Электронный журнал "Спамтест" No. 313 в этом номере: Новости Записки спам-аналитиков Спам в декабре 2009 года Спам-статистика за период 27 декабря 2009 — 10 января 2010 г. Новости Lethic канул в Лету? Совместными усилиями американского администратора реестра Neustar и ряда хостинг-провайдеров были нейтрализованы командные серверы ботнета Lethic, ответственного за 8-10% новогоднего спам-трафика. Этот новобранец появился на спам-арене сравнительно недавно. В начале декабря эксперты Arbor Networks опубликовали анализ многопоточного спамбота, которому присвоили наименование Lethic. Троянец использует зараженную машину как прокси-сервер и способен работать с производительностью 12-60 тыс. сообщений в час. Судя по всему, одноименный ботнет невелик и преимущественно использовался для продвижения фармацевтических изделий и поддельных часов престижных марок. Исследователи M86 Security полагают, что Lethic функционировал более двух лет и привлек к себе внимание, когда его вклад в спам-трафик стал ощутимым. Большинство управляющих центров ботнета были размещены на ресурсах чикагского хостинг-провайдера FDCservers.net. Для связи с ботами используется заказной протокол, команды закодированы и содержат IP-адрес SMTP-сервера и номер порта. По свидетельству M86 Security, в настоящее время осиротевшие боты пытаются подключиться к новым управляющим центрам на территории Гонконга и Китая. Эксперты уже связались с регистратором TodayNIC.com, контролирующим соответствующие доменные зоны, чтобы пресечь эти попытки. Источник: www.m86security.com/ Источник: asert.arbornetworks.com Излишний вес — пособник спамеров Согласно результатам исследования, проведенного в городском университете Нью-Йорка (City University of New York), почти каждый пятый студент, страдающий от избыточного веса, пользуется услугами интернет-аптек, рекламируемых через спам. Основанием для исследования послужил опрос, проведенный в мае 2007 года в одном из местных колледжей. В нем приняли участие 200 учащихся, 73% которых отметили, что неоднократно получали спам-рекламу БАДов и прочих средств для похудания. Среди тех, кто озабочен проблемой снижения веса, этот показатель был еще выше — 88%. По-видимому, их подписали на рассылку рекламы как завсегдатаев соответствующих веб-сайтов. Около 42% обладателей лишнего веса признались, что открывали спамовые письма, продвигающие подобные препараты, а более 18% не только читали эту рекламу, но и покупали интересующие их изделия. Среди респондентов с нормальным весом эти показатели составили 18,5 и 5% соответственно. По свидетельству американских диетологов, проблема избыточного веса угнетающе действует на психику, поэтому предложения спамеров, сулящие быстрое избавление, имеют большие шансы на успех. Тем не менее, изделия, рекламируемые через спам, могут причинить непоправимый вред здоровью. БАДы перед выпуском не проверяются на эффективность и могут содержать ингредиенты, которые резко повышают кровяное давление или вызывают тахикардию. Регулярное употребление антиоксидантов может привести к снижению иммунитета и потере мышечной массы, а также ведет к быстрой утомляемости, чрезмерной раздражительности и резким переменам в настроении. Университетские исследователи планируют продолжить работу, чтобы выяснить, какие препараты из тех, что рекламируются в спаме, покупают люди с избыточным весом, и насколько регулярно они используются. Источник: www.businessweek.com Праведный гнев — плохой советчик В конце декабря появились ложные сообщения о том, что с середины лета Facebook станет взимать ежемесячную плату в размере 4,99 долларов. Эта «утка» служила приманкой для распространения вредоносных программ через веб-сайты «групп протеста», многие из которых функционируют и по сей день. Спамовые сообщения призывали пользователей социальной сети присоединиться к «протестующим массам» и посетить некий сайт, якобы созданный с целью противодействия вероломным планам администрации Facebook. На самом деле никакого введения оплаты за базовые услуги сервис не планировал, а активация отдельных элементов на странице, указанной в спаме, грозила большими неприятностями. Перед Новым годом веб-сайт Snopes.com опубликовал предупреждение, подчеркнув, что для возмущения нет оснований. В электронной почте и в социальной сети тоже начали циркулировать опровержения опасным слухам. Тем не менее, спустя две недели «группы протеста» на Facebook еще активны, а поисковые результаты полны ссылок на фальшивые постинги в блогах, как во время недавних кампаний по продвижению лжеантивирусов. Источник: www.snopes.com Источник: theregister.co.uk Записки спам-аналитиков Дарья Гудкова, "Лаборатория Касперского" Спам и Доктор Хаус Часто мы сталкиваемся с