Электронный журнал "Спамтест" No. 261 в этом номере: Новости Спам-статистика за период 24 - 30 ноября 2008 г. Новости Эстония отказала Srizbi в прописке 01.12.2008 25 ноября операторам ботнета Srizbi, потерявшего командные серверы в результате отключения от Сети хостинг-провайдера McColo, удалось перевести управляющие функции на серверы небольшой таллиннской компании Starline Web Services. Однако благодаря оперативности национальной Группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT) и магистрального провайдера Linxtelecom новые адреса были через 13 часов заблокированы. По оценке исследователей компании FireEye, в настоящее время ботнет Srizbi состоит приблизительно из 500000 зараженных машин, а сам троянец имеет более 50 модификаций. Как выяснилось, в случае потери связи с командным сервером бот Srizbi пытается восстановить ее перебором четырех «резервных» доменов. Списки этих доменов и порядок их перебора отличаются у ботов, ориентированных на разные управляющие серверы, и обновляются каждые трое суток. Таким образом, для восстановления работы ботнета его операторам требуется всего лишь зарегистрировать актуальные домены, перенести управляющие функции на новые сервера и обновить спам-боты. Воспользовавшись обнаруженным алгоритмом, эксперты FireEye попытались опередить повелителей Srizbi. Какое-то время они регистрировали воспроизводимые генератором варианты доменных имен, однако этот сценарий оказался слишком разорительным, так как требовал оплаты 450 доменов в неделю. Как только исследователи прекратили регистрацию, инициативу перехватили владельцы ботнета. За один день компания DirectNIC, являющаяся специализированным подразделением американского онлайн-альянса Intercosmos Media Group, зарегистрировала пять доменов на имя некоего Улугбека Асатопова из Анкары. Четыре из них привязаны к эстонским серверам, а один - к серверу, IP-адрес которого зарегистрирован на Каймановых островах, а веб-хостинг находится во Франкфурте, Германия. Последний пока остается онлайн. По оценкам экспертов, за время работы новых командных серверов Srizbi с ними имели возможность связаться около 100000 ботов. Сколько из них успели получить обновления, неизвестно, но новый шаблон для рассылки спама использовал кодировку koi8-r, то есть был рассчитан на русскоязычных пользователей Интернета. Все новые адреса SMTP-серверов принадлежат доменной зоне .ru. Один из этих серверов обслуживает крупнейший российский банк. Источник: pcworld.com Источник: voices.washingtonpost.com Источник: blog.fireeye.com Евросоюз сплачивает ряды в борьбе с киберпреступностью 01.12.2008 Еврокомиссия выделила 300 тысяч евро на создание единой платформы для сбора и распространения информации о киберпреступлениях. Платформа будет функционировать под эгидой Европола. Хищение персональных данных в Сети, распространение спама, вирусов, порнографии в настоящее время достигли таких масштабов, что противостоять им можно лишь объединенными усилиями. Приоритетным направлением борьбы с киберпреступлениями в Европе объявлено искоренение детской порнографии, с которой, по данным Еврокомиссии, связано более половины нарушений, регистрируемых в европейском секторе Интернета. Проект был одобрен на прошедшем в Брюсселе заседании Совета министров ЕС. Он является частью стратегии борьбы с киберпреступностью, разработанной Еврокомиссией и принятой странами-участниками. Новый фронт работ нацелен на повышение эффективности взаимодействия правоохранительных органов и бизнес-структур. План предусматривает создание национальных и межгосударственной систем раннего оповещения о кибератаках. Создание общеевропейского информационного центра обеспечит оперативный обмен данными и облегчит ведение совместных расследований. Еврокомиссия окажет финансовую помощь и тем странам-участницам ЕС, которые не имеют пока национальных систем сбора информации о совершаемых в Сети преступлениях. Общеевропейская система раннего оповещения об интернет-угрозах также предусматривает создание специализированных поисковых систем, киберпатрулей, национальных и межгосударственных оперативно-следственных групп. На отдельном веб-сайте Европола будут публиковаться: информация о видах сетевых правонарушений, списки центров анонимной подачи жалоб, статистика выявленных правонарушений и календарь событий информационного центра. Источник: vnunet.com Источник: heise-online.co.uk Фармаспам не терпит простоя 02.12.2008 Специалисты по сетевой безопасности отмечают некоторое оживление спам-трафика после двухнедельного