Электронный журнал "Спамтест" No. 314 в этом номере: Новости Спам-статистика за период 11-17 января 2010 г. Новости Commtouch, 4 квартал: спам, Bredolab, Avalanche По оценке Commtouch, в последнем квартале минувшего года уровень спама в нефильтруемом почтовом трафике в среднем составлял 77% при пиковом показателе 98% (ноябрь), а к концу декабря снизился до 68%. Основной тематикой спам-рассылок являлась реклама фармацевтических препаратов, доля которой в общем объеме спама увеличилась до 81%. Перед Новым годом появилась несколько необычная разновидность фармаспама — с рекламным текстом, воспроизводимым в звуковом (mp3) формате. Эксперты Commtouch зафиксировали также ряд вредоносных спам-рассылок, включая ложные сообщения о проведении в США всеобщей вакцинации от «свиного» гриппа и поздравительные открытки к Хэллоуину. Особой агрессивностью отличалась спам-кампания по распространению зловредов семейства Mal-Bredo A (Backdoor.Win32.Bredolab). В прошлом квартале письма с вредоносным zip-вложением имели форму уведомления о посылке или денежном переводе. В отчетный период вложенный файл с бэкдором позиционировался как новый пароль, якобы высланный службой техподдержки Facebook или MySpace в связи с введением новой политики безопасности. Исследователи отмечают, что в настоящее время число вариантов Mal-Bredo A не достигает и тысячи, тогда как в ноябре их насчитывалось около 10 тысяч, но число спам-рассылок с опасным зарядом возросло. Время жизни резидентного бот-агента коротка, поэтому операторы ботнетов стараются сохранить численность своей армии, поражая новые мишени. По данным Commtouch, в 4-м квартале в строй ежедневно вводилось в среднем 312 тыс. новых зомби-машин. Лидером по количеству зомби-компьютеров является Бразилия, на долю которой приходится пятая часть парка активных ботов. Среди фишинговых группировок особое место занимает коалиция Avalanche. Она задействует неколько ботнетов, применяет технологию fast-flux, пользуется услугами криминальных сервисов для отмывания денег. Эксперты Commtouch исследовали методику и инструментарий, применяемые этой группировкой при организации кибератак. По их мнению, ботнет Avalanche (aka MS-Redirect) по существу является хостинг-платформой, которая используется для размещения фишинговых страниц и распространения троянцев семейства Zbot (Trojan-Spy.Win32.Zbot). Атака начинается со спам-рассылки, для которой арендуется один из сторонних ботнетов — чаще всего Pushdo. Ссылка, указанная в спамовом письме, привязана к IP-адресу одного из ботов в сети Avalanche. Этот бот-агент работает как прокси-сервер и соединяет пользователя с узлом, на котором размещена фишинговая веб-страница или вредоносный файл. В отчетный период Commtouch насчитала более 16 тысяч активных IP-адресов в составе Avalanche, хотя его численность, по ее оценкам, достигает 30-40 тысяч. Источник: blog.commtouch.com Источник: darkreading.com Источник: phishlabs.com Symantec отчиталась за последний месяц года Последние месяцы Symantec отмечает увеличение потоков нелегитимных писем из Латинской Америки, Азии и Тихоокеанского региона. Тем не менее, по оценке экспертов, в декабре количество почтового «мусора» из стран Северной Америки и ЕМЕА увеличилось и составляло 57% от общего объема спама в интернете. Главным источником спама остаются США (23%), на втором месте — Бразилия (11%). Вклад фармаспама в общий объем непрошеной корреспонденции по сравнению с предыдущим месяцем, удвоившись, увеличился до 16%. Преобладающей тематикой является реклама интернет-услуг (31%); пятая часть спам-трафика приходится на товарный спам, 13% — на предложения финансового характера. Число нелегитимных писем с вложениями несколько сократилось и составило 4,48% от общего объема. Соответственно уменьшился общий размер спамовых сообщений: в отчетный период 78,1% из них не превышали 5КБ. Больше половины URL-спама использовало домен .com, около четверти — домен .cn. Количество фишинговых атак, по данным Symantec, уменьшилось на 4%. Основной мишенью фишеров остаются финансовые структуры (82% атак). Число поддельных страниц, созданных с помощью готовых комплектов для проведения кибератак, сократилось на 19% и составляет чуть больше одной пятой от общего числа. Для размещения страниц-ловушек фишеры все чаще используют возможности легальных веб-хостингов. В декабре эксперты