Электронный журнал "Спамтест" No. 266 в этом номере: Новости Спам в декабре 2008 года Спам-статистика за период 29 декабря 2008 г. – 11 января 2009 г. Новости Virus Bulletin вводит систему сертификации антиспам-решений 12.01.2009 Онлайн-журнал Virus Bulletin, автор VB100 - схемы сертификации антивирусных программ, успешно работающей уже более 10 лет, и учредитель соответствующей престижной награды, объявил о запуске аналогичного проекта для оценки систем фильтрации почты. Система тестов, разработанная экспертами Virus Bulletin на основе многолетнего опыта, позволит определять соответствие эффективности различных продуктов заявленным производителем характеристикам, отслеживать качество их работы во времени, а также сравнивать эффективность различных методов фильтрации спама, лежащих в основе современных систем защиты электронной почты. Подробные результаты тестирования будут публиковаться в периодических выпусках онлайн-журнала Virus Bulletin, распространяющегося по подписке. Зарегистрированные пользователи virusbtn.com смогут бесплатно ознакомиться с краткими отчетами по итогам проведения тестов на веб-сайте. Тестирование будет проводиться одновременно на ряде компьютеров; каждый спам-фильтр будет работать на отдельной машине. Коммерческие производители участвуют в испытаниях на платной основе. Проверка продуктов, предоставляемых в безвозмездное пользование, по схеме open-source и не содержащих внедренной рекламы, будет проводиться бесплатно. Испытания начнутся в текущем месяце. Источник: www.virusbtn.com Symantec о декабрьских спам-рассылках 13.01.2009 Согласно статистике компании Symantec, в прошлом месяце среднесуточные объемы спама в Интернете составляли около 80% от уровня, зафиксированного на момент отключения ресурсов McColo. Основным источником спама остаются США, вклад которых в спам-трафик увеличился и составил в декабре 27%. Второе и третье места заняли Китай и Бразилия, вклад каждой из этих стран - 7% от общего объема спама. В тематическом разделении спам-рассылок преобладали интернет-услуги (24% спам-трафика), промтовары и услуги индустрии развлечений (по 18%), а также медицинские товары/услуги (11%) и финансы (10%). По данным Symantec, в настоящее время около 90% спамовых писем снабжены ссылкой. Чтобы повысить эффективность доставки, авторы спам-рассылок постоянно обновляют используемое в URL доменное имя. Анализ нелегитимной почты последней недели декабря показал, что 68% спамовых URL привязаны к домену .com, 18% - к домену .cn и 5% - к домену .net. Особой интенсивностью в минувшем месяце отличались спам-рассылки, продвигающие услуги одиозной сети интернет-аптек Canadian Pharmacy. Большинство из них – короткие сообщения в html-формате, снабженные ссылкой на спам-хостинг в зоне .cn. Во многих спамовых письмах эксплуатировалась праздничная тематика. Используя оживление в Сети, спамеры на разных языках активно продвигали услуги интернет-аптек, порносайтов, турагенств, предлагали праздничные бонусы и скидки, а также рассылали поддельные уведомления о выигрышах в лотерею. Исследователи отметили нетрадиционный образец фармаспама, предлагающий приобрести эксклюзивный набор наркотиков и психотропных препаратов для проведения праздничной вечеринки. Отдельную категорию праздничного спама в декабре составили зараженные виртуальные открытки, рассылаемые с ботнетов. При активации ссылки, указанной в таком «поздравительном» письме, на машину получателя загружалась вредоносная программа удаленного администрирования. В декабре эксперты также отметили увеличение объемов фармаспама, эксплуатирующего формат информационных и рекламных бюллетеней. В стремлении «продавить» защитные системы фильтрации, спамеры использовали чужие шаблоны, внедряя графические элементы с целевой рекламой в легитимный контент. В связи с экономической рецессией широкое распространение получили спамовые предложения «надомной работы», маскирующие кампанию по вербовке агентов для отмывания «грязных» денег. Нередко претенденты на замещение такой «вакансии» должны были также заполнить некую анкету, отдавая персональную информацию в распоряжение злоумышленников. Спам такого рода был оформлен на разных языках. По мнению экспертов, в условиях экономической нестабильности он получит дальнейшее распространение. По мере приближения даты инаугурации нового американского