затишья, подаренного интернет-сообществу в результате отключения хостинг-провайдера McColo. По их оценкам, более половины спама, отсеиваемого в настоящее время защитными фильтрами, составляет реклама небезызвестной сети интернет-аптек Canadian Pharmacy. Эксперты зафиксировали рассылку спама с таких ботнетов, как Mega-D, Asprox, Srizbi, Gheg (также использовавшего хостинг McColo) и Rustock. Спам-рассылки с последнего отличаются относительной масштабностью и нацелены, в основном, на продвижение услуг сервиса Canadian Pharmacy. По всей видимости, это результат переноса командного сервера ботнета и обновления спам-ботов. По оценке Symantec, большая часть (около половины) этого фармаспама исходит с зараженных компьютеров, находящихся на территории США, Бразилии и Китая. Это короткие html-сообщения, снабженные URL-редиректами или прямыми ссылками на интернет-аптеку. Большинство доменов, используемых в этих URL, зарегистрированы в зоне .cn. Исследователи Commtouch обнаружили, что в некоторых случаях для размещения фармарекламы спамеры использовали легальные веб-хостинги – Microsoft Live Spaces и Google Docs. На страницах последнего спам-реклама Canadian Pharmacy зачастую соседствовала с профессионально оформленной информацией о веб-сайтах знакомств. В целом, по оценке MessageLabs, объемы спама в настоящее время составляют около 37% от потока, зафиксированного на момент отключения McColo. Спам-рассылки ведутся интенсивными всплесками, продолжительность которых составляет не более 11 минут. Этого времени бывает недостаточно, чтобы проанализировать образцы спама и создать соответствующие сигнатуры, на что и рассчитывают спамеры. Источник: marshal.com Источник: forums.symantec.com КНР борется с фишингом 03.12.2008 Антифишинговый альянс Китая (Anti-Phishing Alliance of China, APAC) приостановил обслуживание зарегистрированных в зоне .cn поддоменов, на которых размещено более 300 фишинговых веб-страниц. Эта мера вызвана разрастанием фишингового веб-хостинга и угрозой, которую он представляет для электронной коммерции и финансовых онлайн-сервисов. Особенно остро вопрос встал начиная с середины сентября, когда углубился экономический кризис. APAC был учрежден в июле текущего года под эгидой Информационного центра интернет-инфраструктуры Китая (China Internet Network Information Center, CNNIC) — организации, ответственной за регистрацию доменных имен в этой стране. Его основной задачей является борьба с фишингом в доменной зоне .cn. К настоящему моменту разработан механизм взаимодействия членов APAC в ходе этой работы В состав альянса входят 42 китайских и иностранных компании, которые специализируются на фондовых операциях, финансах, торговле и компьютерных играх. К альянсу присоединились и крупнейшие банки страны - Industrial and Commercial Bank of China (Индустриальный и коммерческий банк Китая), Agricultural Bank of China (Сельскохозяйственный банк Китая), а также представители сетевой индустрии: интернет-провайдер Tencent, интернет-аукцион Taobao, поисковые сервисы Baidu и Google. В настоящее время региональная зона .cn насчитывает около 12,91 миллиона доменных имен. Источник: chinatechnews.com Коста-риканские законодатели ограничили рассылку коммерческой рекламы 03.12.2008 В закон о телекоммуникациях Коста-Рики - Ley General de Telecomunicaciones, вступивший в силу 30 июня текущего года, включена статья о несанкционированных коммерческих рассылках. Новый законодательный акт призван регулировать использование и эксплуатацию сетей связи, а также предоставление телекоммуникационных услуг в пределах территории Коста-Рики. Соблюдать этот закон обязаны все участники рынка телекоммуникаций, независимо от их гражданства. Новый закон запрещает распространение коммерческой рекламы с использованием телефонных линий, мобильной и факсимильной связи, электронной почты без предварительного согласия получателей. Рекламодатель может использовать контактную информацию, предоставленную ему клиентами, для проведения рекламных акций, но обязан обеспечить реципиентам возможность отказаться от получения информационных бюллетеней. При рассылке коммерческой рекламы не допускается сокрытие или подделка адреса отправителя. Рекламодатель также обязан указать контактный адрес, на который получатель может направить просьбу об исключении его из списка рассылки. Рассмотрение жалоб на злоупотребления в сфере телекоммуникаций и определение меры административного наказания возложено на Управление по телекоммуникациям - Superintendencia de