Электронный журнал "Спамтест" No. 305 в этом номере: Новости Спам в октябре 2009 г. Спам-статистика за период 2-8 ноября 2009 г. Новости Panda: половина ботов прописана в Испании По оценке Panda Security, с начала года боевые порядки ботнетов увеличились на 30%. Наибольшее количество резидентных бот-агентов было обнаружено на территории Испании — 44,49% от общего числа заражений, зафиксированных в прошлом месяце. Вторую ступень октябрьской двадцатки стран, на территории которых выявлено больше всего зараженных ботами компьютеров, занимают США (14,41%), на третьем месте — Мексика (9,37%). Россия находится на восьмой позиции с показателем чуть выше двух процентов. Рейтинг был составлен на основе результатов онлайн-сканирования по базе пользователей бесплатной программы ActiveScan. Наличие таких готовых инструментов, как сети зараженных машин (ботнеты), позволяет злоумышленнику анонимно провести DDoS-атаку, осуществить рекламную спам-рассылку или собрать пользовательскую информацию и конвертировать ее потом в звонкую монету. Владелец компьютера, на котором установлен бот-агент, зачастую даже не подозревает, что его ресурс, подчиняясь удаленным командам, участвует в каких-то деяниях, грозящих ему большими неприятностями. Источник: pandasecurity.com SORBS переселилась в Америку «Черный списки» SORBS выкуплены за полмиллиона и перенесены на ресурсы GFI Software — калифорнийской компании, специализирующейся на разработке средств сетевой защиты и управления. До недавнего времени эту базу данных по открытым релеям и почтовым серверам, замеченным в рассылке спама, размещал у себя один из австралийских университетов. Когда ее ресурсоемкость стала чрезмерной, администратору Мишель Салливан (Michelle Sullivan) пришлось искать новый веб-хостинг. Найдя достойного покупателя, Мишель последовала за своим детищем и теперь работает в GFI. Новый владелец и давний подписчик SORBS надеется, что приобретение репутационного сервиса благоприятно отразится на качестве услуг, предоставляемых клиентам, среди которых числятся два американских военных ведомства и такие отраслевые лидеры, как Coca-Cola, Toyota и Fujitsu. Контроль над SORBS откроет новые горизонты для анализа почтового трафика в реальном времени и определения тенденций в эволюции спама, укрепив позиции GFI в антиспам-сообществе. Компания с энтузиазмом строит планы по усовершенствованию SORBS, в частности системы составления списков и механизма обратной связи. Отсутствие четких критериев в формировании этой базы, неэффективность процедуры делистинга, агрессивная политика блокирования подсетей и наложения штрафов неоднократно вызывали нарекания http://www.securelist.com/ru/analysis/53/SORBS_zaplati_50_i_spi_spokoyno — даже со стороны борцов со спамом. Дальнейшее развитие базы будет осуществляться с учетом передового опыта по фильтрации спама, который диктует использование «черных списков» в тесной взаимосвязи с анализом контента и другими антиспам-технологиями. Источник: theregister.co.uk Источник: jedsmith.org Гидра в нокдауне На прошлой неделе замолкли командные серверы Mega-D — одного из крупных ботнетов, преимущественно используемых для рассылки спама. Результат не заставил себя ждать: за несколько дней потоки «мусорных» сообщений, генерируемых его спамботами, практически иссякли. Операция была спланирована и координировалась FireEye — небольшой калифорнийской компанией, специализирующейся на защите от угроз «нулевого дня». Согласованность действий экспертов, интернет-провайдеров, регистраторов и администраторов реестров позволила за сутки нейтрализовать не только ключевые центры управления ботнетом, но и все резервные механизмы его восстановления. Активность Mega-D, он же Ozdok, стала особо заметной с начала прошлого года, когда его вклад в общий спам-трафик вырос до трети. Его ресурсы использовала также одиозная спамерская группировка Herbal King. С прекращением деятельности хостинг-провайдера McColo многие управляющие серверы ботнета оказались отрезанными от Сети. С тех пор инфраструктура Mega-D претерпела ряд модификаций, позволяющих быстро восстановить управление в аналогичной ситуации. По оценке M86 Security, в последнее время этот ботнет ответственен за 4,5% спам-трафика. Последние несколько месяцев 8 из 10 управляющих серверов Mega-D хостятся в США. Локализация центров управления осуществляется также с помощью резервного списка доменных имен и списка специализированных DNS-серверов, которыми снабжено большинство ботов. Последним нововведением является алгоритм генерации доменов, который может воспроизводить одно имя в сутки. Наконец, операторы Ozdok (в классификации «Лаборатории Касперского» — Trojan.Win32.Pakes), как