Электронный журнал "Спамтест" No. 287 в этом номере: Новости Спам-статистика за период 8 – 14 июня 2009 г. Новости Кража со взломом 16.06.2009 В Америке на прошлой неделе слушалось новое дело об онлайновых кражах. Трое наших соотечественников (двое из них имеют американское гражданство) некоторое время успешно воровали деньги банковских и брокерских клиентов. Основным орудием преступления был троянский кейлоггер, который тянул с зараженных ПК пароли и номера счетов. Деньги отмывались на американской территории на специально созданных счетах, а затем переправлялись в Россию через Western Union. Руководил мини-группировкой некий Александр Бобнев из Волгограда. Он же получал основную часть дохода, в то время как его «денежные мулы» — Алексей Минеев и Алексей Волынский, осуществлявшие операции в Америке, — оставляли себе лишь относительно скромные комиссионные. В соответствии с условиями соглашения о признании вины Минеев должен вернуть 112 тыс. долларов, заработанные противозаконными методами. Его ожидает двухлетний тюремный срок и штраф в размере 40 тыс. долларов. Алексей Волынский, помимо отмывания денег, обвиняется в мошенничестве, так как нечаянно продал украденные номера кредитных карт агенту под прикрытием. Глава преступной группировки Бобнев, к сожалению, недосягаем для американского правосудия, но вряд ли отважится действовать в ближайшее время в одиночку. Источник: pcworld.com Источник: theregister.co.uk Законы о хакерском инструментарии пугают защитников Интернета 16.06.2009 Технологический эксперт и юрист Марк Раш (Mark Rasch) усомнился в целесообразности принятия особых поправок и законоположений, запрещающих изготовление и распространение компьютерных средств в криминальных целях. По его словам, при наличии веских доказательств преступный умысел и без того карается в соответствии с действующими законами, а нечеткие формулировки новых статутов могут быть использованы для криминализации вполне законных действий. Так, два года назад в немецком Уголовном кодексе появился раздел 202(c), предусматривающий до года лишения свободы за создание, приобретение и распространение компьютерных программ, предназначенных для совершения преступных действий. Понятно, что авторы этого дополнения стремились привести национальную законодательную базу в соответствие с Европейской конвенцией о киберпреступности. Однако при определенном толковании оно ставит вне закона целый ряд программных средств, широко используемых профессионалами в ходе испытаний и отладки систем защиты от сетевых угроз. В то же время нередки случаи, когда вполне безобидные программы используются не по назначению и становятся орудием хакеров. В итоге перед принятием законоположения многие компании, специализирующиеся в области компьютерной безопасности, объявили о выводе деловых операций за пределы Германии. За время его существования в стране не было заведено ни одного судебного дела на эту тему, а хакерский арсенал нисколько не уменьшился. Раш отметил, что аналогичные нарекания вызывают новый раздел, дополнивший в 2006 году английский Закон о неправомерном использовании компьютерных технологий (Computer Misuse Act), и статья 269(b) Уголовного кодекса Польши. В США и Канаде нет отдельных законоположений о хакерском инструментарии, однако, американское законодательство запрещает изготовление или распространение средств, предназначенных для несанкционированного перехвата сигналов кабельного и спутникового телевещания. Источник: securityfocus.com Источник: theregister.co.uk Особенности спамерской охоты 17.06.2009 Важные события общественной жизни неслучайно используются спамерами — например, в заголовках писем. Пользователя легко подтолкнуть к неосторожным действиям, поманив его «сигнальным флажком». Распространение гриппа A/H1N1 («свиного» гриппа) уже два месяца питает буйную фантазию авторов многочисленных спам-рассылок, часть которых выходит за пределы простой рекламной акции. Одиннадцатого июня вирусу A/H1N1 присвоен 6-й уровень опасности, на что злоумышленники отреагировали волной вредоносных рассылок. Исследователи компании Trend Micro обнаружили, что наиболее агрессивные атаки привязаны к домену is-the-boss.com, который неизменно появляется в подтасованных результатах поиска материалов по вирусу H1N1. При активации любого URL в пределах этой доменной зоны пользователь проходит цепочку редиректов на целевую веб-страницу, загружающую на его машину троянский даунлоудер. Источник: blog.trendmicro.com Трагедия