"Лаборатория Касперского" Электронный журнал "Спамтест" No. 255 в этом номере: Новости Спам-статистика за период 13 - 19 октября 2008 г. Цена королевской короны в спам-бизнесе Новости «Штормового» троянца нет дома 20.10.2008 С середины сентября специалисты по сетевой безопасности не зафиксировали ни одного спамового письма, отправленного со «штормового» ботнета. Не было обнаружено также ни одной новой модификации червя Storm, известного своей способностью к быстрому обновлению. Как неоднократно отмечалось, спамовая активность операторов некогда грозного ботнета в текущем году постепенно сходила на нет. В SecureWorks полагают, что к этой сети все еще приобщены не менее 30000 зомби-машин; оценка Damballa несколько выше - около 47000. По мнению экспертов, уменьшение его потенциала и эффективности вызвано широкой оглаской, которую получила деятельность владельцев ботнета, и ответными мерами, предпринятыми Microsoft по очистке инфицированных машин с помощью специализированного средства удаления вредоносных программ - Malicious Software Removal Tool. В настоящее время наблюдатели все еще регистрируют сеансы обмена между отдельными инфицированными «штормовым» троянцем машинами через р2р-каналы. Из 1440 активных хостов, обнаруженных одной из исследовательских групп, четверть находится на территории США, 12,6% - в России. Что касается ТСР-трафика, 18 расположенных на территории США и Мексики «штормовых» серверов в ответ на запрос выдали не лишенное юмора сообщение «Go away, we're not home» («Уходи, никого нет дома»). 50 прочих, более удаленных ТСР-серверов, принадлежащих этому ботнету, также сообщили о своей недоступности. Как показывает опыт, длительное бездействие повелителей «штормового» троянца в Сети не стоит расценивать как свидетельство нейтрализации серьезного противника. Хотя недавнее отключение интернет-провайдера Atrivo негативным образом сказалось на его деятельности (по свидетельству SecureWorks, в сетях Atrivo были размещены три из четырех управляющих серверов «штормового» ботнета), однако перенос веб-хостинга – вопрос решаемый и вряд ли станет препятствием для операторов зомби-сети. Возможно, следуя общей тенденции к рассредоточению и специализации криминальных ресурсов, владельцы «штормового» ботнета просто взяли тайм-аут на реорганизацию и обновление своего арсенала и нанесут новый удар по защитным бастионам, когда улягутся страсти. Источник: marshal.com Источник: darkreading.com Источник: voices.washingtonpost.com Соратники Ральски будут свидетельствовать против него 21.10.2008 Джуди Дивиноу (Judy Devenow) и Фрэнсис Триббл (Francis Tribble), обвиняемые в причастности к спамерской деятельности интернациональной группировки под руководством Алана Ральски, признали свою вину и готовы сотрудничать с властями на грядущем судебном процессе. Напомним, что Алану Ральски и 10 его соучастникам было инкриминировано масштабное распространение «биржевого» спама, продвигающего акции мелких китайских компаний по схеме «накачка-сброс». Одна подобная мошенническая кампания, проведенная летом 2005 года, принесла членам данной группировки около 3 миллионов долларов. 56-летняя Дивиноу заявила, что, являясь сподвижницей Ральски, она руководила распространением десятков миллионов спамовых сообщений, а также принимала непосредственное участие в подготовке спам-рассылок. За период с января 2004 по сентябрь 2005 года Дивиноу получила 150000 долларов в качестве оплаты успешной спамерской деятельности. По обвинению в преступном сговоре и соучастии в реализации мошеннических схем Дивиноу ожидает наказание в виде тюремного заключения на срок от 2 лет и 9 месяцев до 3 лет и 5 месяцев. В обмен на признание вины и свидетельские показания против других участников данной группировки обвинение согласилось в феврале рекомендовать суду ограничить ее содержание под стражей 1 годом и 3-9 месяцами. 