и большинства современных ботов, всегда могут воспользоваться услугами родственных группировок, которые будут загружать его компоненты с помощью своих зловредов. В настоящее время активны только 4 из 16 IP-адресов и 10 из 45 доменов, задействованных в управлении ботнетом. Все домены из постоянного списка, которые не успели зарегистрировать злоумышленники, включая сгенерированные алгоритмом, оформила на себя FireEye. Эксперты насчитали около 265 тыс. «осиротевших» ботов, каждый из которых, по свидетельству M86 Security, способен рассылать до 15 тыс. сообщений в сутки. Как долго будет продолжаться противостояние, покажет время. Источник: m86security.com Источник: blog.fireeye.com Источник: blog.fireeye.com Symantec: спама из Азии и Латинской Америки стало больше Октябрьский отчет по спаму, опубликованный Symantec, не преподнес особых сюрпризов. На протяжении трех месяцев уровень спама в почтовом трафике в среднем остается неизменным — 87%. А вот местоположение источников непрошеной корреспонденции неуклонно смещается в сторону регионов, активно осваивающих интернет, но не успевших позаботиться о безопасности новых участников. По оценке Symantec, в минувшем месяце 23% спама отсылалось из стран Азии и Тихоокеанского региона, 22% — из Южной Америки. Региональный рейтинг по-прежнему возглавляет EMEA, хотя вклад этих стран в спам-трафик с июня сократился на 6%. В разделении по странам наблюдается та же картина, потоки «мусорной» почты из Индии, Чили, Тайваня, Таиланда растут. Вьетнам за пять месяцев поднялся на 13 позиций и теперь занимает третье место в этом непочетном рейтинге, сравнявшись с Индией по количеству рассылаемого спама. Список стран-спамеров пока возглавляют США (18% от общего объема спама) и Бразилия (14%). В тематическом разделении спам-рассылок преобладала реклама интернет-услуг, вклад которой в спам-трафик увеличился на 7% и составил 39%. К этой категории Symantec причисляет предложения приобрести готовый диплом; в октябре 22 из 50 тем, доминировавших в спамовых посланиях, были посвящены этим «услугам». На долю товарного спама приходилось 17% от общего объема, финансового — 15%, «нигерийских» писем 10%. Количество посланий, снабженных ссылками, (URL-спам) заметно уменьшилось и составляло менее 90% от общего количества спама. Почти половина этих ссылок была привязана к китайским доменам, 43% — к зоне .com. Число вложений продолжает расти, соответственно увеличивается и объем спамовых сообщений. По данным Symantec, в октябре количество посланий размером 5-10КБ увеличилось на 10% — до 38% от общего числа. Половина писем не выходила за рамки 2-5КБ, а 10% превышали 10КБ. Число фишинговых атак (уникальных веб-страниц) в отчетный период увеличилось на 17%. 30% фишинговых URL было создано с помощью готовых комплектов — на 24% больше, чем в предыдущий месяц. Количество неанглоязычных страниц-подделок почти удвоилось, в особенности страниц на итальянском, французском и китайском языках. Приманки для франко-, итало- и испаноговорящих пользователей имитировали, в основном, банковские сервисы. Китайцев фишеры завлекали на фальшивые сайты электронной коммерции. Источник: eval.symantec.com [PDF 4,29 Мб] Источник: eval.symantec.com [PDF 1,94 Мб] Живые кляксы против ботов Команда университетских исследователей из Индии, Израиля и Тайваня разработала систему CAPTCHA на основе трехмерных изображений, постепенно проявляющихся и составленных из информативных и шумовых пятен. Специально разработанный алгоритм выделяет ключевые элементы в исходном изображении и преобразует их в массив «чернильных клякс». Затем отдельные «брызги» удаляются, чтобы затруднить автоматическое распознавание образа, но оставить достаточно информации для человеческого восприятия. Четкость воспроизведения рисунка и уровень шума при этом можно регулировать. Облегченные тесты были предъявлены группе из 310 добровольцев. 98% участников правильно идентифицировали более 80% изображений, затратив в среднем 6,4 секунды. Когда те же картинки обработали тремя современными программами, разброс результатов составил 51-60% – немногим лучше, чем при случайном угадывании. Однако с повышением степени сложности задачи показатели в контрольной группе явно ухудшились. Среднее время идентификации увеличилось до 12,5 с, а результативность снизилась до 74%. Создалась тупиковая ситуация, к которой приходят многие разработчики CAPTCHA, пытаясь оградить ее от взлома. Тогда родилась идея использовать тот же алгоритм для преобразования 3D-анимации в видеоформат. Результат превзошел все ожидания: все участники эксперимента успешно идентифицировали движущееся изображение даже при жестком скрэмблировании. При этом статичные