"Лаборатория Касперского" Электронный журнал "Спамтест" No. 251 в этом номере: Новости Спам-статистика за период 15 - 21 сентября 2008 г. Новости Чем грозит навязчивая реклама фальшивого антивируса? 18.09.2008 Согласно статистике Marshal, количество вредоносных сообщений с конца прошлого месяца несколько уменьшилось, но все еще составляет 11% спам-трафика. В первой половине сентября основным видом распространяемой в Интернете инфекции были трудноудаляемые вредоносные программы, рекламируемые как антивирус. Данные программы имитируют на резидентном ПК процедуру сканирования и выводят множественные ложные уведомления об обнаружении различных вариантов сетевых угроз, предлагая владельцу приобрести полную версию «антивируса» за отдельную плату. Вначале эти программы были достаточно просты, но со временем эволюционировали и стали, в большинстве своем, полиморфными. Кроме того, у них появились средства защиты от обнаружения, позволяющие на резидентной системе блокировать доступ к релевантным веб-страницам легальных антивирусных компаний. По имеющимся сведениям, ассортимент ложных антивирусов в настоящее время значительно расширился; они могут фигурировать под такими заманчивыми названиями, как WinAntispyware 2008, Antivirus 2009, AntiVirus Lab 2009, Antispyware Pro XP, Windows AntiVirus, Antivirus XP 2008 и т.п. Эксперты PandaLabs приравнивают данные программы к категории инструментов для распространения навязчивой рекламы (adware), а в Trend Micro объединили все их варианты в семейство FAKEAV. В настоящее время носителями этого вида инфекции могут являться спамовые сообщения с вредоносными ссылками, распространяемые по IM-каналам, электронной почте и в социальных сетях. FAKEAV также может быть загружен другими резидентными вредоносами или самим пользователем как кодек-программа viewer.exe для просмотра бесплатного видеоконтента. Результатом загрузки «антивируса» может оказаться не только приобретение бесполезной программы или, как минимум, средства вывода на экран отвлекающих от работы ложных уведомлений. Для приобретения «полной версии» данной программы жертве инфицирования предлагается направить в руки злоумышленников личные данные, которые они впоследствии могут использовать по своему усмотрению. В Marshal также зафиксировали спам-рассылку с ботнета Srizbi, которая свидетельствовала о тесном взаимодействии операторов разных ботнетов. Данные письма предлагали просмотреть некий компрометирующий получателя видеоролик. При активации указанной злоумышленниками ссылки жертва уведомлялась о необходимости установить все тот же кодек - файл viewer.exe, который, помимо «антивируса», содержал спамбот Pushdo. В итоге его загрузки резидентный ПК превращался в источник рассылки порноспама – вновь с зараженными ссылками. Источник: blog.trendmicro.co Источник: marshal.com SonicWALL предупреждает о предвыборной спамдемии 22.09.2008 По предварительным оценкам компании SonicWALL, Inc., за месяц до официальных выборов нового президента США совокупное количество спамовых сообщений политического характера в американском секторе Интернета составит более 5 миллиардов. В 2004 году аналогичный предвыборный прогноз SonicWALL – 1,25 миллиардов – вполне оправдался. Эксперты полагают, что в условиях неуклонного роста уровня спама в Сети их нынешние ожидания можно расценивать как весьма консервативные. Согласно статистике компании, за последние 3 месяца количество «политического» спама увеличилось на 20%. При таких темпах роста к 4 ноября на долю этой категории придется 1-2% спам-трафика. Исследователи отмечают, что за истекший со времени последних президентских выборов период электронная почта превратилась в один из основных инструментов политической борьбы, чем не преминули воспользоваться спамеры. Политически-ориентированный спам в компании делят на три основных категории: собственно спам, использующий предвыборную кампанию как приманку, призванную заставить получателя открыть письмо, которое на самом деле не имеет отношения к заявленной тематике. Такие послания часто имеют форму опроса и снабжены ссылкой, направляющей получателя на созданную спамерами веб-страницу. Эта разновидность, по оценкам SonicWALL, составляет