Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Электронный журнал "Спамтест" No. 268

в этом номере:


Новости

Waledac – реинкарнация «штормового» ботнета?

25.01.2009

Специалисты по сетевой безопасности находят все больше доказательств сходства между «штормовым» ботнетом и обнаруженной в конце минувшего года зомби-сетью Waledac. Есть мнение, что последняя сформирована той же криминальной группировкой путем архитектурных усовершенствований и замены бинарного кода.

«Штормовой» ботнет прекратил свою деятельность в середине сентября прошлого года. Однако накануне Рождества эксперты зафиксировали появление вредоносного спама, тактика распространения которого позволяет предположить, что слухи о смерти ботнета несколько преувеличены. Как и в аналогичных спам-кампаниях, проведенных со «штормового» ботнета, злоумышленники в качестве приманки избрали форму виртуальной открытки. Открытка содержала вредоносную ссылку. Имя «троянского» файла, загружавшегося на машину получателя при активации ссылки, - ecard.exe или postcard.exe, также совпало с именем вредоносного файла, использовавшегося ранее при рассылках со «штормового» ботнета.

Однако сама троянская программа была абсолютно новой, а для обмена между ботами использовался не р2р-, а http-протокол, затруднявший обнаружение. Кроме того, оказалось, что при первичной установке связи с узлом используется AES-шифрование, а весь последующий информационный трафик шифруется мощным 1024-битовым ключом RSA.

Эксперты некоммерческой организации Shadowserver отмечают, что обмен между отдельными узлами Waledac осуществляется на паритетных началах, как в р2р-сети. Если в ботнете и имеется командный сервер, то его присутствие обнаружить пока не удалось. Интересно также, что в случае несостоявшегося соединения с каким-либо IP-адресом троянец ждет десять минут, а затем ищет некий php-файл в одной из доменных зон, на которую он жестко ориентирован.

Как и в «штормовом» ботнете, инфраструктура Waledac защищена технологией fast-flux, заключающейся в динамической перерегистрации IP-адресов. Как обнаружили исследователи компании Arbor Networks, Waledac использует те же IP-адреса, что и «штормовой» ботнет. На настоящий момент им удалось идентифицировать 1336 таких адресов.

По оценкам Arbor Networks, новый ботнет в настоящее время насчитывает около 35000 зомби-компьютеров и пока специализируется на рассылке традиционного спама. Эксперты предполагают, что он продолжит увеличиваться в размерах и в ближайшем году составит конкуренцию своим более именитым соперникам.

Источник: darkreading.com

Источник: shadowserver.org

Неудачный ребус

26.01.2009

Австралийское управление по коммуникациям и СМИ (Australian Communications and Media Authority, ACMA) оштрафовало оператора мобильной связи Optus на сумму 110000 австралийских долларов (более 72200 долларов США по современному курсу) за рассылку SMS-рекламы с нарушением антиспамового законодательства.

SMS-сообщения, продвигающие новый развлекательный сервис OptusZoo, были разосланы 20000 абонентам компании. Компания имела право проинформировать своих клиентов о новой услуге, но при этом получатели сообщения должны были иметь возможность без труда определить отправителя. Оператор же включил в акцию игровой момент: сообщения были подписаны набором цифр 966. Авторы рассылки, видимо, надеялись, что получатели догадаются установить связь между этими цифрами и буквами z-o-o, которым соответствуют те же кнопки на клавиатуре мобильного телефона, с одной стороны, и название нового сервиса – с другой.

Однако блюстители законности использования средств связи сочли, что столь причудливая ассоциация противоречит требованиям к оформлению коммерческих рассылок. Ведь соответствующие цифрам 9-6-6 кнопки в зависимости от числа нажатий вызывают разные буквы, а значит, такой способ идентификации отправителя неоднозначен и является правонарушением.

Предварительные переговоры между ACMA и Optus по улаживанию конфликта не увенчались успехом, поэтому правозащитники приняли решение о наложении штрафа. Компания уже заплатила означенную сумму, извинилась перед клиентами и приняла меры к предотвращению подобных инцидентов.

Источник: australianit.news.com.au

Sophos: предсказание Гейтса о быстром истреблении спама не сбывается

27.01.2009

Пять лет назад глава компании Microsoft Билл Гейтс заявил, что со спамом скоро будет покончено. Итоги отчета Sophos за последний квартал минувшего года демонстрируют, что он поторопился с прогнозами.

Невзирая на усилия правоохранительных органов, интернет-провайдеров и разработчиков защитного ПО по ограничению объемов «мусорной» почты, спам пока остается большой проблемой. Проведенный Sophos сравнительный анализ статистики выявил тенденцию к уменьшению объемов спама, ежегодно рассылаемых из отдельных стран. Однако, как отмечают исследователи, спамеры постоянно совершенствуют методы повышения эффективности доставки рекламного «мусора» в почтовые ящики пользователей. Более того, в последние годы спам все чаще принимает криминальную окраску.

Согласно наблюдениям экспертов, в 4 квартале криминальные элементы уделяли повышенное внимание возможностям социальных сетей, таких как Facebook и Twitter. Уловив тенденцию к росту популярности социальных веб-сервисов, спамеры использовали присущую этим сервисам атмосферу доверительности, и начали распространять нелегитимную рекламу и вредоносные программы с поддельных профилей. Такой метод рассылки спама вполне эффективен. Новыми возможностями не преминули воспользоваться и «нигерийские» мошенники, в поисках личной выгоды делающие ставку на методы социальной инженерии.