кадры из «видеоролика» смогли распознать менее 10% испытуемых. Выигрыш оказался двояким – «ожившие кляксы» стали легче восприниматься людьми и осложнили работу ботам. Разработка будет представлена на декабрьской конференции SIGGRAPH Asia. Источник: newscientist.com Источник: 3dnews.ru Спам в октябре 2009 г. Мария Наместникова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с сентябрем уменьшилась на 0,6% и составила в среднем 85,7%. Ссылки на фишинговые сайты находились в 0,9% всех электронных писем, что на 0,1%, больше, чем в сентябре. Вредоносные файлы содержались почти в 2% электронных сообщений (на 0,7% больше, чем в прошлом месяце). Главными темами октября в спаме стали Новый год, Хеллоуин, выборы и осенний призыв. Доля саморекламы спамеров стала меньше, чем до кризиса. Для саморекламы спамеры использовали мини-видеофильмы. Доля спама в почтовом трафике Доля спама в почтовом трафике в октябре 2009 года в среднем составила 85,7%. Самый низкий показатель месяца был зафиксирован 3 октября — 81,2%; больше всего спама было получено пользователями Рунета 18 числа — 89,7%. Вредоносные программы в спаме Вредоносные файлы содержались в 2% электронных сообщений, что на 0,7% больше, чем в прошлом месяце. В десятке вредоносных программ этого месяца снова широко представлены троянцы семейства FraudLoad: в октябре они составили 27% распространенных в спаме вредоносных программ. Троянские программы этого семейства загружают на компьютер пользователя поддельные антивирусы. Большое количество вредоносных программ, распространенных в спаме в октябре, было запаковано при помощи Krap. В десятке наиболее распространенных вредоносов наблюдается сразу 4 упаковщика этого семейства: Packed.Win32.Krap.ah , Packed.Win32.Krap.ad , Packed.Win32.Krap.w и Packed.Win32.Krap.x, обычно использующихся для упаковки Zbot'а и FraudTools. Krap.w и Krap.x используются также для упаковки Iksmas’a. Packed.Win32.Krap.w также используется для упаковки Bredolab, который, как и Zbot, входил в ТОP 10 прошлых месяцев. Нами была зарегистрирована интересная рассылка, в письмах которой распространялся файл, запакованный при помощи Packed.Win32.Krap.w. Рассылка была подделана под уведомление от Facebook о том, что в целях безопасности пароль пользователя был изменен и новый пароль можно найти в приложении: Примечательно, что наш старый знакомый — спам от DHL — подстроился под общую тенденцию и тоже рассылает теперь запакованные Krap’ом файлы. Фишинг Ссылки на фишинговые сайты находились в 0,9% всех электронных писем. В октябре тройка лидеров среди организаций, чаще всего подвергавшихся атакам фишеров, осталась прежней. Постоянно атакуемые злоумышленниками PayPal и eBay занимают первое (+1,6%) и третье (-3,4%) места рейтинга соответственно. Продолжаются и атаки на американских налогоплательщиков: IRS, занимающаяся налоговыми сборами в США, снова во второй строчке, а количество атак на нее увеличилось почти вдвое (+9,0%). Злоумышленники продолжают использовать эту организацию не только для выманивания личных данных, но и для распространения Trojan-Spy.Win32.Zbot. В октябре наблюдались масштабные фишинговые рассылки, направленные на налогоплательщиков Великобритании. Об этом мы писали в нашем веблоге здесь и здесь. Также наблюдался ряд фишинговых рассылок, направленных на пользователей электронной почты. При этом никакая конкретная почтовая система в письмах указана не была. Например, в одном из таких писем к адресату обращаются «дорогой пользователь электронной почты» и просят его прислать пароль для подтверждения регистрационных данных под угрозой блокировки аккаунта. Отправив свой пароль, пользователь увеличит количества спама, так как передаст ключи от своего аккаунта в руки фишеров. Страны — источники спама В октябре почти треть мирового спама распространялась из США. По сравнению с прошлым месяцем вклад этой страны в мировой спам-трафик уменьшился на 3,5% и составил 29%. Бразилия осталась на втором месте — 5,6% (в сентябре — 6,0%). Из России, занявшей третью строчку в рейтинге, было отправлено 5,2% мирового спама (на 1,4% больше, чем в прошлом месяце). Четвертое, пятое, шестое и восьмое места заняли азиатские страны: Вьетнам (+0,6%, 4,8%), Индия (+0,9%, 4,4%), Корея (4,2%, без изменений) и Китай (-1,3%, 2,6%); седьмое место заняла Польша. Тематический состав спама Пятерка лидирующих спам-тематик октября: Образование — 26,4% (-1,2%) Реплики элитных товаров — 13,3% (+2,0%) Медикаменты; товары/услуги для здоровья — 12,6% (-0,1%) Отдых и путешествия — 8,3% (+0,9%) Компьютерное мошенничество — 7,1% (-0,2) В пятерке лидирующих спам-тематик больших изменений не наблюдалось. Доля «образовательного» спама