Электронный журнал "Спамтест" No. 308 в этом номере: Новости Спам-статистика за период 2009 г. Спам в ноябре 2009 г.  Новости Bit.ly усиливает защиту Сервис коротких URL Bit.ly в целях совершенствования защиты пользователей от спама, фишинга и вредоносных атак заключил партнерские соглашения с компаниями VeriSign, Websense и Sophos. «Облачная» служба Threatseeker компании Websense, располагающая средствами эвристического анализа и репутационными фильтрами, позволит в реальном времени проверять веб-контент на ресурсе, указанном сокращенной ссылкой. Репутационный сервис iDefense (теперь под брэндом VeriSign) поможет на основе «черных списков» отсеивать IP-адреса, задействованные для распространения вредоносных программ. Новая служба Sophos будет производить анализ на поведенческом уровне, обеспечивая проактивную защиту от спама и зловредов. Кроме того, Bit.ly предлагает собственный плагин, позволяющий просмотреть полноценный вариант ссылки. Использование сервисов, подобных Bit.ly, заметно увеличилось с ростом популярности социальных сетей. По данным Websense, только в октябре было создано более двух миллиардов коротких URL. В то же время сокращенный вариант ссылки имеет особую привлекательность для тех, кто стремится любыми способами заманить пользователей на страницы, созданные с неблаговидной целью. Повышение безопасности служб генерации коротких URL оградит этот вид услуг от злоупотреблений и укрепит репутацию полезных сервисов. Источник: Spam and Malware Protection Источник: Extra spam and malware security for bit.ly VB об антиспаме: больше совместных усилий на общее благо Эксперты Virus Bulletin пришли к заключению, что комбинация из нескольких спам-фильтров, показавших хорошие результаты во время последних сравнительных испытаний, могла бы обеспечить эффективность фильтрации 99,89% при нулевом уровне ложных срабатываний. Из 14 продуктов, представленных на этих испытаниях, 12 были отмечены наградами (к слову сказать, антиспам ЛК получил золотой сертификат). Не менее четырех спам-фильтров продемонстрировали нулевой уровень ложных срабатываний. Показатели эффективности различных фильтров были достаточно высокими. Но из-за больших различий в технологиях и критериях оценки писем, применяемых в них, системы фильтрации демонстрировали большой разброс в результатах, в зависимости от конкретной задачи. Это навело испытателей на мысль, что наиболее эффективным решением может стать совместное использование нескольких взаимодополняющих спам-фильтров. Например, если хотя бы пять из 14 протестированных продуктов пометят сообщение как спамовое, совокупная система сможет с уверенностью отсеять его, и ее итоговая эффективность будет выше, чем у любого из этих индивидуальных решений. Эксперты призывают производителей систем фильтрации спама брать пример с разработчиков антивирусов и уделять больше внимания взаимодействию, выработке совместных решений, а также обмену информацией о новых угрозах и эволюции спама. Источник: VB calls for collaboration amongst anti-spam vendors Источник: Call sounded for anti-spam collaboration «Травяная империя» Аткинсонов несет убытки Большими и малыми штрафами закончились параллельные процессы по делу интернациональной спамерской группировки Herbal King, длившиеся больше года. Напомним, что новозеландцы Шейн и Ланс Аткинсоны (Shane, Lance Atkinson) с соучастниками оперировали сетью аффилированных предприятий, занимавшихся производством и онлайн-продажами натуральных заменителей ходовых медицинских препаратов, БАДов и средств повышения мужской потенции. Продукция хорошо налаженной фитоиндустрии рекламировалась через спам, рассылаемый с помощью ботнетов, в то время как ее качество не выдерживало никакой критики. Агрессивность и противозаконный характер рекламных кампаний, проводимых этой группировкой, стяжали ей славу мирового лидера по рассылке спама. Новозеландские власти оштрафовали Ланса Аткинсона на сумму более 80 тыс. долларов США. Шейн Аткинсон уплатит около 72 тыс. долларов, а его партнер по «маркетингу» Роланд Смитс (Roland Smits) — половину от этой суммы. Приговор, вынесенный американскими судебными инстанциями по иску ФТК, оказался более суровым. За неявкой ответчика Лансу Аткинсону присужден штраф в размере 15,15 млн. долларов. Три компании, задействованные в незаконном сбыте «чудодейственных снадобий» на территории США, оштрафованы суммарно на 3,77 миллиона. Подельник Аткинсона, американец Джоди Смит (Jody Smith) согласился на конфискацию всех своих капиталов, нажитых криминальными методами, — совокупно более полумиллиона. Нарушителям