Электронный журнал "Спамтест" No. 365 в этом номере: Новости Спам в феврале 2011 года Новости Европа готовится к войне с ботнетами Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA) подытожило накопленный опыт борьбы с ботнетами и представило рекомендации для правовых институтов, интернет-провайдеров, профессиональных исследователей и конечных пользователей. Одним из важных вопросов, поднятых экспертами, является оценка потенциальной угрозы, которую представляет собой ботнет. Определить его истинные размеры редко удается из-за разницы в методиках обсчета. Да и сам по себе этот показатель не может служить адекватным мерилом опасности зомби-сетей, так как функционал зловредов, используемых для их построения, неодинаков. Иной раз скромный ботнет может нанести гораздо более ощутимый ущерб, чем совместные действия многих тысяч зараженных машин. Впрочем, очистка последних тоже обходится недешево. Анализ технических, регуляторных и социальных мер противодействия ботоводам, а также национальных и межведомственных инициатив показал, что лишь долгосрочные акции, скоординированные на международном уровне, дают хорошие результаты. Борьба с ботнетами должна вестись по всем фронтам, включая нейтрализацию существующих зомби-сетей, профилактику заражений и снижение рентабельности использования этих инструментов киберкриминалом. Успех противостояния возможен лишь при активном участии всех заинтересованных сторон. Правительствам надлежит привести в соответствие национальные законодательства, интернет-провайдерам ― усовершенствовать процесс обнаружения зараженных машин, оповещения их владельцев и оказания помощи в очистке ресурсов. Конечные пользователи должны осознать необходимость использования актуальных средств индивидуальной защиты, позволяющих снизить риск заражения и дальнейшего распространения инфекции. Ключевыми моментами в борьбе с ботнетами являются слаженное взаимодействие всех ее участников, оперативный информационный обмен и межгосударственное сотрудничество. Источник: enisa.europa.eu Британия рапортует об успехах в борьбе с карточным мошенничеством По оценке Ассоциации эмитентов платежных карт Великобритании (UK Cards Association), убытки от махинаций с пластиковыми картами продолжают сокращаться. В минувшем году они совокупно составили 365,4 млн. фунтов стерлингов (около 588 млн. долл.), что на 17% меньше, чем в 2009 году. Потери британцев в системе онлайн-банкинга снизились на 22% ― до 46, 7 млн. фунтов (75 млн. долл.). Эти данные противоречат цифрам, опубликованным ранее Национальным управлением по борьбе с мошенничеством (National Fraud Authority, NFA). Очевидно, в итог NFA вкралась ошибка: указанная Управлением сумма ущерба по этой позиции за 2010 год ― 60 млн. фунтов ― на самом деле была, согласно статистике UK Cards, зафиксирована в предыдущем году. Суммы ущерба от мошенничества в секторе розничной торговли, включая интернет-сервис, тоже ощутимо сократились Эти успехи эксперты объясняют повсеместным внедрением средств мониторинга несанкционированных транзакций, постоянным совершенствованием систем аутентификации, эффективностью работы защитных спецслужб и ростом сознательности держателей банковских карт, которые, наконец, прониклись необходимостью использовать индивидуальные средства защиты. Тем не менее, количество фишинговых атак на клиентуру британских банков продолжает расти. В прошлом году злоумышленники провели около 62 тыс. таких кибератак ― на 21% больше, чем в 2009 году. Источник: theukcardsassociation.org.uk Скам-цунами Сетевые мошенники вновь пытаются нагреть руки на чужом несчастье. Стихийное бедствие в Японии, потрясшее весь мир, предсказуемо пробудило «черных» оптимизаторов, фишеров, самозваных сборщиков пожертвований и «нигерийских» душеприказчиков. Ссылки на страницы, загружающие фальшивые антивирусы, появились в результатах поисковой выдачи практически одновременно с первыми сообщениями об ужасном землетрясении. Спустя два часа в Сети объявился первый поддельный веб-сайт, собирающий денежные средства в фонд помощи пострадавшим. За несколько дней были зарегистрированы сотни доменных имен, включающих слова «help», «earthquake», «japan», «tsunami», «disaster», «fund», «donations» («помощь», «землетрясение», «Япония», «цунами», «бедствие», «фонд», «пожертвования»). Большинство