Электронный журнал "Спамтест" No. 366 в этом номере: Новости Записки спам-аналитиков Новости Свержение колосса ― круги по воде или мелкая рябь? После отключения от Сети центров управления Rustock среднесуточное количество спама, регистрируемого экспертами IBM, сократилось на 35-40%. Судя по тому, что спад продолжается уже несколько дней, это не обычная флуктуация. В IBM полагают, что причина все-таки кроется в уходе этого ботнета со спам-арены. Такая же картина наблюдалась в конце декабря, хотя в тот раз изменения были намного более ощутимыми. Любопытно, что за пару дней распределение мест в рейтинге стран-источников спама тоже поменялось. США, которые до падения Rustock занимали, согласно статистике IBM, второе место, опустились на 15-ю позицию. Потоки нелегитимных писем из этой страны сократились на 74%. Заметно меньше спама стали рассылать израильские и британские зомби-машины ― на 66 и 54% соответственно. Во Вьетнаме и Южной Корее, напротив, ситуация практически не изменилась. Аналогичное снижение спам-активности, совпавшее по времени с ликвидацией C&C Rustock, зафиксировала также MessageLabs. Commtouch никаких отклонений от глобальной нормы не обнаружила, как и M86 Security. В ЛК особого сокращения спама тоже не наблюдают. Маловероятно, чтобы участник спам-трафика, вклад которого в последнее время составлял, по данным M86, лишь 2,9%, оказался способным громко заявить о своем уходе. Это в прошлом году, когда Rustock генерировал половину почтового мусора, перебои в его работе мгновенно сказывались на общей статистике по спаму. В начале октября с закрытием «партнерки» SpamIt выход с этого ботнета заметно снизился, так как он обслуживал, в основном, фармаспамеров, участвующих в данной программе. Тем не менее, когда операторы Rustock решили устроить себе рождественские каникулы, глобальные потоки мусора тоже резко уменьшились. В середине января Rustock ожил, и спам в Сети сразу удвоился. Его уже начали обходить более удачливые конкуренты, но в начале текущего года вклад Rustock в общий спам-трафик все еще был значительным ― 17,5%. Неизвестно, как бы дальше сложилась карьера этого крупнейшего ботнета-спамера, если бы не вмешательство Microsoft. Скорее всего, его операторы приступили бы к реорганизации сети с обновлением спамбота, как это уже не единожды случалось, и занялись поиском новых заказчиков и арендаторов. Источник: blogs.iss.net О чем молчал Rustock? Убедившись в успехе, Microsoft сочла возможным обнародовать, что прекращение спам-активности Rustock ― ее рук дело. Падение потоков спама с этого ботнета и бездеятельность его C&C серверов отметили многие ― после того, как небезызвестный Брайан Кребс (Brian Krebs) привлек внимание интернет-общественности к этому факту. M86 Security и MessageLabs даже опубликовали актуальные графики, подтверждающие, что крупнейший ботнет-спамер резко впал в спячку. На тот момент причины этого явления были еще не известны, приходилось лишь гадать: это чья-то благотворительная акция или кратковременный перерыв в работе операторов зомби-сети, кои до сих пор возникали с заметной периодичностью. Как теперь выяснилось, молчание Rustock ― следствие успешного завершения многомесячной спецоперации Microsoft, получившей кодовое наименование Операция b107. Используя свой недавний опыт по ликвидации ботнета Waledac, исследователи обратились за помощью к другим заинтересованным сторонам и подали судебный иск против операторов Rustock. Свидетельства о противоправной деятельности последних предоставили также специалисты по интернет-безопасности из FireEye, эксперты Вашингтонского университета и компания Pfizer, чей брэнд активно использовался спамерами, продвигающими контрафактные медикаменты с помощью данного ботнета. Иск Microsoft был удовлетворен, и компания приступила к планомерному уничтожению зомби-сети, заручившись поддержкой соответствующих интернет-провайдеров и зарубежных партнеров ― голландского подразделения по борьбе с высокотехнологичными преступлениями (Dutch High Tech Crime Unit) и китайской Группы быстрого