Электронный журнал "Спамтест" No. 304 в этом номере: Новости Спам-статистика за период 26 ноября — 1 октября 2009 г. Новости Очередное поражение короля спама Ущерб, нанесенный Сэнфордом Уоллесом (Sanford Wallace) социальному сервису Facebook, был оценен в 711,2 млн. долларов. Вердикт о наложении штрафа за нарушение федерального антиспам-законодательства и антифишингового статута Калифорнии был вынесен в ответ на иск, поданный Facebook в феврале текущего года. Тогда же окружной судья запретил «королю спама» и его подельникам пользоваться услугами этого сервиса и отложил вынесение окончательного приговора в связи с заявлением ответчиков о банкротстве. В июне калифорнийский суд направил в прокуратуру США прошение о возбуждении уголовного дела против Уоллеса за неподчинение судебному приказу. Если одиозного спамера признают виновным, его ждет тюремный срок. Сам ответчик по-прежнему игнорирует ход судебного процесса, не подает апелляций и, оставаясь верным своим привычкам, не явился на сентябрьское слушание. Оказалось, что в телефонной книге Лас-Вегаса, куда Уоллес перебрался в 2004 году, даже нет его координат. Многомиллионные штрафы — не новость для Сэнфорда. Он уже «задолжал» 4 миллиона ФТК и 239 миллионов MySpace, но пока не отдал ни цента. Руководство Facebook не надеется, что он уплатит астрономическую сумму, назначенную судом Северной Калифорнии. Очередная победа правозащитников над спамерами будет, скорее всего, опять символической, но послужит хорошим уроком другим правонарушителям. Источник: tech.yahoo.com Источник: reuters.com MessageLabs: спамеры готовят подарки Октябрь уж миновал… и по оценке MessageLabs, уровень спама из новых и неизвестных источников в октябре составил 88,1% почтового трафика. Появились спам-рассылки, посвященные большим праздникам (Хэллоуин, День благодарения, Рождество и День Святого Валентина). Ожидается, что в разгар праздников объемы незапрошенной корреспонденции увеличатся до двух миллиардов писем в сутки. Самый большой процент мусорной почты наблюдался в Датском королевстве — 96,2%. Немногим меньше спама получали жители России (95,4% почтовой корреспонденции), Германии (95,3%) и Франции (95,1%). До самой середины октября тема Хэллоуина в спамовых письмах отражалась пунктирно (менее чем 0,5% посланий). Зато накануне праздника производительность спамеров взлетела до 500 млн. писем в сутки. Большая часть хэллоуин-писем шла с ботнетов Rustock и Donbot, а продвигались в них фармацевтические препараты и дешевое ПО. С ботнета Pushdo, как возможные подарки к Рождеству и Дню благодарения, рекламировались копии часов престижных марок (около 2% спам-рекламы). Фармаспамеры использовали зомби-сети Pushdo и Rustock, рассылая с них призывы запастись их продукцией перед Днем св. Валентина. Активность фишеров несколько спала, однако было отмечен ряд атак, приуроченных к окончанию подачи налоговых деклараций в США, Великобритании и Австралии. Во время пика активности мошенников поддельные письма от имени Налоговой службы США составляли 67% от общего объема фишинговых посланий. От имени британского Управления по налогам и таможенным сборам — 81%. Все фальшивки были сфабрикованы по одному шаблону, менялись только названия налоговой службы. Увеличились также потоки фишинговых сообщений на итальянском и французском языках. Помимо банковских реквизитов, фишеры активно охотились за регистрационными данными пользователей на почтовых веб-сервисах. Эти данные нередко используются для авторизации и на других ресурсах — в социальных сетях, интернет-магазинах, онлайн-аукционах. Из вредоносных рассылок особой масштабностью отличалась спам-кампания, нацеленная на распространение троянской программы Bredolab (Backdoor.Win32.Bredolab). Фальшивые уведомления о посылке, якобы отправленной адресату, отсылались с ботнета Pushdo и были снабжены троянским zip-файлом. По оценке MessageLabs, во время атаки на долю этих посланий приходилось 3,5% спам-трафика. Bredolab был обнаружен в 35,2% вредоносных сообщений, зафиксированных в октябре. Источник: messagelabs.com Загрузи спамбот и зайди к боссу Интересно, что вы сделаете, получив по почте такое сообщение? (пример письма смотрите на сайте Securelist.com/ru) (Примерный перевод: От: начальник Тема: вернись, есть разговор Сообщение: Взгляни, пожалуйста, на документ в аттаче и зайди ко мне. Обсудим, как поступить. Спасибо, удачного дня) Обнаружив эти письма на спам-ловушках, исследователи Trend Micro не преминули поинтересоваться содержимым вложенного файла с расширением «zip». Им оказался спамбот Cutwail, с помощью которого операторы ботнета Pushdo во втором квартале ежедневно рассылали около 7,7 млрд. нелегитимных сообщений. Cutwail автоматически активируется при каждом запуске инфицированной системы. Вдобавок он приводит с собой