в небе цинично используется спамерами 17.06.2009 Крушение аэробуса A330 компании Air France, совершавшего коммерческий рейс над Атлантикой, получило широкое освещение в СМИ — и не только. Не прошло и недели со дня авиакатастрофы, унесшей 228 жизней, как Интернет наводнился миллионами спам-сообщений, претендующих на разгадку обстоятельств этого неординарного события. На самом деле спамеры, как всегда, использовали актуальную тему для достижения своих целей. В компании McAfee на протяжении нескольких дней наблюдали потоки спама, продвигавшего фармацевтические подделки под видом последних известий с места трагедии. Компания Websense предупредила о спам-рассылке, нацеленной на распространение программы, в функционал которой входит кража паролей. Вредоносные сообщения были написаны на португальском языке и снабжены ссылкой на «эксклюзивный видеоролик», под который был замаскирован троянский даунлоудер. Исследователи компании Trend Micro обнаружили, что злоумышленники создали ряд редиректов на вредоносные сайты и завышают их рейтинг путем подделки записей кэша поисковых систем. В итоге, разыскивая в Интернете информацию об авиакатастрофе, пользователь рискует загрузить программу Personal Antivirus, которая будет терроризировать его извещениями о несуществующих угрозах и предлагать установку платной версии. Источник: news.softpedia.com Источник: blog.trendmicro.com Источник: avertlabs.com Источник: securitylabs.websense.com Обнаружен новый спамбот 17.06.2009 В базе данных Trend Micro об интернет-угрозах появилось еще одно наименование — TROJ_PROXY.AIF. По словам экспертов, основным компонентом этой программы является довольно примитивный спамбот, подробное описание которого приведено в блоге FireEye. TROJ_PROXY специализируется на продвижении препаратов для мужчин и использует пару стандартных приемов для обхода спам-фильтров — «зашумление» текста и маскировку рекламного сайта редиректом с легального сервиса. Интересно, что в строке «To:» указан не один, а пять адресов бесплатной (как правило) почты, большая часть которых зарегистрирована на Yahoo. Команды, получаемые спамботом, не шифруются. Троянец не маскируется руткитом и, по всей видимости, имеет несколько вариантов. Одно из имен исполняемого файла, e-card.exe, позволяет заключить, что в репертуар спамбота включен такой образец социальной инженерии, как приманка в виде виртуальной открытки. В функционал TROJ_PROXY входит кража контактов из адресной книги Windows и поиск в базе данных Outlook. Он также открывает произвольный TCP-порт для удаленного доступа к зараженному компьютеру. Исследователи Trend Micro полагают, что троянец находится в стадии разработки и будет эволюционировать в сторону усложнения. Источник: blog.fireeye.com Источник: blog.trendmicro.com Спам-статистика за период 8 - 14 июня 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшую неделю доля спама в почтовом трафике Рунета в среднем составила 84,9%. Распределение спама по рубрикам претерпело значительные изменения. Увеличились доли рубрик «Медикаменты; товары/услуги для здоровья» (+5,5%), «Другие товары и услуги» (+3,7%), «Недвижимость» (+2,3%), «Реплики элитных товаров» (+2,1%). Заметно уменьшились доли тематик «Реклама спамерских услуг» (-6,1%) и «Спам “для взрослых”» (-4,0%). Поскольку обе эти рубрики преимущественно русскоязычные, можно предположить, что российские спамеры тоже отмечали День независимостри России. Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   23,8%   +5,5%   2   Образование   Реклама семинаров, тренингов, курсов   15,2%   -1,9%   3   Другие товары и услуги   Предложения других товаров и услуг   13,5%   +3,7%   4   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   11,6%   -6,1%   5   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   8,1%   +2,3%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   6,9%   +2,1%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   5,5%   +0,9%   8   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   4,3%   -4,0%   9   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   3,6%   +0,8%   10   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   3,4%   -1,2%   11   Юридические услуги и аудит   Предложения юридических услуг   2,7%   -0,5%   12   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,2%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,6%   14   Остальной спам     Менее 2%   Без изменений   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009