пока не активны; не исключено, что многие из них созданы с недоброй целью. На Facebook вновь расплодились ссылки на некие сенсационные видеоролики, истинным назначением которых является накрутка рейтинга сторонних веб-сайтов. Появились также первые спам-рассылки, отправленные по электронной почте. Письмо от имени Детского фонда ООН (ЮНИСЕФ) объявляет о сборе добровольных пожертвований в помощь японцам. Получателей просят обязательно сообщить полное имя, номер телефона и контактный е-мейл с обещанием выслать подробные инструкции. Другая спам-рассылка манипулирует именем Британского общества Красного Креста. Мошенники без лишних затей просят перевести через MoneyBookers вспомоществование владельцу персонального ящика Yahoo. Последней на настоящий момент находкой является классическое «нигерийское» письмо. Некто погиб вместе с семьей во время землетрясения, оставив в лондонской конторе 12 млн. долларов. Плутоватый и не очень грамотный хранитель предлагает адресату разделить эти деньги пополам, если тот объявит себя наследником, ― не пропадать же добру! Никакого риска, все учтено, нужен лишь добровольный помощник. Пишите письма, обсудим детали. Источник: blog.trendmicro.com За кулисами Cutwail Согласно результатам анализа статистики, обнаруженной на 16 серверах Cutwail, больше двух третей спам-писем, сгенерированных его ботами, не доходят до адресатов. Тем не менее, спамеры, оперируя лишь частью ботнета, смогли за месяц успешно разослать почти 90 млрд. сообщений. Академические исследователи получили доступ к содержимому серверов в ходе очередной попытки обезглавить Cutwail/Pushdo. Богатый материал, захваченный в качестве трофея, дает подробное представление о работе одной из крупнейших зомби-сетей, специализирующейся на рассылке спама, и об организации спам-кампаний. Статистику, подвергнутую анализу, академики считают репрезентативной: по их оценке, обезоруженные серверы представляют половину или две трети активных контроллеров Cutwail. Находки подтвердили, что ботнет сдавался в аренду по частям. Арендаторы распространяли фармаспам, рекламировали порносайты, вербовали агентов по отмыванию денег, расселяли зловредов, но чаще всего занимались фишинговыми рассылками. Образцы спам-писем, созданные на основе готовых шаблонов, можно было проверить на эффективность доставки, прогнав через штатный SpamAssassin. Спамботы Cutwail отсылают на C&C подробную информацию о своей деятельности, в том числе репутационный статус, который периодически проверяют по черным спискам (SORBS, SpamCop, DNSBL). Как оказалось, через час после подключения к Сети засвечиваются лишь 12,8% спамботов, через 2 часа ― 29,6%, через 3 почти половина. Три четверти новых Cutwail реально обнаружить за 6 часов, 90% ― за 18. Как выяснилось, эффективность доставки для Cutwail (приема спам-письма почтовым сервером) составляет в среднем 30,3%, еще меньше доходит до конечного адресата: на стороне клиента тоже присутствуют фильтры. Больше половины отбивок получается из-за некорректности адреса, 16,9% спама блокируют черные списки на почтовом сервере. В 11,8% случаев виноват сбой на сервере, в 11,3% ― превышение интервала ожидания подключения. Интересно, что 3,5% почтовых серверов уведомляли отправителя (т.е. бот), что содержимое письма определено как спам. Отчет [PDF 1,22 Мб] об этом исследовании будет представлен на семинаре по эксплойтам и новым интернет-угрозам (Workshop on Large-Scale Exploits and Emergent Threats, LEET '11), который состоится 29 марта в Бостоне, штат Массачусетс. Источник: darkreading.com Источник: iseclab.org [PDF 1,22 Мб] Спам в феврале 2011 года Мария Наместникова, "Лаборатория Касперского" Февраль в цифрах Доля спама в почтовом трафике по сравнению с январем увеличилась на 1,1% и составила в среднем 78,7%. Доля фишинговых писем в общем почтовом потоке по сравнению с январем не изменилась и составила 0,03%. В феврале вредоносные файлы содержались в 3,18% всех электронных сообщений, что на 0,43% больше, чем в прошлом месяце. Обзор главных событий месяца Борьба со спамом: Китай и США объединят усилия Силы и средства поставщика защиты от спама направлены на защиту конечного пользователя от нежелательной почты, а не на