Электронный журнал "Спамтест" No. 274 в этом номере: Новости Спам в феврале 2009 г. Спам-статистика за период 2 - 8 марта 2009 г. Новости Ботнет Rustock – лидер по спам-рассылкам 10.03.2009 По оценке компании Marshal, в начале марта 35,3% спама распространялось с ботнета Rustock. Лишившись командных серверов при отключении веб-хостинга McColo, владельцы этого ботнета озаботились переносом командных центров на альтернативные ресурсы. В результате до недавних пор, по данным экспертов, Rustock функционировал с переменным успехом, но с начала года вступил в конкурентную борьбу за утраченные позиции. В настоящее время он возглавляет рейтинг ботнетов по рассылке спама. Второе место занимает Mega-D, вклад которого в спам-трафик, по данным Marshal, составляет 23,6%. Исследователи отмечают, что Rustock оперирует одним из наиболее продуктивных спамботов, производительность которого в настоящее время составляет около 25000 сообщений в час. Его деятельность на зараженном компьютере замаскирована руткитом, поэтому обнаружить его присутствие без специальных инструментов можно только по возрастанию smtp-трафика на порте 25. Шаблоны для рассылки спама с Rustock обновляются в динамическом режиме и весьма разнообразны. Основным объектом спам-рекламы, по данным Marshal, являются интернет-аптеки сети Canadian Pharmacy, привязанные к доменной зоне .cn. Все домены, запрашиваемые спамботами Rustock, зарегистрированы частными лицами в российской компании ООО «Регтайм». Поиск в базе данных Whois показал, что владельцем ряда доменов, зарегистрированных 30 января 2009 года, является некий Павел Васильев из Челябинска. Несколько доменов зарегистрированы 11 декабря прошлого года и принадлежат, как гласят записи в Whois, киевлянину Петру Боровиченко. Исследователи перехватили сеанс связи одного из спамботов Rustock с IP-адресом 91.212.45.10. Данный сервер расположен на территории Великобритании и числится в сети /24 рижской компании Neteks. Источник: marshal.com McAfee оценила убытки от спама в малом бизнесе 11.03.2009 Исследователи компании McAfee подсчитали, что ежегодные потери производительности от спама на среднестатистическом предприятии малого бизнеса, оснащенном типовой системой фильтрации почты, могут составлять 182,5 тысячи долларов. По современным данным, на каждый почтовый адрес такого предприятия ежедневно приходит около полусотни писем. Если спам составляет 90% почтового трафика, а эффективность фильтрации – 95%, в каждый ящик в итоге попадает в среднем 2 нелегитимных письма. Для чтения одного письма, его удаления и возврата к нормальной деятельности требуется приблизительно полминуты. Следовательно, при средней зарплате 30 долларов/час потеря производительности одного работника обходится предприятию в 0,5 доллара в сутки, то есть 182,5 доллара в год. Итоговая сумма годовых убытков от спама на предприятии с численностью штата 1000 человек оказывается весьма ощутимой и развенчивает иллюзию, что спам – лишь досадная помеха, от которой можно защититься техническими методами. Аналитики McAfee отмечают, что их расчеты основаны на усредненных данных и не учитывают, например, что работники с солидным стажем могут получать надбавки за выслугу лет, а их почтовые адреса собирают больше спама. В упомянутом исследовании речь идет только о спам-рекламе и мошеннических рассылках. Ликвидация последствий вредоносных атак, осуществляемых через спам, может еще более увеличить сумму незапланированных расходов бизнес-структуры. Следует подчеркнуть, что исследование McAfee охватывает только сферу малого бизнеса, большинство представителей которого пользуются безлимитным трафиком, а также не обязаны хранить почтовый «мусор» на случай аудиторской проверки. Источник: mcafee.com [PDF 124Кб] McAfee об оптимизации и повышении эффективности спам-рассылок в феврале 11.03.2009 По свидетельству экспертов компании McAfee, в минувшем месяце крупнейшие спам-кампании были проведены с разделением ресурсов и высоким процентом доставки. Согласно результатам анализа февральской почты, нелегитимные письма, разосланные в рамках одной и той же февральской спам-кампании, были идентичны по форме и html-контенту, но использовали разные ссылки. Часть этих писем была снабжена URL, привязанным к одному из сотен китайских доменов, который перенаправлял браузер на коммерческий веб-хостинг. В других случаях диапазон URL ограничивался несколькими десятками взломанных серверов. Отдельные крупные корпорации, опекаемые McAfee, вовсе не заметили возросшей активности спамеров. По мнению исследователей, такое разнообразие говорит о стремлении спамеров уберечь ботнеты от сбоев, проверить прочность спам-обороны и упорядочить адресную базу. Примечательно, что число «отбивок» после