ситуациями, когда спамеры используют популярные мировые события и имена известных личностей для привлечения внимания к своей нелегитимной рассылке. В прошлом году, например, особенно популярен у спамеров был президент США Барак Обама: его имя использовалось как для завлечения пользователей на зараженные страницы, так и просто для продажи виагры. А вот теперь уже и в этом году мы видим похожие методы социальной инженерии: для привлечения внимания спамеры воспользовались популярностью сериала «Доктор Хаус». На этот раз они не только придумали слоган «Доктор Хаус для вашего друга», но и вставили картинку с изображением Хью Лори — актера, играющего главную роль в сериале. Такой метод привлечения внимания универсален: с таким слоганом можно продавать все от компьютерной помощи до пресловутой виагры. Удивительно, что в данном случае спамеры не поместили имя знаменитого сериального доктора в заголовок письма — большинство пользователей удаляют спам, не открывая писем, так что не смогут оценить подобных творческих усилий. Пример спамового письма смотрите на сайте Securelist.com/ru. Спам в декабре 2009 года Мария Наместникова, "Лаборатория Касперского" Особенности месяца Доля спама в почтовом трафике по сравнению с ноябрем уменьшилась на 2,2% и составила в среднем 82,6% Ссылки на фишинговые сайты находились в 0,84 всех электронных писем, что на 0,13%, меньше, чем в ноябре. Вредоносные файлы содержались в 0,16% электронных сообщений, что на 0,67% меньше, чем в прошлом месяце. Количество спама, в котором предлагаются новогодние и иные туры, увеличилось на 4%. Для обхода спам-фильтров злоумышленники продолжают использовать зашумленные «волнистые» картинки. Доля спама в почтовом трафике Доля спама в почтовом трафике в ноябре 2009 года в среднем составила 82,6%. Самый низкий показатель месяца был зафиксирован в день католического Рождества — 25 декабря — 78,2%; больше всего спама было получено пользователями Рунета 19-го и 20-го числа — по 87,4%. Вредоносные программы в спаме Вредоносные файлы содержались в 0,16% электронных сообщений, что на 0,67% меньше, чем в прошлом месяце. Таким образом, количество писем, содержавших вредоносные вложения, достигло уровня весны–лета 2009 года. В декабре абсолютное большинство вредоносных писем содержали файлы, запакованные при помощи Packed.Win32.Krap.x. Эта модификация Krap обычно используется для упаковки Zbot'а, FraudTools и Iksmas’a. Почти 73% всех вредоносных программ, распространенных в почте детектируются нами именно как Packed.Win32.Krap.x. Другая модификация Krap — Packed.Win32.Krap.aj также вошла в десятку наиболее часто встречавшихся в спаме вредоносных программ. Файлы, запакованные им, встречались в 2,7% всех писем. Эта модификация Krap, в частности, была замечена в поддельной рассылке от Face Book. Похожие письма мы уже получали ранее, и в них также часто встречались различные модификации этого упаковщика. По сравнению со зловредом, занявшим первое место в десятке, количество других ее членов куда менее впечатляет. Так, несмотря на то, что в декабрьской десятке представлено сразу три модификации зловреда Backdoor.Win32.Bredolab — Backdoor.Win32.Bredolab.aug, Backdoor.Win32.Bredolab.blm и Backdoor.Win32.Bredolab.bky — их общее количество не достигло даже 8%. Напомним, что Backdoor.Win32.Bredolab — это троянская программа семейства бэкдор. После запуска троянца компьютер–жертва включается в ботнет. Запросив данные из командного центра, зловред выкачивает из глобальной паутины дополнительные модули, которые являются либо фальшивыми антивирусами, либо шпионскими программами, ворующими пароли пользователя. В ноябре зловреды этого семейства уже входили в нашу десятку во впечатляющем количестве. В первые ряды десятки в декабре вернулся Email-Worm.Win32.NetSky. Поледний раз мы видели его «на вершине» в августе этого года. В этом месяце модификации этого червя (Email-Worm.Win32.NetSky.q и Email-Worm.Win32.NetSky.d) заняли третье и четвертое место десятки соответственно. Email-Worm.Win32.NetSky — это вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается он по всем найденным на зараженном компьютере адресам электронной почты. Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Интересно также отметить появившегося в десятке троянца–баннкера Trojan-Banker.Win32.Bancos.kcx. Этот троянец, распространенный в 1,04% от всей инфицированной почты, призван красть пароли от сервиса WebMoney. Кроме прочего нами была зафиксирована замечательная рождественская рассылка, распространявшая зловредов не во вложении, а с помощью вредоносной ссылки. В письме пользователь обнаруживал поздравления с Рождеством и ссылку на «электронную открытку». Кликнув по ссылке, он (или она) попадал на «рождественскую» страничку. Пока пользователь, ни о чем не подозревая, любовался этой «открыткой» на его компьютер загружался Trojan-Downloader.JS.Shadraem.a. Именно о таких рассылках мы и предупреждали пользователей, когда писали о том, что в декабре будут часто встречаться письма, обещающие красивую электронную открытку, на деле закачивающую на пользовательский компьютер вредоносную программу. Фишинг В декабре лидерами десятки наиболее часто атакуемых организаций традиционно стали PayPal (-8,84%) и eBay (-1,99%). Неизменным по сравнению с прошлым месяцем стал и третий член самой атакованной тройки — социальная сеть Facebook, количество атак на которую, по сравнению с ноябрем, увеличилось чуть больше, чем на 1%. По сравнению с прошлым месяцем почти вдвое уменьшилось количество атак на налоговую организацию IRS, однако в десятке самых лакомых для фишеров целей появились VISA и American Express, что вполне логично, учитывая, что в предрождественской суматохе пользователей гораздо легче напугать угрозой о блокировке кредитной карты, чем о неуплаченых налогах. Пользователи получали письма, похожие на официальные, которые, однако, содержали ссылки на фишинговые сайты. Кроме того, несколько крупных атак было зафиксировано на банк HSBC, который сместился в десятке на одно место вниз (-0,66%). Атаки были проведены с применением распространенного приема социальной инженерии: пользователю не только предлагали произвести верификацию данных, но и сообщали о том, что на его счет поступил неавторизованный платеж и необходимо выйти на сайт, чтобы подтвердить его. Если настроенный на предрождественские чудеса пользователь вводил свои данные, они отправлялись прямо в руки к фишерам. Снова часто под пристальным вниманием фишеров оказывались владельцы аккаунтов WOW, что вынуждает нас напомнить любителям этой онлайновой игры о внимательности и осторожности. Злоумышленники очень умело подделывают адреса страниц и письма, призванные заполучить пользовательские данные. Страны — источники спама В декабре оба лидера двадцатки стран — источников спама сохранили позиции. Это Соединенные Штаты, с территории которых было распространено почти на 3% больше спама, чем в ноябре, и Россия, с территории которой спама было распространено на 1% меньше, чем в прошлом месяце. Индия сместилась с третьего места на пятое, распространив на 1,3% спама меньше, чем ранее. Третья позиция закрепилась за Бразилией, хотя количество спама, распространенного с территории этого южно-американского государства остается стабильным (-0,16%). На четвертом месте двадцатки — Вьетнам, с территории которого было распространено на 1,05% больше спама, чем в прошлом месяце. Из интересных перемещений важно отметить смену позиций Украины и Китая. Обе эти страны поднялись в рейтинге (на 7 и 9 строчки соответственно) распространив в среднем на 1% больше спама, чем в ноябре. Тематический состав спама Пятерка лидирующих спам-тематик октября: Образование — 20,3% (-4%) Отдых и путешествия — 16,4% (+4,1%) Медикаменты; товары/услуги для здоровья — 13,3% (-1,4%) Компьютерное мошенничество — 7,9% (-0,5%) Реплики элитных товаров — 6% (-2,9%) В декабре укрепились тенденции, наметившиеся в прошлом месяце: спам, рекламирующий различные семинары уже который месяц подряд остается на первом месте, однако в последние два месяца он несколько ослабил свои позиции, только в декабре потеряв 4%. Доля спама тематики «Отдых и путешествия», напротив, заметно увеличилась. Это не удивительно, так как многие используют период зимних каникул, чтобы съездить во внеочередной отпуск. Рассылки, в которых предлагаются различные новогодние туры, стали встречаться в почтовых ящиках пользователей Рунета еще чаще, чем в прошлом месяце. За декабрь их количество увеличилось на 4,1%. А вот их качество по-прежнему не на высоте. Обычно такие рассылки не содержат картинок и для обхода спам-фильтров используют старые трюки — замену букв в некоторых словах на латинские, или подмену некоторых цифр в номере телефона на похожие по виду буквы. Кроме новогодних туров спамерские рассылки часто предлагают туры горнолыжные: длительные каникулы и снежное время года создают условия для этого вида отдыха. Такие рассылки, впрочем, внешне мало чем отличаются друг от друга. Та же нехитрая форма, те же нехитрые трюки. Медицинский спам и спам, пропагандирующий реплики различных элитных товаров, потеряли 1,4% и 2,9% соответственно. Спамеры, занимающиеся рекламой реплик элитных товаров предлагали поддельные часы известных марок в качестве идеального новогоднего подарка. Количество компьютерного мошенничества в спаме Рунета также незначительно снизилось (-0,5%), хотя и осталось довольно высоким (почти 8%). Перед Новым годом и