zip-файлом, якобы содержащим свидетельства пиратской деятельности получателя. Первые злонамеренные сообщения, использующие новый социально-инженерный трюк, были зафиксированы в компании Trend Micro во второй декаде августа. На почти безупречном английском языке они предупреждали получателя, что его многочисленные нарушения копирайт-законодательства при скачивании медиаконтента из файлообменных ресурсов зарегистрированы в различных поисковых системах BitTorrent. Реципиенту рекомендовалось немедленно прекратить противозаконную онлайн-деятельность под угрозой отключения от Интернета или возбуждения судебного преследования. Для пущей убедительности в теле письма приведен список реальных поисковых торрент-ресурсов и перечень статей американских законодательных актов, которые якобы нарушил получатель. При активации вложенного zip-файла на машину обвиняемого в пиратстве загружается вариант известного сетевого червя Mytob, позволяющий установить удаленный контроль над атакуемым компьютером. По единодушному мнению экспертов, данная спам-кампания, имеющая целью распространение инфекции, способна оправдать самые фантастические ожидания злоумышленников. Возможности «всемирной паутины» в отношении бесплатного доступа к музыкальным записям, кинофильмам, ПО используются огромным количеством ее обитателей, вполне осознающих свою причастность к нарушению авторских прав создателей подобного медиаконтента. Пять лет назад специализированная компания Media Defender взяла на себя функции сетевого полицейского и от лица ассоциации звукозаписывающих компаний (RIAA) выступила в «крестовый поход» против нарушителей копирайта. За истекший период были возбуждены судебные иски против тысяч пользователей файлообменных сетей, а проблема борьбы с пиратством уже давно дискутируется в Интернете. На страхе пользователей быть уличенными в незаконном просмотре медиаконтента и сыграли теперь неизвестные злоумышленники. Источник: arstechnica.com Источник: blog.wired.com Обама, банковские троянцы, Медвед 12.09.2008 Как выяснилось, чувство юмора не чуждо и организаторам спам-рассылок. Так, на поддельной web-странице, созданной спамерами для сбора банковских реквизитов, название финского отеля Hotelli Karhu (англ. Bear Inn, «Медвежья гостиница») было переиначено ими в «Preved – Hotel Medved». Такая лингвистическая игра сопровождает «троянскую» атаку, в ходе которой пользователю предлагается просмотр порноролика якобы с участием Барака Обамы. Пока поддавшийся на уловку получатель спам-письма в течение 14 секунд изучает некий любительский видеоклип (не стоит говорить, что уважаемый кандидат в президенты США в нем не фигурирует), на его машину загружается троянская программа-шпион. Указанный троянец детектируется в F-Secure как Trojan-Spy:W32/Banker.ISO и ориентирован на отслеживание персональных данных при посещении владельцем зараженного ПК банковских онлайн-сервисов – в особенности немецкого происхождения. По свидетельству экспертов, эти вредоносные послания рассылаются пока ограниченным тиражом из фальсифицированных источников на домене obama.com. Исследователи Websense обнаружили, что упомянутый домен-источник этих спам-рассылок используется также для проведения фишинговых атак с распространением ложных уведомлений от имени Налоговой службы США. Источник: f-secure.com Источник: sophos.com «Спамеру даровали свободу из-за несовершенства антиспам-законодательства 16.09.2008 Верховный суд штата Вирджиния пересмотрел свое решение, вынесенное полгода назад по делу профессионального спамера Джереми Джейнса (Jeremy Jaynes) . Ранее утвержденный приговор, в соответствии с которым нарушитель должен был отправиться за решетку на 9 лет, отменен, так как суд счел, что закон носит антиконституционный характер. Напомним, что арестованный в декабре 2003 года Джейнс был обвинен в проведении многомиллионных нелегитимных рассылок с использованием серверов AOL. Рекламируя предлагаемые к продаже программные продукты сомнительного качества и назначения, он, по данным следствия, распространял заведомо ложную информацию и вдобавок фальсифицировал адрес отправителя, осознавая противоправность своих действий. В связи с широкими масштабами противозаконной деятельности спамера и большими размерами полученных от нее прибылей его преступление было впервые в истории американского антиспам-законодательства классифицировано как уголовное. Назначенное Джейнсу наказание в виде долгосрочного тюремного заключения было утверждено во всех судебных инстанциях штата, однако его адвокат рискнул поставить под сомнение конституционность вирджинийского закона против спама, заявив (http://www.spamtest.ru/news?id=207508987), что он противоречит первой поправке Конституции США о свободе слова. Следует заметить, что Вирджиния стала одним из первых штатов, принявших местный законодательный акт против спама. Впоследствии этой практике последовало большинство американских штатов, однако свои законы в этой области они формулировали практически в полном соответствии с федеральным законом CAN-SPAM. Уязвимость вирджинийского статута заключается в том, что он запрещает массовую рассылку незапрошенных электронных писем, содержащих ложную информацию, не ограничивая их тематику областью коммерческих интересов. Данное правовое упущение позволило вирджинийским судьям прийти к единодушному заключению, что использованные в местном антиспам-законодательстве формулировки «неконституционно широки». Их применение нарушает свято охраняемое в США право на свободу слова – в особенности на свободу анонимных высказываний политического или религиозного характера. Участники заседания Верховного суда договорились даже до того, что намеренная фальсификация адреса отправителя является естественным средством, обеспечивающим анонимность высказываний. В связи с тем, что отсидевший уже три года под домашним арестом Джейнс был обвинен на основании столь антиконституционного законодательства, предыдущее решение о заключении его под стражу было отменено. Федеральный CAN-SPAM к его случаю также неприменим, так как был введен в силу позднее, чем