около 90% «политического» спама; агитационные материалы, рассылаемые легитимными источниками по спискам избирателей, когда-то выразивших согласие на получение подобной информации, но на текущий момент уже утративших к ней интерес и расценивающих ее как спам. Подобные электронные послания вполне легальны, так как исключены из юрисдикции CAN-SPAM. Тем не менее, SonicWALL относит их к категории «политического» спама, в общем объеме которого их доля составляет 7-8%; мошеннические и фишинговые послания, использующие в своих интересах предвыборные кампании по сбору средств на поддержку того или иного кандидата. Они, как правило, нацелены на хищение финансовой информации избирателей и составляют 2-3% спам-трафика с политической ориентацией. Несколько дней назад эксперты Trend Micro обнаружили циркулирующие в Интернете образцы злонамеренных посланий, которые являются прекрасной иллюстрацией наиболее распространенной - в соответствии с приведенной выше классификацией SonicWALL -разновидности «политического» спама. Данные письма призывают получателя принять участие в якобы проводимом в поддержку Барака Обамы опросе и в качестве компенсации «за труды» сулят наградить добровольцев подарочной картой на бензин на сумму 500 долларов. Выразив согласие на участие в «опросе» с помощью указанной в письме ссылки, реципиент попадает на созданную злоумышленниками веб-страницу, размещенную на легальном домене smileycentral.com и рекламирующую средства персонализации веб-сайтов. При последующей активации релевантной ссылки «Always Free» («Только бесплатно») посетителю предлагается загрузить некий объект ActiveX, который на самом деле является вредоносной программой для распространения спам-рекламы (adware), детектируемой в Trend Micro как ADW_MYWEBSEARCH. Источник: sonicwall.mediaroom.com Источник: blog.trendmicro.com Кто рассылает спам в Южной Африке? 22.09.2008 В связи с увеличением объемов спама из местных источников южноафриканская Ассоциация интернет-провайдеров (Internet Service Providers' Association, ISPA) опубликовала список компаний и частных лиц, деятельность которых противоречит принятому ISPA Кодексу поведения в Сети. Hall of Shame («Позорный список») является первым документом такого рода, подготовленным Ассоциацией в рамках кампании по ограничению массовых нелегитимных рассылок в национальном секторе Интернета. По замыслу инициаторов публикации, содержание данного списка должно периодически обновляться и выкладываться в открытом доступе на веб-сайте ISPA. Включенные на сей раз в Hall of Shame организации Database Development, Dynamic Seminars, ILLUDER.com Marketing, The Peer Group и Джеймс Мунро (James Munro), по свидетельству членов ISPA и других надежных и независимых источников, были неоднократно замечены в рассылке спама. При этом, как отмечают составители списка, принятое в Ассоциации определение спама не во всем совпадает с его официальной трактовкой, закрепленной в местном Законе об электронных коммуникациях (Electronic Communications and Transactions Act). ISPA относит к спаму все самовольные массовые рассылки, проводимые по каналам электронной почты, за исключением тех, которые проводятся в рамках деловой переписки при наличии устоявшихся связей между корреспондентами, либо случаев, когда информация высылается в соответствии с четко оговоренным согласием или запросом получателей. В связи с подобной позицией список Hall of Shame должен рассматриваться читателями просто как информационный бюллетень. Занесение какого-либо юридического или частного лица в список еще не означает, что оно совершает противоправные действия, тем более что имеющиеся улики проходят лишь внутреннюю проверку в ISPA, без участия независимых экспертов. Публикация списка на веб-сайте Ассоциации означает, что перечисленные в нем лица нарушают каноны общежития в Сети (Code of Conduct), сформулированные крупнейшим в Южной Африке союзом интернет-провайдеров. Примут ли читатели во внимание эту информацию, зависит от их личного решения. Источник: ispa.org.za Официальный Вашингтон не теряет чувства юмора перед лицом финансового кризиса 24.09.2008 Негативная реакция, которую вызвала в американском Конгрессе просьба