президента спамеры все активнее эксплуатируют имя Обамы в своих рассылках. Эксперты зафиксировали также ряд спамовых предложений присоединиться к некой группе на одном из социальных веб-сайтов. По данным Symantec, эта группа была создана злоумышленниками на социальном сервисе с целью сбора регистрационных данных ее новых участников. К концу года увеличилось количество фишинговых рассылок, нацеленных на хищение реквизитов и контактных адресов пользователей бесплатных почтовых аккаунтов. Текстовые сообщения от имени администрации сервиса уведомляли получателя о технической профилактике на сервисе либо о жалобах на рассылку спама с его адреса. В обоих случаях адресату под угрозой блокирования аккаунта предлагалось в ограниченные сроки подтвердить пользовательские данные, отправив их ответным письмом на адрес отправителя или на адрес, указанный в теле сообщения. Источник: eval.symantec.com [PDF 716КБ] Новогодние хлопоты Google 13.01.2009 В конце минувшего года злоупотребление бесплатными веб-сервисами Google достигло таких масштабов, что организация Spamhaus занесла этого интернет-провайдера в список десяти лидеров в спамерской деятельности. Встретив Новый Год на полпути к вершине этого непочетного пьедестала, Google утвердилась к 7 января на третьей позиции. В это время в ее сетях, по данным Spamhaus, числился 31 источник криминальной деятельности, связанной с рассылкой спама. В основном это были веб-страницы в формате Google Docs, содержащие редиректы на вредоносный веб-хостинг или опекаемую спамерами интернет-аптеку, и Gmail-аккаунты, с которых распространялись «нигерийские» письма и фальшивые уведомления о выигрыше в лотерею. С началом нового года также участились случаи использования в спаме ссылок на публичный веб-хостинг Google Code. Этот сервис позволяет хранить в открытом доступе информацию о пользовательских open-source проектах. Для оформления домашней страницы на Google Code можно использовать текст, ссылки и графику, причем созданные пользователем страницы автоматически индексируются. Все это предоставляет широкие возможности для злоупотреблений. Созданные спамерами на Google Code страницы содержали редирект и пропагандировали бесплатное порно. При попытке активизировать видеоролик посетителю предлагалось загрузить под видом «компонента для просмотра» файл с вредоносной программой. Настойчивые любители «клубнички», помимо фальшивого «кодека», имели шанс также получить вариант ложного антивируса, добравшись до искомого сайта imp-porntube.net. Получив несколько уведомлений от Spamhaus, эксперты Google начали «генеральную уборку» и, невзирая на праздники, добились выдворения большинства спамеров из своих владений. 7 января имя компании исчезло из публикуемого Spamhaus списка 10 ведущих провайдеров-спамеров и, надо надеяться, надолго. Источник: www.informationweek.com Источник: voices.washingtonpost.com Троянские вести из зоны вооруженного конфликта 14.01.2009 В начале января специалистами по безопасности была зафиксирована рассылка вредоносных сообщений от имени новостного канала CNN на тему последнего вооруженного столкновения в секторе Газа. Последовав инструкциям злоумышленников, неосторожные получатели за три «клика» загружали на свой компьютер программу-шпион, ориентированную на хищение персональных данных при установлении SSL-соединений на резидентной машине. По свидетельству экспертов, злонамеренные письма были оформлены в виде новостного бюллетеня, снабженного броскими заголовками. В поле «from» были указаны поддельные адреса различных служб CNN. Активация приведенной в теле письма ссылки открывала веб-страницу, имитирующую новостной ресурс этой компании. Если посетитель пытался просмотреть «видеоролик», якобы содержащий интригующие подробности израильско-палестинского конфликта, или просто задерживался на этой странице, выводилось сообщение о необходимости загрузить Adobe Flash Player 10 с веб-хостинга, адрес которого был указан ссылкой. При активации итоговой ссылки на машину жертвы загружалась троянская программа-даунлоудер, которая, в свою очередь, загружала с другого адреса троянца с функциями кей-логгера и анализатора сетевых пакетов, защищенными руткитом. Отслеживая FTP, POP3, IMAP, ICQ и HTTP-трафик в резидентной системе, троянец собирал конфиденциальную информацию и отсылал ее на свой сервер. Во избежание обнаружения