41-летний Триббл, в свою очередь, заявил, что участие в коллективном «предприятии» Ральски поправило его благосостояние более чем на 2 миллиона долларов. Поднаторев в тонкостях игры на бирже, он умел точно рассчитать время инициации и объем спам-рассылки, а также момент продажи заблаговременно приобретенных и искусственно завышаемых акций. «Фрэнки» Триббл сознался в своих преступлениях, сидя в кресле-каталке. Он пострадал в автомобильной аварии, которая произошла по его вине и привела к гибели одного из участников происшествия. Подав апелляцию, «специалист» по биржевым махинациям пока отбывает 15-летний тюремный срок за убийство 2 степени. За преступный сговор, отмывание денег и финансовое мошенничество с использованием проводной связи содержание Триббла под стражей может увеличиться еще на 9 лет. В обмен на признание вины и дачу свидетельских показаний против «коллег» обвинение будет рекомендовать суду наполовину уменьшить этот срок. Кроме того, Триббл согласился на конфискацию его доли неправедных доходов – около 500000 долларов, попавших в руки федеральных властей в ходе расследования. По его словам, остальное он попросту промотал. Остальные девять участников преступной группировки свою вину не признали. Сроки судебного рассмотрения дела пока не определены. Между тем адвокат Ральски не скрывает уверенности, что покаянные заявления Дивиноу и Триббла никак не отразятся на позиции его подопечного. Заметим, что для 63-летнего спаммейстера 10 лет, проведенные под стражей, – а именно на этом сроке будет настаивать обвинение – означают серьезный удар по «карьере» в избранной им области деятельности. Источник: spamhaus.org Источник: theregister.co.uk Источник: The Detroit News Symantec зафиксировала увеличение объемов графического спама 22.10.2008 По данным Symantec, в первой декаде октября на долю «спама в картинках» приходилось в среднем 8,6% общего объема нелегитимной корреспонденции в Интернете. Как отмечают исследователи, количество графического спама, значительно сократившееся в первой половине текущего года, стало заметно увеличиваться, начиная с середины сентября. Если в августе на долю этой разновидности «мусорных» писем приходилось всего 1,6% спам-трафика, то в следующем месяце этот показатель почти удвоился, достиг отметки 2,6% и продолжил расти. Согласно статистике Symantec, более половины графически оформленных сообщений ориентированы на англоязычных пользователей. Вторую количественно весомую группу составляет русскоязычный спам в виде картинок. Наиболее распространен графический спам с рекламой российских сайтов знакомств, предложением товаров (письма с опцией отказа от рассылки в виде картинки) и аналогов Виагры. Кроме того, эксперты зарегистрировали несколько масштабных фишинговых атак, в которых использовались графические изображения логотипов целевых банковских структур. В настоящее время графический спам не представляет серьезной угрозы, так как большинство современных защитных фильтров способно его идентифицировать. Источник: forums.symantec.com Триумф международного сотрудничества в борьбе против спама 22.10.2008 Федеральная торговая комиссия США (ФТК) и министерство внутренних дел Новой Зеландии возбудили судебные процессы по делу интернациональной группировки, известной как Herbal King. Уже полтора года эта организация занимает первые места в списке самых агрессивных спамеров, который публикуется некоммерческой организацией Spamhaus. Группа создала сеть аффилированных предприятий по изготовлению и интернет-продаже поддельных медицинских препаратов. Продукцию она рекламировала через спам, используя услуги операторов Mega-D и других ботнетов. Таким образом продвигались натуральные «аналоги» Виагры, Циалиса, Левитры, а также средства для похудания (Hoodia) и улучшения мужской анатомии (VPXL, Herbal King, Elite Herbal, Express Herbal). Нелицензированные препараты изготавливались в Индии и распространялись через интернет-аптеки, размещенные на индийских и китайских серверах. Соучредителем управляющей компании был известный новозеландский спамер Шейн Аткинсон (Shane Atkinson). Власти Новой Зеландии предъявили гражданский иск ему, а также его брату Лансу (Lance) Аткинсону и их соучастнику Роланду Смитсу (Roland Smits). Все трое обвиняются в нарушении введенного в силу в прошлом году новозеландского закона против спама - Unsolicited Electronic Messages Act. Если обвиняемые будут признаны виновными, каждому грозит штраф в размере до 200000 новозеландских долларов (121000 долларов США). ФТК США, со своей стороны, подала в окружной суд штата Иллинойс гражданский иск по фактам нарушения закона CAN-SPAM и обмана потребителей Лансом Аткинсоном и Джоди Смитом (Jody Smith) из Техаса, создавшими партнерскую программу Affking. Миллиарды спамовых сообщений, распространяемых в рамках этого