реагирования на чрезвычайные ситуации в интернете (CN-CERT). Совместными усилиями все центры управления Rustock были отключены от Сети. Руководствуясь судебным приказом, Microsoft захватила содержимое командных серверов, арендованных злоумышленниками у пяти американских хостинг-провайдеров. (По данным компании, некоторые из зарубежных арендаторов в качестве контактов предоставили азербайджанские адреса.) В настоящее время эксперты при поддержке зарубежных партнеров приступили к очистке резидентных спамботов, общее число которых, по некоторым оценкам, может составлять около 1 миллиона. Источник: blogs.technet.com/b Источник: krebsonsecurity.com «Биржевое» мошенничество окончилось крахом В США арестован организатор мошеннической схемы, которого обвиняют в махинациях с ценными бумагами и рассылке спама. Согласно обвинительному акту [PDF 780 Кб], 42-летний техасец Кристофер Рэд (Christopher Rad) возглавлял интернациональную группировку, которая больше года грабила американских инвесторов, обманом вынуждая их покупать неликвидные акции. Аферисты заранее приобретали эти акции у безвестных компаний, искусственно вздували цены, а затем, до падения курса, продавали весь пакет с большой выгодой для себя. Такая мошенническая схема известна как «накачка-сброс» (pump-and-dump). Для имитации повышенного спроса сообщники взламывали брокерские аккаунты, от имени их владельцев приобретали часть безнадежных акций и устраивали оживленные торги. Чтобы снять ограничение на куплю-продажу ценных бумаг, мошенники подделывали документы об истинном состоянии дел в продвигаемых компаниях. Большую роль в фальшивой рекламной акции играли спам-рассылки. Фальсифицированные заявления, распространяемые большим тиражом, помогали привлечь внимание потенциальных инвесторов к искусственно созданному рынку и убедить их в перспективности капиталовложений. Наймом спамеров занимался соотечественник и сверстник Рэда, проживавший в Тайланде, ― небезызвестный Джеймс Брэгг (James Bragg). Брэгг приобрел богатый опыт в таких делах, сотрудничая с вожаком аналогичной группировки Аланом Ральски (Alan Ralsky). В далекой России быстро отыскались ботовод и хакер, которые за определенную мзду согласились оказать помощь зарубежным «коллегам». Эти соучастники фигурируют в следственных материалах под инициалами «D.S.» и «B.T.». Теперь ключевым фигурантам очередного дела о «биржевом» мошенничестве придется отвечать за свои прегрешения по всей строгости закона. И Рэду, и Брэггу, который уже сознался в содеянном, грозит до 5 лет тюремного заключения и до 250 тыс. долларов штрафа. Источник: justice.gov Symantec отчиталась за февраль В минувшем месяце спам-фильтры Symantec ежедневно блокировали [PDF 3,5 Мб] на 8,7% больше мусорных писем, чем в январе. Доля спама в почтовой корреспонденции, по оценке экспертов, тоже несколько увеличилась ― до 80,65%. Первую ступень рейтинга Symantec по спам-рассылкам по-прежнему занимают США; в феврале с территории этой страны исходило 28% нелегитимных сообщений. Совокупный вклад стран БРИК в глобальный спам-трафик, по данным компании, продолжает уменьшаться. Особые успехи в этом направлении делает Бразилия, чего не скажешь о России: с конца 2009 года потоки почтового мусора из этой страны заметно увеличились. В разделении источников спама по регионам непочетную пальму первенства давно подхватила Европа. Здесь наибольший рост спамовых потоков демонстрирует Голландия; в настоящее время она обгоняет по этому показателю (5% спам-трафика) остальные западноевропейские страны. В тематическом составе спам-рассылок доминирует реклама интернет-услуг, которая, по данным Symantec, составила предмет половины февральских посланий от спамеров. Число предложений купить реплики элитных товаров несколько сократилось ― до 12% от общего объема спама. Наиболее значительный рост наблюдался в категории «нигерийские письма», вклад которых в февральский спам-трафик составил 11%. Минувший месяц был урожайным на бурные общественно-политические события, приковавшие внимание всего мира. «Нигерийские» мошенники не преминули этим воспользоваться и активно искали помощников по вывозу несметных сокровищ из Египта и Ливии. 