несколько уменьшилась. Заметим, что в начале месяца «образовательного» спама было больше, чем в конце: разница между первой и последней неделей составила почти 5%. Напомним, что «образовательный» спам — это в основном реклама семинаров для бухгалтеров и руководящего состава. Реклама реплик элитных товаров и «медицинский» спам занимают второе и третье места соответственно. Эти две тематики поменялись местами по итогам месяца (в первую и последнюю неделю октября на второе место выходил спам медицинский). В октябре тема Хеллоуина широко использовалась спамерами для рекламы различных услуг и товаров, в частности и в спаме «медицинской» тематики. Так, сайт, торгующий виагрой, был украшен символом этого «ужасного» праздника — тыковкой. Реклама отдыха и путешествий постепенно набирает обороты. Писем, в которых предлагались различные поездки, в этом месяце было на 0,9% больше, чем в прошлом, что, видимо, связано с приближением новогодних каникул. Тема Нового года активно используется турагентствами, в том числе и теми, которые обращаются к услугам спамеров. Не осталось незамеченным и приближение чемпионата мира по футболу. Предложения поехать в грядущем году в ЮАР и поболеть за свою команду, уже появились в спаме. Доля компьютерного мошенничества снижается. В сентябре она уменьшилась на 0,3%, в октябре — еще на 0,2%. Все-таки процент мошеннических писем высок, что заставляет еще раз напомнить об осторожности. К рубрике «Компьютерное мошенничество» мы относим и письма, которые рассылаются для того, чтобы вынудить пользователя отослать SMS-сообщение на дорогой короткий номер. Спамеры или те их заказчики, которые инициируют подобные рассылки, заключают договор с оператором связи и получают доход от таких сообщений. Мошенническими являются ситуации, в которых предлог, под которым пользователя просят выслать сообщение, является вымышленным. Так, пользователю могут пообещать в письме несуществующий приз, для получения которого, якобы, следует выслать SMS-сообщение, могут угрожать закрытием аккаунта, с которого, якобы, рассылается спам и так далее. Кроме того, как правило, настоящая стоимость сообщения (около 300 рублей) замалчивается. В нашем веблоге мы писали о том, что сообщения такого типа циркулируют уже и в социальных сетях. Этот вид мошенничества придуман спамерами полтора-два года назад. В какой-то момент казалось, что он уже изжил себя. Но не тут-то было: способ «заработать» легкие деньги только набирал силу, и последнее время такая корреспонденция встречается в спам-потоках все чаще. Большая часть ее — уже не отдельные рассылки, а составная часть так называемой «партнерки», то есть единой системы, которая в данном случае специализируется на отмывании денег, полученных с введенных в заблуждение людей. Среди большого разнообразия таких писем встречаются, в частности, такие, в которых предлагается по номеру телефона найти близких или получить доступ к сообщениям на чужом мобильном телефоне. Хотя до сих пор встречаются и одиночные рассылки. В одной из них пользователю предлагалось отправить SMS-сообщение, чтобы получить приз в розыгрыше, проведенном в связи с десятилетием портала Mail.Ru. Якобы почтовый ящик адресата стал 1 355 355-м в этой системе. На самом деле почтовая служба отмечала 10-летний юбилей год назад, 15 октября 2008 г. И уже в прошлом году спамеры пытались использовать этот предлог, разослав точно такую рассылку. К слову сказать, непонятно, чем так примечателен 1 335 335-й участник системы, если, по последним данным, только Mail.Ru Агентом пользуется около 10 000 000 человек. Важно отметить, что SMS-мошенники не просто активизировались. Испробовав когда-то новый прием на одиночных рассылках, они почувствовали безнаказанность и теперь, придав таким рассылкам куда более массовый характер, пытаются выманивать у пользователей все большие суммы денег. Лучший метод борьбы с такими мошенниками — ужесточение правил выдачи тех самых «коротких номеров», которые в России пока может арендовать любой желающий. Говоря о компьютерном мошенничестве, следует отметить появление спамерских писем, использующих тему Windows 7. Как правило, такие сообщения снабжены скандальными либо рекламными заголовками. Первые трубят о том, что новое детище Microsoft – это подделка, что оно поставляется с вирусами или может нанести вред компьютеру. Вторые предлагают купить новую операционную систему за четверть, а то и за десятую часть цены. Пользователь, заинтересовавшийся «горячей новостью» или «горячей ценой», сильно рискует, так как все эти письма распространяются либо для фишинга, либо для распространения зловредов. Снова снизилась, на 1,7%, доля рубрики «Другие товары и услуги» (сюда