CAN-SPAM и правил честной торговли вынесены судебные запреты на деятельность, противоречащую американскому законодательству. Смит также признался в преступном сговоре с целью контрабанды поддельных товаров, за что ему грозит до пяти лет тюремного заключения. Приговор за это правонарушение будет вынесен в декабре. Источник: Court Orders Australia-based Leader of International Spam Network to Pay $15.15 Million Источник: Kiwi serial spammers caught in undercover bust Источник: Spammers penalized Записки спам-аналитиков Мария Наместникова,"Лаборатория Касперского" Любопытство убило кошку Любопытный ли вы человек? Бывает ли у вас так, что вы изнываете от любопытства, мучаясь вопросами "о чем они там говорят?", или "кто постоянно ему звонит?", или каким-нибудь другим вопросом, будоражащим ваше воображение? Если такие мучения вам не чужды, то будьте начеку! Социальные инженеры тоже знают, о том, как тяжело бывает приструнить свое любопытство, и активно пользуются этим. Сегодня мы получили рассылку, предлагающую удовлетворить свое разбушевавшееся любопытство и прочитать всю переписку любого человека на практически любом ресурсе. На сайте, на который перенаправлялся пользователь, не сумевший побороть свое любопытство и кликнувший по ссылке, обнаруживался очень интересный сервис: "cлужба подбора забытых паролей". В свете текста спамерского письма, предлагающего "поломать" любой аккаунт, такое безобидное название "службы" звучит более чем забавно… Кроме такого безобидного названия «службы» на сайте можно увидеть логотипы известных российских почтовых сервисов и социальных сетей. Пользователю сообщается, что "забытый" пароль подбирается методом brute-force, то есть простой переборкой. Авторы сайта поясняют, что перебор начинается от самых простых и очевидных вариантов (совпадение с логином, всеми любимые пароли типа "12345", имя+дата рождения) до более сложных (например, подбор слов по английским словарям). Пользователю обещают, что вся процедура займет от 3 минут до 10 дней в самом сложном случае, а также что "забытый" пароль будет подобран с вероятностью 80%. Разумеется, нынче даже в мышеловки не закладывается бесплатный сыр. В наше время за этот "сыр" предлагается платить путем отправки коротких смс. А теперь заглянем в пользовательское соглашение, размещенное на этом сайте. Во-первых, цена пресловутого смс НИГДЕ не указывается. Пользователю предлагается обратиться к оператору, или сходить на сайт "поддержки пользователей", где и указана стоимость смс. Забавно отметить, что по умолчанию открывается стоимость смс на самый дешевый из коротких номеров (всего 45 рублей без ндс). Разумеется смс-ку пользователь будет отправлять на самый дорогой. Найти честную стоимость номера на этом сайте не составляет труда, но это если подключить внимательность и сразу заметить подлог. Во-вторых, продолжается старая песня о главном. А именно о том, что "Сайт «******.RU» представляет собой источник информации, которая носит развлекательный характер. Вся информация, представленная на Сайте, является частично вымышленной и не должна восприниматься всерьез". То есть, после отправки смс стоимостью около 300 рублей и через три минуты "работы" "подборщика" любопытный пользователь получит "забытый" "пароль" от почтового ящика любимого человека, например, и может даже без особых надежд на успех попробовать его ввести. Практически наверняка каждый пользователь, прошедший через эту процедуру узнает, что искомый... простите, забытый пароль входил в те 20%, которые нельзя вскрыть brute force'ом =) Разве что только хозяин почтового, или какого-нибудь иного аккаунта действительно имеет пароль "qwerty123". Вы знаете, что любопытство убило кошку? Не уподобляйтесь несчастному животному. Конечно, отправленное вами смс вас не убьет, но оно ударит по вашему бюджету, не принеся при этом никакой полезной информации. К тому же читать чужие сообщения неприлично =) Спам-статистика за период 23 – 29 ноября 2009 г. Дарья Бронникова,"Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 83,2%. На прошлой неделе заметно уменьшилось количество спама тематики «Образование» (-6,6%). Повысились доли рубрик «Реплики элитных товаров» (+4,4%), а также «Спам "для взрослых"» (+4,8%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   19,7%   -6,6%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   14,6%   +0,4%   3   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   14,5%   +0,5%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   9,4%   +4,4%   5   Другие товары и услуги   Предложения других товаров и услуг.   