Электронный журнал "Спамтест" No. 299 в этом номере: Новости Спам-статистика за период 14 – 27 сентября 2009 г. Новости MessageLabs: Rustock дирижирует спам-рассылками Согласно статистике MessageLabs, в сентябре количество спама из новых и неизвестных источников несколько уменьшилось и составляло 86,4% почтовой корреспонденции. 87,9% нелегитимных писем отсылается с ботнетов. Лидер по спам-рассылкам Pushdo после отключения хостинг-провайдеров 3FN (США) и Real Host (Латвия) несколько сократился в размерах и сдал свои позиции. В отчетный период на его долю приходилось всего 11% от общего объема спама в Интернете. Освободившуюся нишу сразу заняли другие игроки. Первое место в рейтинге ботнетов-спамеров, по оценкам экспертов, теперь занимает Grum (23,2%), который значительно увеличился в размерах. Вторую позицию – вернувшийся из небытия Bobax (15,7%). Стремительно растет производительность новичка Maazben, появившегося на сцене в конце мая. Он пока специализируется на рассылке рекламы казино; его вклад в спам-трафик за последний месяц вырос с 0,5 до 1,4%. Ботнет Rustock с июня удвоил свои ряды и в настоящее время насчитывает 1,3-1,9 миллиона боевых единиц. Однако его спамботы работают не в полную силу и распространяют лишь 10% почтового «мусора». Эксперты заметили, что последние три месяца их активность подчиняется определенному ритму. Rustock «просыпается» в 8 утра по Гринвичу, набирает обороты к середине дня и затихает в полночь, вовлекая в свой режим весь спам-трафик. По оценке MessageLabs, это единственный ботнет, работающий строго по расписанию. В географическом разделении спам-рассылок больше прочих от них страдали европейские страны. В Дании уровень спама в сентябрьской почте составлял 95,6%, во Франции – 94,5%, в Австрии и Германии 94,3%, в Италии 94,2%. В разделении по отраслям хозяйственной деятельности самый высокий уровень спама наблюдался в сфере машиностроения – 94,7%. Источник:messagelabs.com Российские операторы против SMS-спама Ассоциация региональных операторов связи (АРОС) приступила к реализации программы «Анти-спам», призванной ограничить рассылку непрошеной рекламы и мошеннических сообщений по SMS-каналам. Введение программы обусловлено учащением случаев использования абонентских баз недобросовестными рекламодателями и сетевыми аферистами, осаждающими владельцев мобильных телефонов сказками о выигрыше в лотерею и просьбами «положить деньги на телефон». По имеющимся сведениям, каждый месяц российские операторы регистрируют несколько массовых SMS-рассылок, проведенных с нарушением действующего законодательства, в том числе Закона о рекламе. При этом случаи возбуждения дел по факту незаконной рассылки довольно редки, хотя SMS-спам отследить и зафиксировать значительно легче, чем в Интернете. В соответствии с принятой программой АРОС при активном участии операторов сотовой связи намерена сформировать единую базу данных по спам-рассылкам, которая позволит, в числе прочего, оценить ущерб от SMS-спама как для абонентов, так и для операторов. Будет налажен обмен информацией о случаях мошенничества с использованием SMS-рассылок в регионах и выработаны соответствующие рекомендации для абонентов. Участники «Анти-спам» намерены также укрепить связь с правоохранительными органами и ФАС для более эффективного выявления и прекращения случаев нарушения законодательства и прав абонентов. Первые результаты осуществления программы будут опубликованы в апреле-мае следующего года. Источник:bit.prime-tass.ru Источник:osp.ru Источник:safe.cnews.ru Источник:rrto.ru Bredolab – получите и распишитесь В сентябре активизировались спам-рассылки с ботнета Pushdo, использующие формат уведомления о почтовом отправлении или денежном переводе. Ловушки компании M86 Security (ранее Marshal) ежедневно регистрировали десятки тысяч таких сообщений. Фальшивые уведомления написаны от имени почтовой службы, интернет-магазина или – в случае «денежного перевода» – от отдела обслуживания клиентов Western Union. Все они снабжены однотипным вложенным файлом в формате zip, который позиционируется как копия накладной или идентификаторы нежданного поступления. Вложение включает одноименный исполняемый файл, замаскированный под документ соответствующей иконкой. Последний содержит вредоносную программу Bredolab, в функционал которой входит загрузка и установка кей-логгеров, ложных антивирусов, спамботов и т.