борьбу с ее источником. У производителей антиспам-решений нет ни ресурсов, ни полномочий для того, чтобы усложнять регистрацию спамерских доменов, закрывать хостинги, предоставляющие площадки владельцам ботнетов, и, наконец, закрывать ботсети. Антиспам-вендоры могут предоставить необходимую экспертизу, но на нее должен быть социальный запрос. Для этого в государстве должно быть развито антиспамовое законодательство, руководствуясь которым силовые структуры смогут бороться с источником нежелательной почты. Более того, то, что спам-бизнес одновременно и интернационален, и распределен по регионам, требует, чтобы меры, принимаемые для борьбы со спамом, не ограничивались одним государством. Правовые органы разных стран должны работать в сотрудничестве. К такому выводу пришли официальные организации Китая и Соединенных Штатов Америки, которые в настоящий момент готовы оставить в стороне свои разногласия в интернете ради борьбы со спамом. Совместный документ, составленный официальными лицами Китая и США, который должен быть опубликован в марте, носит название «Fighting Spam to Build Trust» («Борьба со спамом для укрепления доверия»). В этом документе будут содержаться совместно разработанные предложения по борьбе со спамом. Надеемся, что эту инициативу на вооружение смогут перенять официальные структуры других государств. Напомним, что Китай до 2010 года был одним из лидеров по рассылке спама, а в доменной зоне .cn находилась львиная доля спамерских сайтов. Меры, принятые на законодательном уровне, привели к тому, что объем распространяемого из Китая спама, значительно сократился (с 3,5% в 2009 году до 1,9% в 2010 году), а спамерские сайты в китайской национальной доменной зоне практически исчезли. Соединенные Штаты Америки по итогам 2010 года, напротив, заняли первое место среди стран, распространяющих спам (16%). В конце года в этой стране также был сделан ряд значительных шагов в борьбе против спамеров. Так, закрытие ботнета Pushdo/Cutwail в августе 2010 года привело к десятикратному уменьшению объема спама, распространяемого из этой страны. Несмотря на это, меры американских правоохранительных органов, в отличие от ситуации в Китае, не дали продолжительного эффекта. Восстановление спам-трафика из США В январском отчете мы уже отмечали постепенное восстановление спам-трафика из США. В феврале эта тенденция лишь укрепилась. Как уже говорилось выше, после закрытия ботнета Pushdo/Сutwail объем спама, распространяемого из США, значительно уменьшился. США продержались на рекордно низком уровне на протяжении всей осени и первого месяца зимы (6% в сентябре и около 1-1,5% с октября по декабрь). С самого начала января доля спама, распространяемого из США, постепенно увеличивалась и к концу месяца достигла 2,5%. В феврале она достигла максимума за последние пять месяцев (4,27%). Судя по всему, в ближайшие месяцы процент продолжит расти. Анализ срабатываний почтового антивируса по странам также подтверждает этот прогноз — по итогам месяца США находятся на втором месте по числу срабатываний нашего почтового антивируса. Мы уже неоднократно отмечали, что одним из методов распространения вредоносного кода, в том числе и имеющего функцию включения компьютера пользователя в зомби-сеть, являются рассылки спама. Таким образом, увеличение количества срабатываний почтового антивируса в том или ином регионе позволяет предположить, что в ближайшем будущем спама из этого региона станет больше. Что касается срабатываний почтового антивируса на территории США, то осенью, т.е. непосредственно после закрытия ботнета Pushdo/Cutwail, их стало значительно меньше. Видимо, злоумышленники, потеряв крупный ботнет, заморозили на время и более мелкие зомби-сети. Возможно, это были меры предосторожности в связи с повышенным интересом правоохранительных органов к их деятельности. В последние два месяца почтовый антивирус на территории США срабатывает все чаще. Праздники и спам Февраль и март — месяцы, богатые праздниками: День защитника отечества, Международный женский день, масленица, да еще приобретший последнее время большую популярность день святого Валентина. Разумеется, ни один из этих праздников не был обойден вниманием спамеров. О спаме, связанном с днем святого Валентина, мы уже писали в нашем январском отчете и в нашем блоге. Остается лишь добавить, что такие рассылки наиболее часто фиксировались на второй неделе февраля (0,21% от всей мусорной почты). Неделей раньше и неделей позже доля такого спама была на уровне 0,15%. 