Telecomunicaciones (SUTEL). На злостных нарушителей закона может быть наложен штраф в размере 0,025-0,5% от валовой прибыли за истекший финансовый год. В особых случаях размер штрафа может быть увеличен до 1-10%. В отсутствие сведений о доходах правонарушителя положенный ему штраф назначается как процент от стоимости его активов [PDF 256Kб]. Необходимость включения в коста-риканский закон статьи о несанкционированных рассылках была продиктована обилием жалоб на такую порочную практику директ-маркетинга. Саморекламой по SMS-каналам и электронной почте занимаются даже такие ведущие компании страны, как Radio Mensajes и Internet Pronto. Крупнейшие банки Credomatic и Citibank продвигают свои кредитные карты, используя не только SMS и электронную почту, но также и наемный персонал, атакующий потенциальных клиентов по телефону. Целый штат «агентов по продажам» банка Servimas, обслуживающего сеть Wal-Mart в Коста-Рике, ежедневно обзванивает по списку завсегдатаев этих супермаркетов, предлагая приобрести кредитную карту. Источник: insidecostarica.com IETF приостановила работу над стандартизацией DKIM 03.12.2008 Эксперты Группы по стандартизации интернет-технологий (Internet Engineering Task Force, IETF) сочли невозможным принять в качестве стандарта технологию проверки подлинности DKIM на настоящем этапе. Система DKIM позволяет определить подлинность сервера отправителя - в письмо включается шифрованная цифровая подпись, которая добавляется в служебный заголовок письма и невидима для получателя. Сервер-получатель проверяет доменное имя в адресе отправителя и предупреждает пользователя о подлоге. В отличие от систем, основанных на оценке репутации отправителя, DKIM позволяет более точно определять реальный источник спама. Система шифрования DKIM опирается на имя домена, а не на IP-адрес, который менее стабилен. Поэтому эта система позволяет сократить число ложноположительных срабатываний. Однако такая технология не позволяет идентифицировать спам, рассылаемый легитимным источником. Известно, что компьютерные мошенники часто регистрируют доменные имена, схожие с именами распространенных онлайн-сервисов. Легальные организации, в свою очередь, могут просто не внести соответствующие записи и ключи в DNS и стать жертвами фальсификаторов. Рассылать спам могут и зомби-компьютеры, которые тоже являются «подлинными» отправителями с точки зрения DKIM. В связи с этими недостатками предложенный IETF в качестве стандарта вариант аутентификации отправителя на основе DKIM вызвал много замечаний и предложений по его усовершенствованию. На последнем заседании рабочей группы IETF, посвященном данному вопросу, большинство экспертов проголосовало против продолжения работы в этом направлении. Источник: heise.de Спам-статистика за период 24 - 30 ноября 2008 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе доля спама в почтовом трафике Рунета составила 70,8%. В тематическом распределении спама рубрика «Медикаменты; товары/услуги для здоровья» сохранила лидерство, хотя ее доля заметно упала (-7,4%). Также уменьшились доли тематик «Реплик элитных товаров» (-3,0%) и «Компьютерное мошенничество» (-3,1%). Доля спама «для взрослых», наоборот, значительно возросла (+8,1%), и в основном это уже знакомые русскоязычные порнорассылки. С приближением Нового Года растет количество предложений оригинальных праздничных услуг и сувениров, благодаря чему увеличивается доля тематики «Другие товары и услуги» (+4,7%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   22,0%   -7,4%   2   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   17,9%   +8,1%   3   Другие товары и услуги   Предложения других товаров и услуг   14,0%   +4,7%   4   Образование   Реклама семинаров, тренингов, курсов   11,5%   +0,4%   5   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   9,0%   +0,7%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   5,9%   -3,0%   7   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   4,4%   +0,3%   8   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,8%   +0,6%   9   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,3%   +1,1%   10   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   2,1%   -3,1%   11   Остальной спам     Менее 2%   Без изменений   12   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,3%   13   Юридические услуги и аудит   Предложения юридических услуг   Менее 2%   -1,0%   14   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -1,7%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2008