входят письма, рекламирующие товары и услуги реального сектора экономики). Тем не менее, этих писем достаточно много в общем потоке спама (8,8%), что говорит о наличии спроса на спамерские услуги со стороны малого и среднего бизнеса. В октябре часть такого спама была связана с грядущими новогодними праздниками, а также с уже минувшим Хеллоуином. Так, уже начались рассылки, предлагающие новогодние подарки: Кроме того, горячей темой в спаме прошедшего месяца стал осенний призыв, начавшийся первого октября. Разнообразные предложения, связанные с отмазкой или с «юридической помощью» в том случае, если отмазка не сработала, часто встречались в почтовых ящиках пользователей Рунета: В то же время реклама самих спамеров, то есть рассылок, в которых они рекламируют свои услуги в спам-потоках, становится меньше. Обозначившаяся в августе тенденция укрепляется, и в октябре эта рубрики потеряла почти процент (-0,9%). Теперь ее доля составляет лишь 4,1%, что ниже докризисных показателей (!). Так как на спам-бизнес, как и на всякий другой, кризис влиял негативно (в связи с чем спамеры и использовали простаивавшие без заказов мощности для усиления собственной рекламы), такую тенденцию можно расценить как свидетельство если не полного оздоровления экономики в целом, то по крайней мере как симптом того, что спам-бизнес из кризиса вышел. Спамерские методы и трюки В октябре для рекламы собственных услуг спамеры использовали красивый трюк: они разослали не картинки, а ссылки на различные короткие видеофильмы, размещенные на Youtube. Для обхода спам-фильтров спамеры продолжают использовать различные картинки. Ранее с их помощью рассыльщики оформляли в основном свою собственную рекламу. В октябре в виде картинок была оформлена реклама разнообразных товаров и услуг, например — пошива одежды. Текст, написанный поверх изображения, в ряде случаев почти сливался с самой картинкой и становился практически нечитаемым. Снова применяется незатейливая техника зашумления текста несвязанными друг с другом словосочетаниями и произвольными наборами букв. Оба трюка зачастую объединяются в одном письме. Заключение В октябре не произошло каких-либо неожиданных перемен ни в распределении спамерских тематик, ни в количестве фишинга в спамерских сообщениях. Это говорит о том, что ситуация в спам-бизнесе стабилизировалась. Интересно отметить, что свою собственную рекламу спамер строит уже не так, как строил в период рецессии, когда он обращался преимущественно к возможным новым клиентам, а главным аргументом была дешевизна этого вида рекламы, особенно актуальная во время кризиса. Тогда, агитируя новичков, спамеры были очень озабочены тем, чтобы «обелить» свой бизнес, — усердно рассылали письма про «десять мифов о спаме» и тому подобное. Теперь, рекламируя свои услуги, они обращаются уже, скорее, к своим постоянным клиентам, и их реклама снова приобретает характер напоминания, а не агитации. В дальнейшем мы ожидаем развития темы Windows 7 в мошенническом спаме, а также, разумеется, увеличения количества новогоднего спама и спама, связанного с выборами президента на Украине. Полную версию статьи смотрите на сайте Securelist.com/ru. Спам-статистика за период 2-8 ноября 2009 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 85,8%. Изменения в тематическом распределении спама на прошлой неделе были незначительны. Рубрика «Образование» составляет больше четверти потока и продолжает лидировать (+3,2%). Заметно увеличилась также доля тематики «Медикаменты; товары/услуги для здоровья» (+3,3%). Меньше стало писем тематики «Другие товары и услуги» (-3,7%). Колебания долей других рубрик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   27,4%   +3,2%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   16,1%   +3,30%   3   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   12,3%   +0,9%   4   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   8,1%   +0,2%   5   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   7,7%   -1,1%   6   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   7,1%   -0,6%   7   Другие товары и услуги   Предложения других товаров и услуг.   5,8%   -3,7%   8   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   3,9%   +1,7%   9   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   3,5%   -0,1%   10   Юридические услуги и аудит   Предложения юридических услуг.   2,7%   -1,1%   11   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,1%   -1,4%   12   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,5%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,9%   14   Остальной спам     Менее 2%   0,1%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009