23 февраля и 8 марта, как обычно, были отмечены волной рассылок от компаний мелкого и среднего бизнеса, стремящихся продать свои товары в качестве подарков к праздникам. Разумеется, ассортимент подарков, предлагаемых в спаме на 23 февраля и на 8 марта, различается. На «мужской» праздник предлагались «оригинальные подарки», электронные сигареты и доставка пива. На 8 марта в спаме предлагаются цветы, текстиль и, как ни странно, иконы. Кроме того, «удлиненные» в праздники выходные многие используют для поездок, и туристические фирмы спешат предложить небольшие туры. Рекламируемые туры были приурочены не только к 8 марта, но и к масленице. Во второй половине февраля тема масленицы фиксировалась примерно в 0,5% всех спам-сообщений. В большей части таких рассылок предлагалось провести завершение масленичной недели в путешествиях, в основном — по России. Статистический обзор Доля спама в почтовом трафике Доля спама в почтовом трафике по сравнению с январем увеличилась на 1,1% и составила в среднем 78,7%. Самый низкий показатель месяца был зафиксирован 11 февраля — 72,3%. Больше всего спама было получено пользователями 13 числа — 86,8%. Страны — источники спама В феврале лидер стран — источников спама остался неизменным — Индия, с территории которой распространено 8,83% (-1,02%). С территории России, занимающей вторую строчку рейтинга, распространено почти вдвое меньше спама, чем в прошлом месяце (-4,26%). Объем спама российского происхождения сокращался на протяжении всего февраля. В последнюю неделю месяца спама из России было меньше, чем спама из США. Показатели остальных трех стран январской ТОP 6 в феврале практически не изменились. Однако сами эти страны поменяли свои позиции в рейтинге: на третье место вышла Бразилия (+0,41%), на четвертом оказалась Индонезия (-0,39%), а вот занимавшая в январе третью строчку Италия (-0,78%) и вовсе была подвинута на шестую позицию. Пятую строчку заняла Южная Корея, поднявшаяся сюда с одиннадцатого места, которое занимала в январе. Доля спама, распространенного из Кореи, увеличилась по сравнению с январем на 1,4%. США занимают восьмую строчку в рейтинге стран — источников спама. Вредоносные вложения в почте В феврале вредоносные файлы содержались в 3,18% всех электронных сообщений, что на 0,43% больше, чем в прошлом месяце. Больше всего вредоносных вложений было обнаружено нашим почтовым антивирусом на территории России. Индия и Вьетнам, входившие в январе в тройку лидеров, потеснились, уступив вторую позицию Соединенным Штатам Вместе с тем, в Великобритании и Германии доля срабатываний нашего почтового антивируса остается на высоком уровне. Рейтинг наиболее часто детектируемых в почте вредоносных программ в феврале выглядит следующим образом: Trojan-Spy.HTML.Fraud.gen — 18,68% Email-Worm.Win32.Mydoom.m — 4,13% Worm.Win32.Mabezat.b — 3,85% Trojan-Banker.Win32.Banker.bgsd — 2,20% Email-Worm.Win32.Agent.gnd — 2,00% Email-Worm.Win32.NetSky.q — 1,99% Trojan-Spy.Win32.SpyEyes.ffc — 1,73% Email-Worm.Win32.Bagle.gt — 1,70% Trojan-Ransom.Win32.PornoBlocker.efo — 1,59% Trojan-Banker.Win32.Banker.bghb — 1,49% Вредоносные программы в февральском рейтинге разделились на две почти равные группы. Первая группа — это черви, уже знакомые нам по предыдущим отчетам. В нее входит занявший вторую строчку Email-Worm.Win32.Mydoom.m — древний экземпляр в наших антивирусных базах, функционал которого ограничен сбором электронных адресов на зараженных машинах и рассылкой по ним самого себя. Подробнее об этой вредоносной программе можно почитать здесь. На шестой строчке рейтинга располагается чуть менее древний зловред Email-Worm.Win32.NetSky.q, имеющий тот же функционал. Подробнее о нем можно почитать здесь. На пятой строчке расположился Email-Worm.Win32.Agent.gnd. Помимо сбора электронных адресов и рассылки самой себя посредством электронной почты, эта вредоносная программа, при попадании на компьютер, инсталлирует в систему другие вредоносные программы. В основном, — троянские