он также отключал на резидентной системе брандмауэр и центр безопасности Windows. По оценке исследователей компании AppRiver, вредоносные сообщения, против обыкновения, были безупречно оформлены и не содержали языковых ошибок. Поддельная веб-страница CNN также была исполнена на высоком профессиональном уровне. Однако, все эксперты отмечают, что распространявшиеся с помощью данной спам-рассылки троянские программы не новы, а использующая их криминальная группировка хорошо известна. Перед Новым годом она по тому же сценарию провела спам-рассылку, ориентированную на пользователей социального веб-сайта classmates.com. Исследователи компании Marshal установили, что данная спам-рассылка была проведена с ботнета Pushdo. Благодаря оперативности экспертов RSA, кибератака по истечении суток угасла. За время проведения атаки в компании MX Logic было зафиксировано примерно 250000 вредоносных сообщений. Доменное имя в URL поддельной веб-страницы CNN периодически изменялось. Выяснилось, что вредоносный веб-хостинг был размещен на китайских серверах, а IP-адрес сервера-получателя похищенной пользовательской информации (91.211.65.30), согласно базе данных Whois, принадлежит обслуживающей украинских клиентов подсети одной из екатеринбургских компаний. Источник: www.rsa.com Источник: www.mxlogic.com Источник: www.marshal.com Commtouch отчиталась за 4 квартал 15.01.2009 По оценке компании Commtouch, благодаря прекращению деятельности одиозного веб-хостинга McColo средний уровень спама в 4 квартале минувшего года составлял лишь 72% нефильтруемого почтового трафика. Согласно статистике компании, глобальные объемы спама достигли пикового показателя в 94% в октябре, а сразу после отключения McColo уменьшились до 59%. В тематическом разделении спам-рассылок в отчетный период преобладала категория медицинских препаратов и услуг, на долю которой приходилось 42% спам-трафика. Реклама средств повышения половой потенции была выделена исследователями в отдельную категорию и в 4 квартале составляла всего 7% от общего объема спама в Интернете. Значительную часть нелегитимной корреспонденции – 12% - представлял порноспам. Как и на протяжении всего предыдущего периода 2008 года, в 4 квартале спамеры и распространители вредоносных программ активно эксплуатировали легитимный веб-хостинг и использовали приемы социальной инженерии, стараясь повысить эффективность доставки. Исследователи также отмечают тенденцию к расширению спектра языков спамовых посланий и к дальнейшему развитию ботнетов, используемых для распространения нелегитимной корреспонденции. По оценкам Commtouch, к Сети ежедневно подключаются более 300000 зомби-компьютеров в состоянии боевой готовности, большинство которых – домашние ПК. Лидером по количеству зараженных машин в отчетный период стала Бразилия, на долю которой приходилось 14,6% глобального зомби-парка. Волну спам-рассылок вызвал мировой финансовый кризис. Интернет наводнили спамовые предложения «выгодных» займов, быстрых кредитов и «надомной работы». Тема выборов президента в США также пользовалась активным вниманием киберзлоумышленников. Рассылаемые в спаме предложения поучаствовать в различных опросах в обмен на призы были нацелены на хищение персональной информации пользователей либо заряжены вредоносными ссылками. Особой агрессивностью отличался ряд спам-рассылок, проведенных сразу после выборов. При активации вредоносной ссылки в этих письмах на машину жертвы под видом «кодека» загружалась троянская программа-шпион. В конце ноября эксперты зафиксировали серию спам-рассылок, использовавших «белую» репутацию бесплатного веб-сервиса Google Docs для продвижения порносайтов и фармацевтических препаратов. В начале декабря появилась еще одна нелегитимная рассылка, в которой спамеры для обхода защитных фильтров вновь использовали возможности сервиса Google Docs и поддельные аккаунты на Gmail. Праздничный сезон был традиционно отмечен рядом кибератак, нацеленных на распространение вредоносных программ под видом виртуальных открыток. Перед Новым Годом прошла спам-рассылка с «отчетом о встрече одноклассников», ориентированная на пользователей социального веб-сайта Classmates.com. При активации указанной в таком письме ссылки – якобы на видеоролик с подробностями встречи – получателю рекомендовалось загрузить для просмотра плагин, который на самом