министра финансов Генри Полсона (Henry Paulson) о выделении 700 миллиардов долларов в целях стабилизации финансового положения в США, породила сатирическую спам-рассылку с «нигерийской» окраской. Циркулирующее в верхних эшелонах власти электронное послание-розыгрыш с заявленной темой «REQUEST FOR URGENT BUSINESS RELATIONSHIP» («Срочно ищу делового партнера») написано от имени Полсона и выдержано в духе одиозных «нигерийских» писем. Оно призывает граждан «американской республики» ввиду финансового кризиса оказать помощь в срочном переводе огромной суммы – 800 миллиардов долларов – за приличное вознаграждение. В соответствии с принятыми в подобных обращениях канонами неизвестные юмористы «для придания правдоподобия» упоминают имя преемника Полсона на его нынешнем посту и апеллируют к трудностям, связанным с участием в данной операции ближайшего окружения министра. В заключение реципиенту предлагается сообщить на шутливый адрес @treasury.gov номера его банковских, пенсионных и некоммерческих счетов, а также финансовые реквизиты всех его детей и внуков. Как известно, Полсон предложил законопроект, согласно которому Федеральная резервная система должна получить полномочия, позволяющие ей вмешиваться в деятельность всей финансовой системы США, а не только в работу банков. В качестве неотложной меры, по замыслу министра финансов, правительство в течение двух лет будет выкупать неликвидные активы, связанные с ипотекой, у финансовых компаний, «штаб-квартира которых расположена в Соединенных Штатах». Представители обеих партий в Конгрессе выступили против принятия предложенной Полсоном антикризисной программы, а запрошенную на ее осуществление сумму признали непомерно большой. Сенаторы опасаются, что реализация подобного плана переложит решение проблем Уолл-стрит на плечи рядовых налогоплательщиков. Источник: voices.washingtonpost.com Источник: vremya.ru Marshal: число вредоносных писем с вложениями увеличивается 24.09.2008 Специалисты компании Marshal обнаружили рассылаемые с ботнета Srizbi спамовые уведомления о некотором якобы важном для получателя документе, вложенном zip-файлом. По данным Marshal, текст письма предельно краток, а zip-вложение защищено указанным в теле письма паролем. Архивированный файл doc.exe содержит фальшивый антивирус XP antivirus 2008 и копию спамбота Srizbi, превращающую резидентный ПК в источник рассылки спама. Согласно статистике Marshal, на долю вредоносных нелегитимных посланий в настоящее время все еще приходится около 10% глобального спам-трафика. Исследователи отмечают, что количество зараженных писем с вложениями, рассылаемых спамерами, несколько увеличилось, а с вредоносными ссылками – напротив, уменьшилось. Источник: marshal.com Спам-статистика за период 15 - 21 сентября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 80,5%. В тематическом распределении продолжает лидировать спам тематики «для взрослых». Его доля увеличилась еще на 3,2% и достигла 31,8%, что составляет почти треть всего потока. Уменьшились доли рубрик «Реклама спамерских услуг» (-2,2%) и «Медикаменты; товары/услуги для здоровья» (-3,2%). Изменения долей остальных тематик остались в пределах 2%. Продолжается криминализация спама. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   31,8%   +3,2%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   16,1%   -3,2%   3   Образование   Реклама семинаров, тренингов, курсов   12,1%   +0,7%   4   Другие товары и услуги   Предложения других товаров и услуг   9,4%   +1,6%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,0%   +1,7%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   5,4%   -1,6%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,4%   +1,1%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,5%   -2,2%   9   Остальной спам     2,2%   -0,7%   10   Юридические услуги и аудит   Предложения юридических услуг   2,1%   -1,3%   11   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,0%   -0,8%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   1,4%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   0,5%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,1%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005