56,9% доменных имен, обнаруженных экспертами в URL-спаме, были привязаны к TLD-зоне .com, 18,1% ― к зоне .ru (на 7% больше, чем в январе). Около трех четвертей нелегитимных писем по размеру не превышали 2-5 КБ. Количество фишинговых атак в феврале увеличилось почти на 40%. Число поддельных сайтов, созданных автоматизированными средствами, возросло в полтора раза, размещенных на легальных веб-хостингах ― почти на 40%. Особенно расплодились сайты-ловушки, ориентированные на посетителей, не владеющих английским языком. Таких сайтов в феврале обнаружено на 76,51% больше, чем в предыдущем месяце. Большинство из них оформлены на португальском, французском или испанском языках. Источник: symantec.com [PDF 3,5 Мб] Записки спам-аналитиков «Горячие» новости о землетрясении в Японии Николас Брулес, "Лаборатория Касперского" Специалистами «Лаборатории Касперского» была обнаружена рассылка спама, содержащего ссылки якобы на информацию о землетрясении в Японии. На самом деле «горячая» тема использовалась, чтобы заразить компьютеры пользователей. Ссылки в спам-сообщениях ведут на вредоносный сайт, который использует JAVA-эксплойты для установки вредоносных приложений на компьютере. Данные эксплойты уже детектируются «Лабораторией Касперского» как Downloader.Java.OpenConnection.dn и Downloader.Java.OpenConnection.do, таким образом, наши клиенты защищены. Домен, на котором хостится JAVA-эксплойт, известен тем, что с него распространяются фальшивые антивирусы. VBS-файл, который тоже уже знаком нашей компании и детектируется как Trojan-Downloader.VBS.Small.iz. Он используется для установки других вредоносных приложений на компьютеры. После заражения на экране компьютера отображаются локализованные рекламные объявления (в моем случае — на французском языке). На одном зараженном компьютере мы насчитали пять работающих вредоносных исполняемых файлов, одну динамическую библиотеку, зарегистрированную в качестве сервиса, и большое количество файлов планировщиков задач в процессе создания. Исходя из предыдущего опыта, можно констатировать, что киберпреступники всегда пытаются извлечь выгоду из природных катастроф или других сенсационных событий. Если вы хотите узнать «горячие» новости, настоятельно рекомендуем обращаться к информации, размещенной на легитимных новостных сайтах, и никогда не переходить по ссылкам, полученным по электронной почте или через социальные сети. Также очень важно регулярно обновлять ПО на вашем компьютере, независимо от того, идет ли речь об операционной системе или стороннем приложении, например таком, как Java. И последнее. Не забывайте поддерживать ваши защитные решения в актуальном состоянии. Полную версию смотрите на сайте www.securelist.com/ru. Поможите, кто можете: «японский» спам Майкл Молснер, "Лаборатория Касперского" Как многие и предполагали, мошеннические сообщения с просьбами о пожертвованиях для пострадавших в Японии появляются в ящиках пользователей. Подробно изучив одно из таких сообщений, мы обнаружили, что это сообщение было отправлено с канадского IP-адреса через почтовый сервер, расположенный в Испании. В полях «От» и «Ответить» отображается японский почтовый адрес, скорее всего, фальшивый, а в самом письме в качестве получателя денежных средств, переводимых через Western Union, указано имя «Sasiki Nakatawo», крайне необычное, если вообще не выдуманное. Потенциальных жертв просят переслать их данные и контрольный номер денежного перевода на почтовый адрес в Гонконге. Кстати, сообщения были созданы в мейлере с использованием набора символов "Windows-1251" (Cyrillic). Как видим, в этой схеме присутствуют несколько мест, расположенных по всему миру. Однако решения «Лаборатории Касперского», фильтрующие сообщения, помещают это мошенническое послание именно туда, куда следует — в папку «СПАМ». Полную версию смотрите на сайте www.securelist.com/ru. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2011