деле был «троянским» файлом. Источник: www.commtouch.com [PDF 1,89MБ] Спам в декабре 2008 года Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с ноябрем увеличилась на 5,3% и составила в среднем 79%. Вредоносные файлы содержались в 0,29% электронных сообщений, что на 2% меньше, чем в прошлом месяце. Ссылки на фишинговые сайты находились в 0,78% всех электронных писем. Доля спама с графическими вложениями несколько выросла и составила 11%. Спамеры активно использовали файлохранилища и блоги для размещения рекламной информации. В нелегитимных рассылках использовалось имя Барака Обамы. Доля спама в почтовом трафике Доля спама в почтовом трафике в декабре 2008 года в среднем составила 79%. Самый низкий показатель отмечен 14 декабря - 55,9%, больше всего спама зафиксировано 21 числа - 89,9%. Доля графического спама выросла на 2% в сравнении с прошлыми месяцами и составила 11%. Вредоносные вложения содержали 0,29% всех электронных сообщений, что значительно меньше аналогичного ноябрьского показателя (2,28%). Фишинг В декабре доля писем, содержащих фишинговые ссылки, незначительно (на 0,02%) увеличилась по сравнению с ноябрем и составила 0,78%. Чаще всего мишенью фишеров становились платежные системы, пользовавшиеся у них популярностью и в прошлом месяце (PayPal (38,8%) и AmericanExpress (19,5%)). В России самой атакуемой стала почтовая система Mail.Ru. Письма, нацеленные на получение логинов и паролей клиентов этого сервиса, были оформлены более изобретательно, чем раньше. Для просмотра якобы полученного пользователем электронного сообщения требовалось ввести цифры, указанные на картинке. Правильность ввода цифр не имела значения. Кнопка «Прочитать» являлась ссылкой на сайт с фальшивой страницей авторизации. Тематический состав спама Пятерка лидирующих спам-тематик декабря: «Медикаменты; товары и услуги для здоровья»- 25,3% Спам «для взрослых» - 15,5% «Образование» - 8,1% «Реплики элитных товаров» - 7,9% «Отдых и путешествия» - 6,8% В декабре состав пятерки лидирующих тематик спама остался прежним. Однако спам «для взрослых» уступил первое место рубрике «Медикаменты; товары и услуги для здоровья». Причиной этого стало как существенное уменьшение доли спама «для взрослых» - на 8,5% по сравнению с ноябрем, - так и заметное увеличение количества русскоязычных предложений виагры. Рубрика «Образование» осталась на третьей позиции (в большей части писем этой рубрики предлагалось заказать курсовую работу или купить поддельный диплом). Несмотря на приближавшиеся длительные праздники тематика «Отдых и путешествия» опустилась с четвертой на пятую позицию: предложений о проведении досуга стало меньше, что, вероятно, характерно для периода экономического кризиса. Тематические особенности месяца Если в русскоязычных рассылках, независимо от рекламируемых товаров/услуг, спамеры, как правило, использовали тему экономического кризиса, то в англоязычных спамерских письмах чаще встречалось имя Барака Обамы. Например, в одной из рассылок рекламировались тарелки с изображением Обамы. При попытке заказать этот сувенир получатель перенаправлялся на шаблонный спамерский сайт, на котором о тарелках даже не упоминалось. На этом же сайте у разочарованного посетителя была возможность «отписаться» от подобных рассылок. Скорей всего, эта акция была направлена на проверку активности адресов, входящих в спамерские базы. Еще неожиданнее было использование имени избранного американского президента в рассылке, рекламирующей специальную подушку от храпа. Название сайта, на который предлагалось пройти получателю, дословно можно перевести как «Обама при исполнении». Спамеры продолжают использовать популярность сервиса Mail.Ru в корыстных целях. В декабре в спаме встречались извещения о выигрышах в лотерею, разосланные якобы администрацией этого хостинга. Призовые суммы варьировали от 250 до 800 рублей. О мошенническом характере рассылки свидетельствовало содержавшееся в письмах условие: для получения «выигрыша» требовалось послать SMS-сообщение на четырехзначный номер. Спамерские методы и трюки В конце года англоязычные спамеры активно использовали ссылки на сервисы google.com. В файлохранилище docs.google.com было размещено множество страниц с рекламой виагры, порнографии или реплик элитных товаров . Это позволило спамерам создать огромное количество писем с уникальными