8,5%   -1,0%   6   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   8,1%   -1,1%   7   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   8,0%   +4,8%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   5,7%   +0,5%   9   Юридические услуги и аудит   Предложения юридических услуг.   2,8%   -0,5%   10   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,5%   -0,3%   11   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   2,3%   -1,9%   12   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   2,0%   +0,8%   13   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   Менее 2%   -0,3%   14   Остальной спам     Менее 2%   +0,3%   Примеры спамовых писем смотрите на сайте Securelist.com. Спам в ноябре 2009 Мария Наместникова,"Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с октябрем уменьшилась на 0,9% и составила в среднем 84,8%. Ссылки на фишинговые сайты находились в 0,97% всех электронных писем, что на 0,06%, больше, чем в октябре. Вредоносные файлы содержались в 0,83% электронных сообщений — на 1,12% больше, чем в прошлом месяце. Новогодний спам набирает обороты, это отразилось в увеличении писем тематики «Отдых и путешествия». Для обхода спам-фильтров спамеры активно используют различные трюки с картинками. Доля спама в почтовом трафике Доля спама в почтовом трафике в ноябре 2009 года в среднем составила 84,9%. Самый низкий показатель месяца был зафиксирован 18 ноября — 78,3%; больше всего спама было получено пользователями Рунета 16 числа — 89,6%. Вредоносные программы в почте Вредоносные файлы содержались в 0,83% электронных сообщений, что на 1,12% меньше, чем в прошлом месяце. В ноябре в десятке наиболее часто встречавшихся в спаме вредоносов лидируют зловреды семейства Backdoor.Win32.Small. В прошлом месяце один зловред такого семейства уже появлялся в десятке, но именно в ноябре общее количество таких вредоносов превысило 45%. Всего в десятке представлено три модификации «маленького» backdoor’a: Small.zs, Small.zo и Small.ioa. Все эти модификации после инсталляции собирают информацию о зараженном компьютере и отсылают ее на командный сервер, после чего ждут оттуда команды. Также они могут загружать дополнительные компоненты. Для рассылки бэкдоров этого семейства спамеры использовали совсем не новый прием социальной инженерии: они прикрепляли к письмам zip-архив, содержащий этого вредоноса, и называли его “Photos”. В письме сообщалось, что в приложении — давно обещанные фотографии. На втором и шестом месте в десятке находятся вредоносы семейства Trojan-Downloader.Win32.Agent: модификации Agent.cwlc и Agent.cwlb. Эти вредоносы после установки подключаются к сетевым ресурсам, чтобы получить список URL для закачки других вредоносных программ. Для распространения этих зловредов злоумышленники использовали поддельные уведомления от популярной социальной сети FaceBook. В письмах говорилось, что согласно изменениям в политике безопасности сервиса FaceBook, все пользователи обязаны подтвердить новое пользовательское соглашение, независимо от даты регистрации аккаунта. При этом аккаунты пользователей, не подтвердивших соглашения, якобы будут удалены. Чтобы подтвердить соглашение пользователю требовалось распаковать приложенный архив, в котором на самом деле скрывался не кто иной, как Trojan-Downloader.Win32.Agent.cwlb. Важно отметить два изменения в десятке по сравнению с прошлым месяцем: во-первых, появление в ней двух модификаций Zbot’a на пятом и десятом месте. При этом модификация Trojan-Spy.Win32.Zbot.gen уже побывала в сентябрьской десятке. Напомним, что Trojan-Spy.Win32.Zbot — это троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Более подробное описание вы найдете здесь. Вторым важным изменением является возвращение в десятку почтового червя Iksmas, обладающего функционалом кражи данных и рассылки спама. Фишинг Чаще всего фишеры атаковали свои традиционные мишени — PayPal и eBay. На эти организации пришлось 44,53% (+5,61%) и 19,42% (+12,29%) всех фишинг-атак соответственно. Резко (на 6,9%) увеличилось количество фишинговых атак на FaceBook, в ноябре на эту социальную сеть пришлось 9,03% всех фишинг-атак. При этом количество атак на налоговую организацию IRS снизилось почти на 14% и составило 6,21%. Одна из любимых фишерами организаций — Bank of America (4,22%) — подверглась в ноябре очень умело организованной атаке. Письма, полученные пользователями, были мастерски подделаны под легитимные. Кроме того, хочется заметить, что злоумышленники, со свойственным им упорством, продолжают атаки на пользователей известной онлайн игры World of