зарегистрировали 118 хостинг-сервисов, на ресурсах которых были размещены 2150 поддельных страниц, использовавшихся в 11% фишинговых атак. Из всех доменов верхнего уровня фишеры отдают предпочтение .com (больше половины URL), .net и .org, а из региональных — российскому (11%), китайскому (8%) и британскому (7%). Источник: eval.symantec.com [PDF 2,87 Мб] Источник: eval.symantec.com [PDF 1,8 Мб] «Нигерийцы» взывают о помощи Symantec обнаружила ряд мошеннических спам-рассылок, эксплуатирующих «горячие» темы, — попытку рождественского теракта на борту американского авиалайнера и землетрясение на Гаити. Типовое «нигерийское» послание, написанное от имени старшего брата Умара Фарука Абдула Муталлаба, который пытался взорвать самолет рейса 253, обращено к «мусульманским братьям/сестрам». В нем «ближайший родственник» террориста просит помощи по переводу его денежных вкладов в зарубежный банк. По иронии судьбы исполнитель неудавшегося теракта — сын известного нигерийского банкира, так что вознаграждение, обещанное за эту банковскую операцию, многим покажется привлекательным. Реакция сетевых хищников на сообщение о стихийном бедствии на Гаити была вполне предсказуемой. ФБР и многие специалисты по кибербезопасности заблаговременно опубликовали предупреждения о возможных злоупотреблениях, связанных со сбором средств в пользу пострадавших. Одно из мошеннических посланий, обнаруженных Symantec, призывало делать пожертвования от имени британского Красного Креста. Даже почтовый адрес организации был указан правильно, но авторы письма просили высылать деньги через Western Union — систему, которой Красный Крест не пользуется. Излишне говорить, что к этой рассылке гуманитарная организация отношения не имела. Вторая мошенническая рассылка, нацеленная на сбор денежных средств, использовала имя Агентства по чрезвычайным ситуациям в Порт-о-Пренсе. Как удалось установить, письма были разосланы с почтового сервера одного из канадских университетов. Еще одно мошенническое сообщение распространялось от имени некоего благотворительного фонда на Филиппинах, партнерами которого якобы являются ЮНИСЕФ, Красный Крест и международная гуманитарная организация «Врачи без границ». «Фонд» тоже принимал пожертвования в виде переводов Western Union. По свидетельству экспертов, эта спам-рассылка проводилась с территории Словакии. Актуальность новости о трагедии на Гаити не преминули взять на вооружение злоумышленники, проводящие кибератаки путем подделки записей кэша поисковых систем. Специалисты по сетевой безопасности предупреждают, что в результатах поиска вновь появилось множество приоритетных ссылок на страницы, загружающие на машину пользователя тот или иной вариант фальшивого антивируса. Источник: symantec.com Источник: abcnews.go.com Источник: isc.sans.org Источник: f-secure.com Домен .cn вернут частным лицам? Информационный центр интернет-инфраструктуры Китая (China Internet Network Information Center, CNNIC) планирует вернуть право регистрации доменов в зоне .cn рядовым пользователям и приступил к разработке процедуры верификации регистрационных данных, предоставляемых физическими лицами. В настоящее время в стране идет проверка подлинности и полноты информации по действующим веб-сайтам, владельцами которых являются частные пользователи. Аудит продлится до конца января; его результаты послужат основой для выработки нового механизма регистрации. Для обеспечения успешной реализации проекта CNNIC с 1 января ввела в стране запрет на регистрацию новых доменов в зоне .cn через иностранные сервисы, а с 6 января на неопределенный срок отказала зарубежным регистраторам в праве принимать такие заявки. Кроме того, с 15 января местные заявители обязаны подавать документы, написанные только на китайском или английском языках; в противном случае регистратору должна быть представлена англоязычная копия, заверенная нотариусом. По мнению CNNIC, новые правила регистрации, введенные месяц назад с инициативы китайского правительства как мера борьбы с порносайтами, могут негативно отразиться на развитии национальной интернет-индустрии. Требование о представлении корпоративной лицензии при оформлении домена в зоне .cn ущемляет права рядовых пользователей, вынуждая их заручаться подложными документами или регистрироваться в других доменных зонах. Тем не менее, ужесточение мер регистрации