ссылками, что должно было затруднить работу спам-фильтров. Еще одним способом, с помощью которого спамеры пытались обойти антиспамовую защиту, стало размещение рекламной информации на форумах и блогах. Специально для этого на различных и не всегда самых популярных ресурсах спамеры регистрировали аккаунты. В спамовом письме содержалась ссылка, по которой получатель проходил на пост блоггера или профиль участника форума, где был размещен адрес сайта, рекламирующего товары/услуги. Этот прием пользовался особой популярностью у русскоязычных спамеров. Заключение В декабре доля спама в почтовом трафике, упавшая в ноябре после закрытия McColo, вернулась на прежний уровень. Состав лидирующих тематик не изменился. Хотелось бы отметить, что оправдался сделанный нами в прошлом месяце прогноз: спам «для взрослых» уступил первое место рубрике «медикаменты; товары и услуги для здоровья». Напомним, что всплеск рассылок, рекламирующих сайты для взрослых, сопровождался мошенническими манипуляциями, - пользователей вводили в заблуждение относительно цены SMS-сообщений, которые требовалось послать для просмотра контента. Логично было предположить, что пользователи рано или поздно перестанут попадаться на одну и ту же удочку, что и произошло. Вероятно, вновь занявшая первое место рубрика «Медикаменты; товары и услуги для здоровья» надолго останется лидером рейтинга спам-тематик. Некоторый рост доли графического спама скорее всего является следствием многочисленных предновогодних и предрождественских рассылок, которые требовали красочного оформления. Если это предположение правильно, в последующие месяцы относительный объем графического спама вернется к привычным значениям (порядка 9%). В первой половине января можно ожидать рост доли спама по отношению к легитимным письмам, связанный, однако, не столько с усилением собственно спамерской активности, сколько с уменьшением объема деловой переписки. Напоминаем, что в периоды праздников мошенники активно применяют методы социальной инженерии, рассчитанные на веру потенциальных жертв в чудо. Если в праздничной почте обнаружено извещение об огромной сумме внезапного наследства или фантастическом выигрыше, не забудьте, что, скорее всего, его послал «плохой Санта». Полную версию статьи читайте на сайте Спамтест. Спам-статистика за период 29 декабря 2008 г. – 11 января 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама В течение двух недель зимних праздников доля спама в почтовом трафике Рунета составила 88,8%, что на 5% больше, чем на предновогодней неделе. Это объясняется тем, что во время выходных люди гораздо меньше пользуются электронной почтой, практически отсутствует деловая переписка, тогда как спамерская активность продолжается, хотя и в меньших масштабах, чем обычно. Большая часть спама в эти дни была англоязычной. В тематическом распределении спама лидировала рубрика «Медикаменты; товары и услуги для здоровья», ее доля возросла на 7,6% и составила 30,1%. Также значительно увеличилась доля спама «для взрослых» (+11,9%). Уменьшилась доля тематики «Другие товары и услуги» (-7,4%), по большей части в нее попали предложения купить dvd-диски с популярными фильмами. Почти сошли на нет предложения рубрики «Отдых и путешествия», ее доля уменьшилась на 7,4% и составила менее 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   30,1%   +7,6%   2   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   26,8%   +11,9%   3   Другие товары и услуги   Предложения других товаров и услуг   12,2%   -7,4%   4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   9,2%   +0,8%   5   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   11,6%   +1,1%   6   Образование   Реклама семинаров, тренингов, курсов   Менее 2%   -1,9%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   Менее 2%   -7,4%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,0%   Без изменений   9   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   Менее 2%   -1,8%   10   Юридические услуги и аудит   Предложения юридических услуг   Менее 2%   -1,7%   11   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   3,0%   +1,1%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -1,4%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,1%   14   Остальной спам     Менее 2%   +0,5%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2008