Рождеством можно было ожидать всплеска активности мошенников, что и наблюдалось в западных потоках, в которых количество мошеннического спама увеличилось почти на 5%. Мошенники активно использовали тему Рождества, особенно это было заметно в различных нигерийских письмах и письмах о «выигрышах в лотерею». Например, в представленном ниже письме пользователю сообщается, что он стал победителем в рождественском розыгрыше. Интересно заметить, что «агентом» в «наградной программе Соединенных Штатов» выступает некто «Дмитрий Волкова», что звучит довольно забавно. В декабре серьезно возросло количество писем тематики «Другие товары и услуги». Связано это во многом с активной рекламой различных новогодних подарков. Спамерские методы и трюки В декабре прошла очень мощная рассылка, содержавшая в себе одновременно несколько трюков: во-первых, в письмо был вставлен кусок текста, состоящего из несвязанных слов и выражений. Во-вторых, спамерская информация содержалась на картинке, которая была зашумлена одновременно двумя методами: фоном изображению служили многочисленные случайные геометрические фигуры, а самим картинкам в этих сообщениях была придана волнистая, изменяющаяся от письма к письму, форма. Интересный трюк применили российские спамеры, рассылавшие письма, с предложением оформить карточки сети магазинов METRO C&C. Они написали текст письма транслитом, к тому же, по всей видимости, нажав предварительно на клавишу «caps lock», поскольку большая часть текста была написана большими буквами, и только первые буквы в предложениях были маленькими. Кроме того, часть букв русского языка они заменили на разные (кажется, случайные) символы. Этот трюк интересен тем, что старания спамеров сделали письмо совершенно нечитаемым… Заключение В декабре, как мы и предполагали, злоумышленники использовали электронные лжеоткрытки, чтобы заставить пользователей скачать вредоносные программы. Чаще всего такие «открытки» размещались на вредоносных веб-страницах. При этом количество спама с вредоносными вложениями заметно уменьшилось. По нашим прогнозам количество вредоносных вложений сохранится на низком уровне и в январе. Доля фишинговых писем, по-видимому, на некоторое время стабилизируется. В то же время, хотя пик фишинговых рассылок прошел, эта форма мошенничества по-прежнему остается выгодной для злоумышленников, и не приходится ожидать их отказа от этого вида наживы. С окончанием сезона зимних каникул количество спама, рекламирующего отдых и путешествия, постепенно начнет снижаться, уступая свое место медицинскому спаму, спаму «для взрослых», а также репликам элитных товаров. Полную версию статьи читайте на сайте Securelist.com/ru. Спам-статистика за период 27 декабря 2009 — 10 января 2010 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета в праздничные две недели в среднем составила 85,3%. Тематическое распределение спама в новогодние праздники имеет свою специфику. На первые места вышли преимущественно англоязычные рубрики «Компьютерное мошенничество» (+6,4%), «Медикаменты; товары/услуги для здоровья» (+7,8%) и «Реплики элитных товаров» (+5,5%), «Компьютеры и Интернет» (+4,7%). Большинство таких писем автоматически рассылаются через ботнеты без участия человека. Не считая в основном русскоязычной рубрики «Спам "для взрослых"» (+7,9%), русскоязычного спама было намного меньше, чем обычно. Уменьшились доли тематик «Другие товары и услуги» (-6,6%), «Образование» (-9,2%), «Отдых и путешествия» (-14,3%), «Недвижимость» (-2,4%). Скорее всего, на первой рабочей неделе нового года тематическое распределение спама в большой степени вернется к будничной картине. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   24,2%   +7,80%   2   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   14,50%   +6,4%   3   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   11,2%   +4,7%   4   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   11,0%   +5,5%   5   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   9,1%   +7,9%   6   Другие товары и услуги   Предложения других товаров и услуг.   7,2%   -6,6%   7   Образование   Реклама семинаров, тренингов, курсов.   5,4%   -9,2%   8   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,8%   +1,8%   9   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   4,1%   -14,3%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   4,1%   +0,5%   11   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   Менее 2%   -2,4%   12   Юридические услуги и аудит   Предложения юридических услуг.   Менее 2%   -1,8%   13   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   Менее 2%   -0,9%   14   Остальной спам     Менее 2%  +0,4%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009