каждой спам-рассылки в феврале было ниже обычного. Наибольшее количество спама в минувшем месяце было посвящено празднованию Дня святого Валентина. По оценке McAfee, лидером праздничных спам-рассылок была реклама фальшивых «ролексов». В отдельные дни ее вклад в спам-трафик составлял более 20%. Количество фармаспама, против ожидания, в феврале уменьшилось. Форма виртуальной открытки тоже пользовалась у спамеров меньшей популярностью, чем в рождественские праздники и в День благодарения. Основная часть февральского спама в виде открыток продолжала эксплуатировать тему Рождества, а более актуальные поздравления от спамеров появились в заметном количестве лишь после 14 февраля. Статистика McAfee по спаму за последние годы показывает, что март – самый «урожайный» месяц первого полугодия. В этом месяце по сравнению с предыдущим потоки спама, как правило, увеличиваются на 10-15%. В связи с тем, что после отключения веб-хостинга McColo спамеры торопятся наверстать упущенное, в текущем месяце, по мнению исследователей, темпы прироста «мусорной» почты могут побить все рекорды. Источник: mcafee.com [PDF 124Кб] Спам в феврале 2009 г. Татьяна Куликова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с январем увеличилась на 0,5% и составила в среднем 87,2%. Доля спама с графическими вложениями снизилась на 4% и составила 13%. Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,11% меньше, чем в январе. Вредоносные файлы содержались в 0,20% электронных сообщений, что на 0,84% меньше, чем в прошлом месяце. Под видом программы для чтения чужих SMS-сообщений распространялись вредоносные программы. Было зафиксировано несколько рассылок поздравительных открыток со ссылками на файлы в формате exe. Рубрика «Реклама спамерских услуг» вышла на первое место в списке лидирующих тематик. В пятерку лидирующих тематик вошла рубрика «Недвижимость». Доля спама в почтовом трафике Доля спама в почтовом трафике в феврале 2009 года в среднем составила 87,2%. Самый низкий показатель отмечен 20 февраля – 81,4%, больше всего спама зафиксировано 22 числа – 93%. Доля графического спама несколько уменьшилась – и составила 13% (вместо январских 17%). Распространение вредоносных программ Доля писем, содержащих вредоносные вложения, в последний месяц зимы сократилась на 0,84% и составила 0,20%. Злоумышленники по-прежнему под разными предлогами пытаются спровоцировать пользователей открыть вредоносное вложение. Так, в одном из разосланных спамовых писем, подделанном под дружеское послание, во вложении под именем installer.exe находился Trojan-Spy.Win32.Goldun.bw. На протяжении всего месяца рассылались спамовые письма, в которых пользователям предлагалась программа для чтения чужих SMS-сообщений. Подобные предложения встречались и в прошлом году kaspersky.ru. В феврале текущего года они приняли массовый характер. При попытке загрузить пробную версию «шпиона» на компьютер пользователя загружалась вредоносная программа, которую злоумышленники меняли каждый день на протяжении месяца. В конце февраля в письмах предлагалось оплатить программу, отправив SMS-сообщение на четырехзначный номер. То есть, один и тот же прием социальной инженерии использовался сначала для заражения компьютеров, а затем – для выманивания денег у пользователей. Рассылки с предложением посмотреть поздравительную открытку в день святого Валентина, как всегда, использовались злоумышленниками для распространения вредоносных ссылок. Фишинг Доля писем с фишинговыми ссылками в феврале составила 0,84%, что на 0,11% меньше, чем в январе. Чаще всего атакам подвергались платежная система PayPal (39,64%) и интернет-аукцион eBay (20,58%). Тематический состав спама Пятерка лидирующих спам-тематик февраля: «Реклама спамерских услуг» - 15,8% (+3,6%) «Медикаменты; товары и услуги для здоровья» - 14,9% (-10,4%) Спам «для взрослых» - 14,1% (-5,6%) «Образование» - 12,7% (+6,2%) «Недвижимость» - 4,7% (+2,3%) В период экономического кризиса прежние лидеры рейтинга спам-тематик теряют вес, при этом в лидирующей пятерке оказываются те тематики, которые никогда не занимали первых мест в рейтинге. Это свидетельствует о том, что спамеры теряют клиентов, которые в течение долгого времени обеспечивали их заказами, и вынуждены активно искать новых заказчиков рассылок. На этом фоне конкуренция между различными спамерскими компаниями обостряется. Симптоматично, что в феврале на первое место в рейтинге тематических рубрик спама вышла реклама спамерских услуг. Спамеры не только активно рассылают собственную рекламу, но и стараются, чтобы эта реклама была как можно более эффективной: в ход пошли наиболее удачные приемы и образцы рекламы прошлых лет. Кроме многочисленных русскоязычных предложений, ориентированных на