были совершены все справедливо вменяемые спамеру преступления. Подобный исход вызвал волну возмущения со стороны присутствовавших на заседании суда интернет-провайдеров. Генеральный прокурор штата намерен обжаловать данное решение в Верховном суде США, так как Джейнс использовал использовал чужую частную собственность - почтовые серверы - в мошеннических целях. Источник: washingtonpost.com Источник: theregister.co.uk История SpamZa. Урок по оформлению подписки 16.09.2008 Интернет-проект SpamZa, появился в прошлом месяце и работал под лозунгом «spam your enemies» («Заспамь своих недругов!»). Как уверяли его основатели, ресурс создавался для расширения базы подписчиков информационных бюллетеней и подобной рекламной продукции. Однако новый "сервис" вызвал многочисленные нарекания. Посетитель сайта SpamZa.com мог ввести в специальную форму любой электронный адрес и активировать функцию «Spam this email!» («Заспамить адрес»). После этого на владельца адреса обрушивалась лавина непрошенной корреспонденции. Обычно, чтобы подписаться на рассылку, пользователь должен пройти два шага. Сначала следует сообщить о желании получать информационные материалы, а потом подтвердить это желание, кликнув по присланной ссылке. Это схема "confirmed (double) opt-in" («двойное согласие»). Однако ряд сайтов работает по принципу "single-opt-in" - «однократно выраженное согласие». Чтобы подписаться на рассылку, на этих ресурсах достаточно один раз заявить о желании получать корреспонденцию, сообщив свой электронный адрес. Именно такие ресурсы использует SpamZa. Адрес, введенный в форму на этом сайте, автоматически рассылается по базе сайтов "single-opt-in" и подписывается на online-рекламу, не требующую подтверждения со стороны заказчика. После ввода в строй SpamZa.com, к администраторам сайтов, работающих по системе «single opt-in», стали поступать многочисленные жалобы на рассылки, незапрошенные пользователями . Под угрозой оказалась репутация многих демократично устроенных ресурсов. По имеющимся сведениям, ресурс SpamZa давал возможность совершать спамовые атаки производительностью в 87 спамовых сообщений за 8 минут. Ответственность за последствия таких DDoS-атак владельцы SpamZa перекладывали на тех, кто воспользовался возможностями их ресурса. На веб-сайте декларировалось, что держатели сайта не рассылают спам, а только пропагандируют популярные информационные материалы легальными методами, ответственность же за внесенный в форму электронный адрес несет тот, кто его туда вносит. В то же время, пользователям сервиса гарантировалась полная анонимность, а их жертвы иногда получали подстрекательские рекламные письма, призывающие отомстить за спам, используя возможности SpamZa. Скандальный веб-сервис был довольно быстро закрыт хостинг-провайдером, - в настоящее время он не активен. Тем не менее, основатели этого нового источника спама надеются найти новые площади и вновь выйти on-line. Источник: emailmarketing.silverpop.com Источник: theinternetpatrol.com Троянец вещает об утечке на АЭС 17.09.2008 На фоне встревоженности мирового сообщества, вызванной дискуссиями вокруг запуска адронного коллайдера, злоумышленники провели «троянскую» спам-рассылку на тему мифических аварий на АЭС в окрестностях Лондона и Сиднея. В ложных сообщениях утверждалось, что получатель может ознакомиться с подробностями аварии на АЭС, открыв вложенный файл victims.zip. На самом деле при активации этого файла на машину жертвы загружалась шпионская программа, ориентированная на кражу информации с зараженного ПК, которую в Sophos детектировали как Troj/Agent-HQE. Как отмечают специалисты компании Sophos, злонамеренные письма были разосланы пользователям доменов .uk и .au. Аналогичные «утки» были получены также некоторыми адресатами из Канады. Cоциальный инжиниринг все чаще используются сетевым андеграундом при фабрикации фальшивок. Наши постоянные читатели, наверное, помнят о недавней рассылке писем c темой «Убийство журналистов в Грузии», содержавших в приложении червя Storm. Ложные слухи об утечках на российских АЭС в начале лета циркулировали также и в Рунете. Источник: www.vnunet.com Источник: securecomputing.net.au Спам-статистика за период 8 - 14 сентября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 85,5%. В тематическом распределении спама на прошлой неделе лидировал спам «для взрослых». Благодаря очередной массовой рассылке его доля увеличилась на 11,1% и составила 28,6%. Заметно уменьшились доли рубрик «Другие товары и услуги» (-2,9%), «Юридические услуги и аудит» (-2,4%), «Медикаменты; товары/услуги для здоровья» (-2,3%). Изменения долей остальных тематик остались в пределах 2%. Продолжается дальнейшая криминализация спама. Не стесняясь, спамеры предлагают взлом почтовых ящиков «на заказ». Прошла рассылка, в которой мнимый, по-видимому, инвалид просит отправить SMS-сообщение на короткий номер, чтобы оказать ему материальную помощь. К забавному можно отнести спам, рекламирующий новую услугу – «телохранитель на час». Самыми массовыми по-прежнему остаются рассылки «для взрослых». Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   28,6%   +11,1%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   19,3%   -2,3%   3   Образование   Реклама семинаров, тренингов, курсов   11,4%   -0,9%   4   Другие товары и услуги   Предложения других товаров и услуг   7,80%   -2,9%   5   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   7,0%   +0,9%   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   5,7%   -0,5%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   5,3%   -1,4%   8   Юридические услуги и аудит   Предложения юридических услуг   3,4%   -2,4%   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,3%   +1,0%   10   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,8%   -1,3%   11   Остальной спам     2,2%   -0,7%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   -1,2%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,6%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,2%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005