программы-загрузчики, которые немедленно пытаются получить доступ к определенным интернет-ресурсам, с которых происходит закачка других вредоносных программ. Более сложный функционал по сравнению с простыми почтовыми червями имеет и вредоносная программа Email-Worm.Win32.Bagle.gt, находящаяся в рейтинге на восьмой строчке. Этот почтовый червь не инсталлирует в систему программы-загрузчики, а самостоятельно обращается к интернет-ресурсам для загрузки оттуда вредоносных программ. Разумеется, червь также ищет в системе электронные адреса и рассылает себя по ним. Вторая группа вредоносных программ — это программы, предназначенные для кражи конфиденциальной информации. К ним относится бессменный лидер рейтинга Trojan-Spy.HTMLFraud.gen (подробную информацию читайте здесь). Но есть в этой группе и новички: в рейтинге февраля появилось сразу две вредоносные программы семейства троянов-банкеров — это Trojan-Banker.Win32.Banker.bgsd и Trojan-Banker.Win32.Banker.bghb. Эти программы предназначены для кражи конфиденциальной финансовой информации пользователей. Новичком рейтинга является и программа Trojan-Spy.Win32.SpyEyes.ffc, которая занимается похищением конфиденциальных данных пользователя. Еще две программы не попали ни в одну из вышеописанных групп. Одна из них — вредоносная программа Trojan-Ransom.Win32.PornoBlocker.efo. Она блокирует работу компьютера с целью получения выкупа за восстановление доступа к нему. Вторая — завсегдатай нашего рейтинга Worm.Win32.Mabezat.b (подробно о ней см. здесь). Тематические направления в спаме Пятерка лидирующих тематических категорий в спаме: Образование — 35,4% (+8,4%) Медикаменты; товары/услуги для здоровья — 12% (-9,2%) Компьютеры и интернет — 6,2% (+2,9%) Реклама спамерских услуг — 5,9% (-1,9%) Спам «для взрослых» — 5,3% (+2,8%) Пара лидирующих категорий по сравнению с январем осталась неизменной: реклама различного рода семинаров и фармацевтический спам. Однако по сравнению с прошлым месяцем их доли изменились: образовательного спама стало почти на 8,5% больше, а фармацевтический, напротив, сократился более чем на 9%. Фармацевтический спам в январе рассылался преимущественно с 1 по 11 января (см. прошлый отчет). Таким образом, заметное уменьшение доли такого спама — на 9% — не является показательным. Однако если сравнивать с декабрем 2010, то эта категория показала рост. В феврале довольно большую часть рассылок составили письма с предложением нелицензионного ПО и других товаров, так или иначе связанных с компьютерами и интернетом. Более 5% всех спамерских сообщений составили порнорассылки. Все это говорит о том, что многие спамеры все еще не вернулись к рассылке фармацевтического спама и продолжают выбирать себе «партнерку» по вкусу и по карману. Что же касается саморекламы спамеров и рассылок, заказанных малым и средним бизнесом, то тут, по всей видимости, рынок насытился достаточно, и спамеры несколько уменьшили активность. К тому же, как уже упоминалось выше, февраль был достаточно богат на события, подстегивающие заказчиков спама. Заключение Как мы и прогнозировали, в почтовом трафике постепенно увеличивается доля спама в целом, и доля спама, распространяемого с территории США, в частности. Мы предполагаем, что восстановление объема спама до уровня 81-82% произойдет к апрелю-маю 2011 года. В данный момент можно предполагать, что уже в следующем месяце Соединенные Штаты Америки снова войдут в ТОP 5 стран — источников спама. Что касается содержания, то тут в центре внимания снова фармацевтический спам. Ситуация с ним, кажется, окончательно стабилизировалась, и в ближайшие месяцы стоит ожидать того, что он снова наберет обороты. Рейтинг вредоносных программ в феврале служит хорошим напоминанием того, что киберпреступники очень хотят получить доступ к ценной конфиденциальной информации, которая хранится на компьютерах пользователей. У злоумышленников есть арсенал приемов, открывающий им этот доступ. Основной же прием пользователя — это его собственное благоразумие, которое позволит держать антивирусное обеспечение в актуальном состоянии и никогда не открывать подозрительные вложения в письмах от незнакомых людей. Полную версию статьи смотрите на сайте www.securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011