симбиотического приятеля — троянского дроппера. Так что, получив на «мыло» аналогичные инструкции от «босса», лучше подтвердить свою готовность по внутреннему телефону и послушать, как отреагирует ваше начальство. Источник: blog.trendmicro.com Ваш новый пароль: Bredolab Если вам пришло сообщение о замене пароля, снабженное zip-вложением и отправленное от имени службы техподдержки Facebook или MySpace, — не верьте. Это работа спамботов. Администрация социальной сети никогда не воспользуется электронной почтой, чтобы предупредить вас о взломе аккаунта, и уж тем более не будет высылать новый пароль вложенным файлом. По свидетельству экспертов, первые спамовые послания на эту тему с поддельным обратным адресом Facebook появились 26 октября. Прикрепленный zip-файл, как и следовало ожидать, содержал сюрприз в виде вредоносной программы, которой в ЛК было присвоено имя Packed.Win32.Krap.w. В начале атаки ее детектировали менее трети антивирусов из списка VirusTotal. При запуске зловред соединялся с двумя командными серверами в Голландии и в Казахстане — и загружал другие вредоносные файлы, в том числе представителя семейства Bredolab (Backdoor.Win32.Bredolab). Эти троянские бэкдоры позволяют злоумышленникам установить полный контроль над зараженным компьютером. В первый день атаки Websense насчитала более 90 тыс. таких писем. На следующий день, по оценке Cloudmark, их поток увеличился до 500 тыс., а на третий составил почти три четверти миллиона. Затем имя отправителя в строке From: было изменено на «Myspace», хотя текст «подтверждения смены пароля» и вредоносное вложение остались прежними. Не исключено, что в ближайшем будущем объектами спам-кампании могут стать пользователи других социальных сервисов. Вероятно, ее авторы надеются, что после и скандальной публикаци идентификаторов почтовых веб-аккаунтов такой предлог, как забота о безопасности пользователя, будет достаточным, чтобы убедить его открыть вредоносное вложение. Источник: thetechherald.com Источник: securitylabs.websense.com Источник: blog.cloudmark.com Источник: blog.cloudmark.com Очередное поглощение — M86 Security и Finjan M86 Security объявила о выкупе Finjan — частной калифорнийской компании, специализирующейся на сетевых решениях в области корпоративной безопасности. Неизбежность этого шага стала очевидной после того, как M86 Security переманила ведущих руководителей Finjan, предложив им равноценные должности. Шлюзовые системы безопасности Finjan и ее гибридные SaaS-решения будут интегрированы в линейку продуктов, выпускаемых на рынок под брэндом M86 Security. Согласно условиям сделки, Finjan предоставляет M86 Security лицензию на свои патенты, а ее исследовательская лаборатория в Израиле сохранит статус самостоятельного подразделения. В M86 Security надеются, что новое приобретение позволит повысить эффективность защиты корпоративных пользователей от интернет-угроз и объединить усилия по реализации безопасных сетевых шлюзов. Согласно статистике Gartner, в настоящее время менее 20% компаний отслеживают вредоносный трафик на шлюзе. Наработки Finjan по обнаружению вредоносных кодов в реальном времени и защите от Web 2.0-угроз помогут расширить возможности фильтрации веб-контента на этой платформе. Источник: m86security.com Источник: theregister.co.uk Источник: v3.co.ukn Спам-статистика за период 26 ноября — 1 октября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 85,7%. Изменения в тематическом распределении спама за прошлую неделю были незначительными. Рубрика «Образование» сохранила свое лидерство и составляет почти четверть всего спама, хотя ее доля уменишилась (-2,3%). Также стало меньше «Реплик элитных товаров» (-4,2%). Увеличилась доля тематики «Компьютерное мошенничество» (+2,5%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   24,2%   -2,3%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   12,8%   -1,30%   3   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   11,4%   -4,2%   4   Другие товары и услуги   Предложения других товаров и услуг.   9,5%   +0,9%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   8,8%   +2,5%   6   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   7,9%   +0,1%   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,4%   -0,7%   8   Юридические услуги и аудит   Предложения юридических услуг.   3,8%   +1,1%   9   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,6%   -0,2%   10   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   3,5%   +1,0%   11   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,6%   +1,7%   12   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   2,2%   +1,6%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,6%   14   Остальной спам     Менее 2%   +0,4%   Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009