партнерства, рекламировали услуги веб-сайтов Target Pharmacy и Canadian Healthcare. По оценкам экспертов, одно время эта реклама составляла треть глобального спам-трафика. ФТК зарегистрировала 3 миллиона связанных с этой программой жалоб на спам и некачественную продукцию. Для отмывания миллионов, полученных от продаж, Смит завел оффшорные счета на Кипре и в Грузии, куда ежемесячно переводил до 500000 долларов. ФТК указывает, что в рекламных письмах был фальсифицирован источник рассылки, отсутствовали опция отказа от рассылки и почтовый адрес отправителя. Проверка показала, что рекламируемые в них медикаменты не оказывали заявленного действия и иногда имели серьезные побочные эффекты. Оформление заказов в подконтрольных спамерам интернет-аптеках велось при отсутствии элементарной защиты клиентских данных – вопреки заверениям, что на веб-сайтах применяется SSL-шифрование. Суд удовлетворил просьбу ФТК США и наложил временный запрет на осуществление деятельности в рамках программы Affking, а также заморозил соответствующие счета на территории США до окончания следствия. Поскольку Ланс Аткинсон не впервые обвиняется торговой комиссией в распространении спама, не исключается, что дальнейшее разбирательство приведет к возбуждению уголовного преследования. Источник: darkreading.com Источник: dia.govt.nz Источник: theregister.co.uk Старый знакомый 22.10.2008 После девяти месяцев отсутствия в Сети вирус-червь Warezov вновь заявил о своем существовании. Эксперты SecureWorks отмечают, что для его распространения злоумышленники избрали новый способ. Если ранее данный червь рассылался в виде вложений в спамовые письма, то теперь его загружают троянские программы при посещении пользователем зараженных веб-сайтов, предлагающих бесплатный mp3-контент. По мнению исследователей, отказ операторов Warezov от использования каналов электронной почты для его распространения свидетельствует в пользу эффективности современных спам-фильтров. Каждый из обнаруженных специалистами образцов червя предназначался для рассылки спама. Получив соответствующий список логинов и паролей, они начинали рассылку, отправляя несколько сообщений с каждого аккаунта, чтобы не превышать лимит на исходящий трафик. Червь Warezov, занесенный в базу данных «Лаборатории Касперского» как Email-Worm.Win32.Warezov, по существу представляет собой программу-бэкдор. Его основной компонент обладает функцией загрузки из Сети других вредоносных программ и сопутствующей информации. Дезактивация ботнета Warezov совпала по времени с началом судебного процесса по делу спамерской группировки, возглавляемой Аланом Ральски (Alan Ralsky). Известно, что для проведения многомиллионных спам-рассылок, продвигающих акции мелких китайских компаний по схеме «накачка-сброс», эта группировка использовала ботнеты. Warezov также специализировался на рассылке «биржевого» спама, объектом которого были китайские бизнес-структуры. Однако факт взаимодействия группировки Ральски и операторов Warezov пока не установлен. Источник: theregister.co.uk Спам-статистика за период 13 - 19 октября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошедшей неделе в среднем составила 77,5% - это на 6% меньше, чем на предыдущей неделе. В тематическом распределении спама по-прежнему лидировал спам «для взрослых», его доля составила 25,7%. Заметно увеличились доли рубрик «Другие товары и услуги» (+3,8%), «Отдых и путешествия» (+2,3%), уменьшились доли тематик «Медикаменты; товары/услуги для здоровья» (-4,3%), «Реплики элитных товаров» (-2,9%). Колебания долей других тематик остались в пределах 2%. Тема мирового финансового кризиса продолжает эксплуатироваться спамерами в самых неожиданных ракурсах. Например, спамеры утверждают, что «Кризис не коснется, если пользоваться рассылкой рекламы товаров и услуг на e-mail адреса компаний и частных лиц!». Тема кризиса не обошла даже медицинские услуги. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   25,7%   -1,7%   2   Другие товары и услуги   Предложения других товаров и услуг   13,5%   +3,8%   3   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   11,1%   -4,3%   4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   11,0%   +0,1%   5   Образование   Реклама семинаров, тренингов, курсов   10,2%   1,5%   6   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,8%   +2,3%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,4%   -0,1%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,5%   Без изменений   9   Юридические услуги и аудит   Предложения юридических услуг   3,4%   +0,7%   10   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   3,4%   -2,9%   11   Остальной спам     Менее 2%   Без изменений   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   0,5%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   1,1%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,8%   Прошедшая неделя порадовала спам-аналитиков образцами оригинального спама, каждый из которых был по-своему оптимистичен: письмо благородных спамеров, которые предлагают пользователям помощь в избавлении от почтового мусора; адресованное миллионам случайных получателей выгодное предложение купить блокирующий пакет акций некого нефтяного месторождения за 30 миллионов долларов; русскоязычное письмо с рекламой сайта купли/продажи игровой валюты, свидетельствующее о коммерциализации русскоязычной игровой онлайн-индустрии; предложение организовать женские бои «в грязи, шоколаде, пене». Примеры этих писем, а также образец самого массового спама смотрите на сайте Спамтест. Цена королевской короны в спам-бизнесе Череда громких судебных процессов, проведенных за последние годы, позволила определить, что претендентов на трон в королевстве спамеров заметно больше, чем венценосцев в колоде карт. Половина из них отбыли свой срок наказания или все еще гостят в пенитенциарных учреждениях, двоих уже нет в живых, а большинство прочих растеряли свои нажитые неправедным путем капиталы, отвечая по искам ФТК и частных компаний. На веб-сайте PC World появилась любопытная публикация, позволяющая ознакомиться с краткими досье 10 крупнейших фигурантов в спам-индустрии, противоправная деятельность которых в Сети снискала им славу «королей спама». Поскольку большинство из этих коронованных молвой тяжеловесов хорошо известны нашим читателям, мы сочли уместным воспроизвести галерею отобранных PC World портретов, акцентируя внимание на их взаимоотношениях с антиспам-законодательством и современном статусе. Бывший участник группировки «биржевых» спамеров «g00dfellas» 28-летний Адам Вайтале (Adam Vitale) имеет на своем счету 22 обвинительных приговора, вынесенных американскими судебными инстанциями. В спамерских кругах он снискал славу скупца и партнера, не выполняющего своих обязательств. За рассылку заказной спам-рекламы на 1,3 миллиона адресов пользователей AOL Вайтале и его подельник Тодд Мёллер (Todd Moeller) были приговорены к тюремному заключению и штрафу в размере 183000 долларов. В настоящее время молодой «король» отбывает назначенный ему срок в 2,5 года в федеральной тюрьме, тиражируя автомобильные номерные знаки. Распространитель грязного порно и инициатор мошеннических схем, сулящих быстрое обогащение, 34-летний Джереми Джейнс (Jeremy Jaynes) при содействии своей сестры зарабатывал на спаме до 750000 долларов в месяц. Попал в поле зрения правоохранительных органов США не устояв, как и Вайтале, перед широкими возможностями, предоставляемыми многомиллионной клиентской базой AOL. За проведение на этом сервисе масштабных нелегитимных рассылок, рекламирующих некачественные программные изделия, был осужден на 9 лет тюремного заключения. Отпущен с миром и пребывает на свободе ввиду несовершенства формулировок местного антиспам-законодательства, якобы посягающих на закрепленные в американской Конституции права. Всеядный спамер Эдвард Дэвидсон (Edward Davidson), зарабатывавший на жизнь заказными нелегитимными рассылками, за нарушение CAN-SPAM был приговорен к 1 году и 9 месяцам содержания под стражей. Неустойчивая психика правонарушителя не выдержала справедливого возмездия: он бежал из тюремного лагеря и в свои 35 лет покончил жизнь самоубийством, застрелив перед этим жену и трехлетнюю дочь. Пропагандист Виагры и сомнительных средств для похудания американец Билл Вагоннер никогда не скрывал своей причастности к рассылке нелегитимной рекламы и яростно отстаивал право заниматься коммерцией в Интернете по собственным правилам. Спуская в Сеть лавины заказных рекламных писем, «предприниматель» клеймил борцов со спамом, называя их террористами, мешающими развитию малого бизнеса, но ни разу не был привлечен к ответу блюстителями закона. В настоящее