Главным источником спам-рассылок по-прежнему остаются США, хотя за пять лет их вклад в спам-трафик постепенно уменьшился, - прежде всего за счет роста спам-трафика, идущего из других стран. Если в 2004 году с американских компьютеров рассылалась почти половина мировых объемов спама, то в отчетный период этот показатель составил лишь 19,8%. Количество спама из Китая и Гонконга, которые пять лет удерживали вторую ступень этого непочетного рейтинга, напротив, увеличилось и в настоящее время составляет 9,9% спам-трафика. Третье место занимает Россия с показателем 6,4%, ее догоняет Бразилия (6,3%). А Канада, Япония и Франция, занимавшие твердые позиции в «грязной дюжине» за 2004 год, спустились ниже 12-й ступени.

По оценке Sophos, в минувшем квартале в разделении источников спама по континентам доминировала Азия; ее вклад в спам-трафик в настоящее время составляет 37,8%. На втором месте – Северная Америка (23,6%), на третьем Европа (23,4%).

Источник: sophos.com

Новый ботнет, старые трюки

27.01.2009

Как и год назад, «троянские» признания в любви начали циркулировать в почтовом трафике задолго до Дня святого Валентина.

По свидетельствам экспертов, вредоносные сообщения оформлены короткой строкой и снабжены URL-ссылкой. В заголовке проставлена уместная фраза, взывающая к романтическим чувствам получателей. При активации ссылки пользователь попадает на веб-страницу с изображением 12 сердец, из которых он должен «кликом» выбрать одно. При любом выборе на машину жертвы загружается исполняемый файл, содержащий вариант вредоносной программы W32.Waledac .

Этот файл может иметь одно из следующих имен: you.exe, love.exe, meandyou.exe, youandme.exe, onlyyou.exe. Размещенное на созданной злоумышленниками веб-странице изображение напоминает одну из «валентинок», разосланных в прошлом году со «штормового» ботнета. Исследователи обнаружили, что авторы рассылки оценивают эффективность доставки спама, отслеживая число посещений и запрашивающие страницу ресурсы с помощью Google Analytics.

Интенсивность данной спам-рассылки пока невелика и, по оценкам компании MX Logic, в первые часы составляла примерно 11 тысяч писем в час. На долю заряженных Waledac «валентинок» приходилось около 10% от общего количества вредоносных писем, зарегистрированных экспертами за первые сутки с начала атаки. Однако, согласно наблюдениям исследователей, производительность ботнета постепенно увеличивается.

Источник: mxlogic.com

Подделки в ассортименте

28.01.2009

Эксперты компании Commtouch зарегистрировали несколько спам-рассылок, в которых для продвижения рекламы медицинских препаратов использовалась репутация легитимных сервисов CBS News и Pizza Hut.

Реклама фармацевтических изделий, традиционно предлагаемых одиозной сетью интернет-аптек Canadian Pharmacy, рассылалась под видом и в формате информационного бюллетеня новостного сайта CBS. Письмам была присвоена высокая важность, заголовок для них также был позаимствован на сайте CBS. В письмо была вставлена URL-картинка, рекламирующая препараты.

Другая разновидность фармаспама использовала аналогичную картинку, на этот раз оформленную в виде рекламного проспекта Pizza Hut. Плагиаторы сохранили включенные в исходное изображение кнопку «Order Now» («заказать сейчас») и вкладку «Click for more deals» («больше подробностей»). Адрес отправителя выглядел как PizzaHut@____.emailpizzahut.com. В письме осталась касающаяся пиццы информация: цены, виды изделий, сроки доставки и даже состав теста.

Другое письмо было написано от имени службы техподдержки популярного веб-сайта ZDNet. Небольшое сообщение в текстовом формате, снабженное «шумовой» фразой и снабженное ссылками, рекламировало статью, якобы размещенную на ресурсе Google Docs. По ссылкам находилась реклама интернет-аптеки International Rx, а не техническая статья, как можно было бы ожидать, исходя из специфики ZDNet.

Источник: blog.commtouch.com


Спам-статистика за период
19 – 25 января 2009 г.

"Лаборатория Касперского"

Объем и тематические особенности спама

На прошедшей неделе доля спама в почтовом трафике Рунета в среднем составила 86,9%.

В тематическом распределении спама продолжает лидировать рубрика «Медикаменты; товары/услуги для здоровья», ее доля на прошлой неделе составила 22,6%. Заметно выросла доля сообщений тематики «Другие товары и услуги» (+4,6%), причем большинство сообщений, как и на прошлой неделе, представляли собой рекламу фильмов и сериалов на dvd. Доля такого типа писем составляла более 15% от всего потока спама. Также увеличились доли рубрик «Отдых и путешествия» (+2,5%) и «Образование» (+2,0%). Упали доли тематик «Спам для взрослых» (-5,6%), «Реплики элитных товаров» (-3,3%).

Популярные тематики

Тематика Описание Доля тематики Изменения за неделю
1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   22,6%   -0,6%  
2   Другие товары и услуги   Предложения других товаров и услуг   22,1%   +4,6%  
3   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   13,8%   -5,6%  
4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   11,8%   -1,8%  
5   Образование   Реклама семинаров, тренингов, курсов   9,4%   +2,0%  
6   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   4,4%   +1,9%  
7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   4,1%   +2,5%  
8   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   3,2%   -3,3%  
9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,3%   -0,1%  
10   Юридические услуги и аудит   Предложения юридических услуг   2,2%   +0,5%  
11   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   +0,6%  
12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,1%  
13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   +0,1%  
14   Остальной спам     Менее 2%   +0,3%  

Примеры спамовых писем смотрите на сайте Спамтест.




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) "Лаборатория Касперского", 1997 - 2009


В избранное