пользователей Рунета, в феврале была зафиксирована англоязычная рассылка, предлагавшая распространение незапрошенных писем по почтовым базам Великобритании. Доля рубрики «Медикаменты: товары и услуги для здоровья», которая в течение долгого времени занимала первые места в рейтинге спам-тематик, продолжает уменьшаться. В феврале она сократилась почти вдвое – с 25,3% до 14,9%, а к концу месяца на долю таких рассылок приходилось чуть более 10% спама. Как и прежде, эта рубрика представлена в основном письмами, рекламирующими виагру и ее аналоги. Самым необычным письмом этой серии оказалось послание, снабженное ссылками на якобы «шокирующую новость», касающуюся американского президента. По обеим ссылкам, содержащимся в письме, находился Trojan-Downloader.JS.Inor.a, который загружался на компьютер, а затем перенаправлял пользователя на сайты, рекламирующие медикаменты. Окончание зимних праздников повлекло за собой рост числа предложений обучающих программ и семинаров, что позволило рубрике «Образование» увеличить свою долю в спаме на 6,2%. Важно отметить существенный рост (почти в два раза по сравнению с январским показателем) процента писем рубрики «Недвижимость», где основными были предложения об аренде помещений. Эта рубрика впервые попала в пятерку лидеров. Такой всплеск можно объяснить кризисной ситуацией в экономике, которая влечет за собой отказ части арендаторов от съема офисных помещений и необходимость в дополнительной (и дешевой) рекламе сдаваемых площадей. Спамерские методы и трюки В феврале спамеры активно использовали уже опробованные и, с их точки зрения, эффективные методы. В ход вновь были пущены старые приемы, искажающие тексты рассылаемых писем, зашумление картинок, ссылки на домены третьего уровня и т.д. При всем разнообразии используемых методов, ничего принципиально нового спамеры придумать не смогли. В разряд любопытных новинок февраля можно отнести рассылку, предлагавшую программу для совершенствования письменного английского языка. Эта рассылка была представлена письмами на разных языках, рекламировавшими один и тот же товар. Авторы этой рассылки подошли к делу основательно: при переходе по ссылке пользователь попадал на страницу, рекламирующую товар на языке той страны, в которой был зарегистрирован IP-адрес его компьютера. Сам сайт был размещен в доменной зоне .asia, предназначенной для стран азиатско-тихоокеанского региона и Австралии. Заключение Доля спама в Рунете остается на высоком уровне. Можно предположить, что эта тенденция будет сохраняться вплоть до периода летних отпусков. Впрочем, условия экономического кризиса могут внести свои – иногда труднопредсказуемые - коррективы и в развитие спам-бизнеса. Пока мы видим, как спамеры стремятся повысить эффективность своей деятельности, используя комбинации различных приемов, расширяя географию рассылок и усиливая собственную рекламу. В целом, текущий период можно охарактеризовать как период повышенной активности и изощренности спамеров. Пользователям нужно учесть, что спам становится все более агрессивным, и предпринимать необходимые меры предосторожности. Полную версию статьи читайте на сайте Спамтест. Спам-статистика за период 2 - 8 марта 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама На прошедшей неделе доля спама в почтовом трафике Рунета в среднем составила 85,3%. Изменения в тематическом распределении спама на прошлой неделе были заметными. Значительно упала для спама «для взрослых» (-7,1%), также понизилась доля тематики «Другие товары и услуги» (-7,0%). Выросли доли рубрик «Медикаменты; товары и услуги для здоровья» (+4,7%), «Реплики элитных товаров» (+4,4%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   16,3%   +0,8%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   16,1%   +4,7%   3   Другие товары и услуги   Предложения других товаров и услуг   15,7%   -7,0%   4   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   15,0%   -7,1%   5   Образование   Реклама семинаров, тренингов, курсов   8,9%   -0,7%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   6,4%   +4,4%   7   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   5,7%   +1,3%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,3%   +0,5%   9   Юридические услуги и аудит   Предложения юридических услуг   3,3%   +1,7%   10   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   3,0%   -0,3%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,4%   +1,5%   12   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   Менее 2%   +0,8%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,5%   14   Остальной спам     Менее 2%   +0,1%   Примеры спамовых писем смотрите на сайте Спамтест. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009