п. Модификация, обнаруженная M86 Security, загружала псевдо-антивирус Antivirus Pro 2010. Источник:m86security.com Источник:symantec.com Zbot собирает налоги Последние три недели наблюдается мощная спам-кампания, нацеленная на распространение троянцев семейства Zbot. По имеющимся оценкам, эти вредоносные сообщения, написанные от имени Налоговой службы США, составляют около 10% от общего объема спама в интернете. Мишенью злоумышленников являются американцы-держатели зарубежных счетов, которые должны подать налоговую декларацию до 23 сентября. Поддельные письма снабжены заголовком «Notice of Underreported Income» («Вы занизили сумму доходов») и ссылкой, реже вложением — якобы для просмотра получателем поправок к налоговой декларации. На самом деле вместо документа указанный файл содержит один из вариантов Trojan-PSW.Win32.Zbot — программы, специализирующейся на краже конфиденциальной информации, которая позволяет ее операторам выкачивать с чужих счетов более миллиона долларов в сутки. По данным компании M86 Security, вредоносные послания рассылаются с ботнета Pushdo, а страницы с «декларацией» размещены на более чем 300 доменах, многие из которых привязаны к зоне .eu. Бинарный код троянца меняется несколько раз в сутки, что затрудняет его обнаружение. Если в первый день атаки Zbot идентифицировала половина антивирусов, то через пару дней он детектировался как угроза только шестью из них. Тот же результат наблюдался спустя еще 10 дней. По оценке компании Damballa, Zbot лидирует в США среди прочих бот-агентов по количеству заражений (3,6 миллиона, или 1% компьютерного парка). Эксперты Trusteer, изучив [PDF 390Кб] его в «диком» виде, заключили, что пользовательские антивирусы детектируют его лишь в 23% случаев. А RSA в конце лета обнаружила, что троянец начал использовать IM-каналы для ускоренной доставки украденных реквизитов своим повелителям. Источник:pcworld.com Источник:m86security.com Источник:blog.trendmicro.com Источник:garwarner.blogspot.com Источник:www.trusteer.com(pdf) На путь истинный Английская компания First Cyber Security добавила в пакет предоставляемых услуг механизм автоматической переадресации веб-браузера с поддельного сайта на его легитимный прообраз. Нововведение поможет подписчикам на услуги компании защитить тех конечных пользователей, которые по ошибке или недосмотру активируют ссылку, указанную в фишинговом письме. Клиентам организаций, поставленных на обслуживание в First Cyber Security, этот сервис предоставляется бесплатно. Рядовому пользователю Интернета все трудней распознавать подлог и сохранять бдительность в условиях роста киберпреступности и совершенствования мастерства сетевых злоумышленников. Новый инструмент призван уберечь его от опрометчивого шага, позволяющего мошенникам залезть к нему в карман, действовать от его имени или управлять его компьютером. Источник:www.v3.co.uk Спам-статистика за период 14 – 27 сентября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама За прошедшие две недели доля спама в почтовом трафике Рунета в среднем составила 86,7%. В распределении спама произошли значительные изменения. Рубрика «Образование» захватила почти треть всего потока спама «Образование» (+3,4%). Также выросла доля тематики «Медикаменты; товары/услуги для здоровья» (+5,8%). Уменьшились доли рубрик «Отдых и путешествия» (-4,6%), «Реплики элитных товаров» (-4,3%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за 2 недели 1   Образование   Реклама семинаров, тренингов, курсов   29,4%   +3,4%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   15,5%   +5,8%   3   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок   9,9%   -4,3%   4   Другие товары и услуги   Предложения других товаров и услуг   9,1%   -1,0%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества   7,4%   -0,8%   6   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   5,8%   +1,5%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   5,4%   -4,6%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,5%   -0,8%   9   Юридические услуги и аудит   Предложения юридических услуг   3,8%   +0,3%   10   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,8%   +0,8%   11   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.)   2,4%   -0,3%   12   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,4%   +0,5%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2,0%   -0,6%   14   Остальной спам     Менее 2,0%   -0,20%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009