Warсraft. При этом многие подобные письма сделаны очень «граматно». Адрес в поле “From” похож на реальный адрес компании Blizzard Entertainment, и лишь присмотревшись очень внимательно, можно увидеть подлог. Также как и в предыдущем письме, требуется верификация аккаунта на фишинговом сайте. Страны — источники спама В ноябре лидер рейтинга стран — источников спама остался прежним — это США, однако количество спама, распространенного с территории этой страны, уменьшилось почти на 10% по сравнению с октябрем. А вот Бразилия, занимавшая несколько месяцев подряд второе место, сместилась сразу на четвертое, хотя количество спама, распространенного из этой страны, по сравнению с прошлым месяцем увеличилось (+0,7%). На второе место в ноябре вырвалась Россия: из нашей страны было разослано чуть больше 8% всего мирового спама (+2,78%). Следом за Россией в тройку лидеров входит Индия, из которой было разослано чуть ли не вдвое больше спама, чем в прошлые месяцы (7,16%). На пятом, шестом и восьмом месте завсегдатаи десятки — Вьетнам, Корея и Польша, почти не изменившие своих показателей. На седьмом месте — Италия, увеличившая по сравнению с октябрем свой показатель почти на 1,2%. Тематический состав спама Пятерка лидирующих спам-тематик октября: Образование — 24,3% (-2,1%) Медикаменты; товары/услуги для здоровья — 14,7% (+2,1%) Отдых и путешествия — 12,3% (+4%) Реплики элитных товаров — 8,9% (-4,4%) Компьютерное мошенничество — 8,4% (+1,3%) В ноябре состав пятерки лидирующих спам-тематик остался прежним, хотя и заметны некоторые изменения. На первом месте снова образовательный спам, в основном предлагающий проведение различных тренингов и семинаров. На второе место вернулся спам медицинский, однако его доля увеличилась не слишком заметно — всего на 2%. На третьем месте оказалась спамерская тематика «Отдых и путешествия» — с приближением Нового года турфирмы, а так же агентства, организующие различные праздники, заметно активизировались. На четвертом месте в пятерке тематик-лидеров — реклама реплик элитных товаров, потерявшая по сравнению с октябрем 4%. В то же время количество писем, объединенных нами в рубрику «компьютерное мошенничество», продолжает расти. В этом месяце оно достигло 8,4% и почти «догнало» рекламу реплик элитных товаров. Многие из таких писем предлагают чтение чужих SMS, однако далеко не все. Так, в одной из рассылок предлагалось почитать чужие сообщения в самых популярных российских социальных сетях, а также узнать «все их секреты». По ссылкам в письме находились красочные сайты, на которых пользователю, как всегда, предлагалось отправить SMS на короткий номер, чтобы узнать все обещанные «страшные тайны». Уже несколько месяцев подряд уменьшается количество писем с рекламой спамерских услуг. В ноябре этот показатель достиг 2,2%, что почти вдвое меньше, чем в октябре. Однако спамеры все еще стараются делать свою рекламу если не многочисленной, то хотя бы завлекательной. Так, например, в конце ноября снова появились рассылки со ссылками на разнообразные видео с рекламой спама на Youtube. Кроме того, спамеры стали использовать тему Нового года. Спамерские методы и трюки Как и прежде, свою саморекламу спамеры часто оформляют в виде картинок. В этом месяце они делали намеренные орфографические ошибки, которые исправляли поверх изображения, — «от руки» «дописывали» пропущенные цифры телефона или номера icq. В других случаях спамеры делают текст рекламных сообщений «волнистым», меняющим форму от письма к письму. В ноябрьском спаме часто встречались сообщения, в html-код которых были вставлены произвольные символы и целые блоки из знаков «тире» в разном количестве и в разных местах. При этом само письмо в почтовом клиенте пользователя выглядело как обычно: Заключение Подводя итоги последнего осеннего месяца, следует отметить продолжающийся рост мошенничества в спаме. По нашим прогнозам, в декабре ситуация только усугубится, поскольку приближение Нового года всегда способствует уменьшению внимания пользователей, чем, бесспорно, будут пользоваться мошенники. Ноябрьское уменьшение количества вредоносов не говорит о том, что в декабре тенденция сохранится: Рождество и Новый год — время активного использования электронных открыток. Весьма вероятно, что вредоносные программы снова будут рассылаться под видом поздравительных открыток. В декабре, бесспорно, сохранится наметившаяся в ноябре тенденция — увеличение количества спама, предлагающего отдых и путешествия. Примеры спамовых писем смотрите на сайте Securelist.com. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009