время 34-летний защитник свободной рекламы работает в Лас-Вегасе консультантом по вопросам оптимизации сетевых решений и сетевому маркетингу, сохраняя, однако, титул злостного спамера, закрепленный за ним активистами Spamhaus в списках ROKSO. Спамер с десятилетним стажем и продавец инструментария для проведения нелегитимных рассылок Роберт Солоуэй (Robert Soloway) был неоднократно судим за злоупотребление средствами Интернета, однако ни разу не заплатил выигравшей стороне. В прошлом году федеральные власти США подытожили все его прегрешения и предъявили ему обвинение из 41 пункта. В обмен на признание вины Солоуэем предъявленный ему обвинительный акт был в значительной мере сокращен. В настоящее время 29-летний спаммейстер готовится к переселению в казенный дом, где ему предстоит провести без малого 4 года. Россиянин Вардан Кушнир за стойкую приверженность идее рекламы через спам в свое время получил титул «главного спамера Рунета». Назойливая реклама курсов, организованных Центром американского варианта английского языка, расходилась по электронной почте и каналам ICQ с производительностью 25 миллионов сообщений в сутки. Некоторые зарубежные интернет-провайдеры начали даже блокировать всю доменную зону .ru, чтобы оградить клиентов от спама. В середине 2005 года 35-летний Кушнир погиб, обороняясь во время ограбления, подстроенного его случайными спутницами. 41-летний американец Скотт Рихтер (Scott Richter) всегда считал себя не более чем сетевым коммерсантом и, в отличие от многих коронованных спамеров, не провел ни дня за решеткой. Он исправно соглашался удовлетворить финансовые претензии истцов, подававших жалобы в судебные инстанции на распространяемую им нелегитимную рекламу услуг компании OptinRealBig. Был ответчиком по иску MySpace, ресурс которой использовал для рассылки спам-рекламы с пользовательских аккаунтов, получив к ним доступ с помощью фишинга. В настоящее время 41-летний «бизнесмен» поправляет поредевший бюджет, рекламируя «бесплатные» рингтоны, которые на самом деле продает по 7-10 долларов. Владелец интернет-аптеки XPress Pharmacy Кристофер Смит (Christopher Smith) заработал на нелегальных продажах фармацевтических препаратов 24 миллиона долларов. Рекламируя свой веб-ресурс через спам, он, как и прочие, не обошел вниманием широкую аудиторию AOL, поплатившись крупным штрафом. За многочисленные нарушения CAN-SPAM, незаконную торговлю, отмывание денег и шантаж в ноябре 2006 года 28-летний гражданин США был приговорен к 30 годам тюремного заключения и в настоящее время пребывает за решеткой. Глава хорошо налаженного спам-бизнеса, 63-летний эпикуреец Алан Ральски (Alan Ralsky) до 2005 года роскошествовал, растрачивая заработанные на спаме миллионы. По свидетельству экспертов, потенциальная спамопроизводительность его бизнеса превышала 70 миллионов сообщений в сутки. В последние годы предприимчивый американец возглавлял группировку, которая специализировалась на продвижении мелких акций китайских компаний по схеме «накачка-сброс», используя каналы электронной почты. В начале 2008 года ее 11 участников, включая Ральски, были обвинены федеральными властями в проведении противоправных электронных рассылок и в коллективных биржевых махинациях. Дата рассмотрения дела в суде пока не назначена. 40-летний американец Сэнфорд Уоллес (Sanford Wallace) по прозвищу Спамфорд неутомимо рассылал миллионы нелегитимных сообщений в сутки в те времена, когда некоторые из будущих «королей» еще писали школьные эссе и задирали одноклассников. Он одним из первых начал применять для маскировки поддельные обратные адреса, использовать релеи и манипулировать настройками пользовательских браузеров. Будучи обвиненным в противозаконном распространении рекламы, а позднее - шпионского ПО и программ показа рекламы (adware), Уоллес каждый раз урегулировал конфликт мизерными выплатами и не скупился на покаянные речи. На рассмотрение дела о рассылке спама и использовании фишерских методов в сети MySpace, в котором он выступал ответчиком, спамер вовсе не явился. В конечном итоге он был оштрафован за неоднократное нарушение судебных приказов и неуважение к суду. Тем не менее, Спамфорд находится на свободе и развлекает посетителей, работая диск-жокеем в одном из клубов Лас-Вегаса. Источник: PCWorld.com Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005