в Китае не преминуло сказаться на потоках фармаспама, использующего ссылки на домены в зоне .cn. По оценке Symantec, после 13 декабря количество нелегитимной рекламы интернет-аптек, размещенных в китайском секторе интернета, сократилось вдвое. Источник: chinadaily.com.cn Источник: thewhir.com Источник: china.org.cn Дежа вю, или заразные ссылки в «аське» В разгар крещенских морозов по русскоязычным IM-каналам прокатилась волна новой инфекции, в результате которой многие потеряли доступ к своим аккаунтам. Пользователи ICQ, QIP, Miranda и пр. стали получать от знакомых сообщения, предлагающие скачать по ссылке файл Piggy.zip. При запуске он выводит флэш-картинку с изображением симпатичной свинки и надписью «Вы инфицированы вирусом N1H1». Вредоносной программе, упрятанной в архив, ЛК присвоила наименование IM-Worm.Win32.QiMiral.x. Она мгновенно меняет учетные данные и начинает рассылать спам со «свинской» ссылкой по всем контактам пользователя. Как и Hoax.Win32.IMPass.al, демонстрировавший головоломку с лягушками, зловред использует бот-компонент, способный поддержать простейший диалог, если собеседник не торопится загружать вредоносный файл и пускается в расспросы. Если вы получили аналогичное сообщение — НЕ ОТКРЫВАЙТЕ ССЫЛКУ. Если искушение было слишком велико и вы «подхватили вирус», проверьте диспетчер задач и проведите в компьютере поиск процессов и файлов piggy. Затем воспользуйтесь процедурой восстановления пароля, который после входа на сервис нужно будет сразу сменить. И не забудьте разослать по всему контакт-листу предупреждение, что пришедшее от вас сообщение со ссылкой на Piggy.zip опасно и файл скачивать нельзя. Вам также могут помочь обсуждения темы на форумах Kaspersky Lab, VirusInfo и в блоге ХабраХабр. Будьте бдительны: злонамеренные сообщения в системе обмена мгновенными сообщениями — не редкость, ЛК регистрирует по 2-3 таких рассылки в неделю. По оценке экспертов, очередное «свинство» — самая массовая за последние полгода спам-кампания на IM-сервисе, и она еще не закончилась. Источник: vz.ru Источник: tv.net.ua Спам-статистика за период 11-17 января 2010 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в почтовом трафике Рунета на прошлой неделе в среднем составила 86,4%. Как и предполагалось, в первую рабочую неделю нового года тематическое распределение спама вернулось к будничным показателям. Организаторы тренингов с новыми силами набирают слушателей — рубрика «Образование» вышла на первое место (+16,9%); турфирмы призывают планировать новые путешествия — выросла доля тематики «Отдых и путешествия» (+5,8%); активнее стали поступать предложения от малого бизнеса — увеличилось количество писем рубрики «Другие товары и услуги» (+3,0%). Заметно уменьшились доли тематик «Медикаменты; товары/услуги для здоровья» (-10,5%), «Компьютерное мошенничество» (-7,1%), «Компьютеры и интернет» (-5,2%) и «Реплики элитных товаров» (-3,6%). Колебания долей других тематик остались в пределах 2%. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Образование   Реклама семинаров, тренингов, курсов.   22,3%   +16,9%   2   Медикаменты; товары/услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   13,7%   -10,5%   3   Другие товары и услуги   Предложения других товаров и услуг.   10,2%   +3,0%   4   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   9,8%   +5,8%   5   Спам "для взрослых"   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.   9,8%   +0,7%   6   Реплики элитных товаров   Копии часов, аксессуаров, обуви и других товаров известных марок.   7,5%   -3,6%   7   Компьютерное мошенничество   Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества.   7,4%   -7,1%   8   Компьютеры и Интернет   Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.).   6,0%   -5,2%   9   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   4,6%   -0,2%   10   Личные финансы   Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма.   2,8%   -1,3%   11   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,2%   +0,5%   12   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   Менее 2%   +0,4%   13   Юридические услуги и аудит   Предложения юридических услуг.   Менее 2%   0,3%   14   Остальной спам     Менее 2%   +0,2%   Примеры спамовых писем смотрите на сайте Securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2009