Электронный журнал "Спамтест" No. 414 в этом номере: Новости Спам в Рунете: 5 — 11 марта 2012 года Новости Троянский «подарок» борцам за честные выборы По окончании голосования россиян компания «Доктор Веб» зафиксировала спам-рассылку, нацеленную на распространение опасного Win-троянца под видом инструкции для участника московской акции протеста, которая состоялась вечером 5 марта на Пушкинской площади. По свидетельству экспертов, вредоносные письма с заявленной темой «Митинг Честные выборы» или «Все на митинг» содержат короткий призыв изучить некую инструкцию со сценарием этого мероприятия. Непрошеные агитки снабжены doc-вложением; этот документ содержит несколько макросов, которые при его открытии сохраняют на диск и запускают троянскую программу. В «Доктор Веб» ее детектируют как Trojan.KillFiles.9055. После запуска данный зловред копирует себя во временную папку, прописывается на автозапуск в системном реестре и заменяет содержимое всех обнаруженных на диске С файлов (.msc, .exe .doc, .xls, .rar, .zip, .7z) «цифровым мусором», помечая их на удаление при перезагрузке. В итоге операционная система приходит в нерабочее состояние или начисто «умирает», а троянец отправляет на сервер злоумышленников сообщение об успехе. По словам главного антивирусного эксперта ЛК Александра Гостева, этот сервер расположен на территории Великобритании. На этом же адресе находятся два свежих сайта, зарегистрированных в зоне .ru через «Наунет». Гостев также отмечает, что объем зловредной спам-рассылки измеряется миллионами. В настоящее время ЛК пытается установить, какие ботнеты принимали в ней участие. В качестве мер предосторожности эксперты рекомендуют не открывать вложения в письма, полученные от неизвестных отправителей, не включать в Microsoft Word функцию исполнения макросов, которая по умолчанию запрещена, а также поддерживать антивирус в актуальном состоянии. Источник: news.drweb.com Источник: ridus.ru Trustwave расширяет security-портфолио Компания Trustwave, поставщик облачных решений в сфере информационной безопасности, подписала соглашение о выкупе M86 Security. Поглощение завершится к концу марта, финансовые условия сделки пока не оглашены. Частная калифорнийская компания M86 Security специализируется на исследованиях и разработках в области веб- и email-безопасности, и ее приобретение позволит Trustwave расширить спектр «облачных» и управляемых услуг по корпоративной защите. Последняя также получит доступ к богатой партнерской программе M86 и к клиентской базе, которая насчитывает свыше 25 тыс. организаций, насчитывающих 26 млн. пользователей в 96 странах. Это позволит компании-покупателю усилить свое присутствие на международном рынке, в особенности в странах EMEA и в Азиатско-тихоокеанском регионе. Профессиональные кадры M86 присоединятся к команде Trustwave, причем аналитическая лаборатория Security Labs будет объединена с аналогичной SpiderLabs. После слияния защитные сервисы, продукты и антивирусные технологии M86 будут приобщены к портфолио Trustwave и будут поставляться как в связке с ее платформами, так и на правах самостоятельных опций. Источник: trustwave.com Ай да «девушка» С начала года «Доктор Веб» наблюдает спам-рассылки, продвигающие новую партнерскую программу по распространению мобильного приложения, деятельность которого дорого обходится пользователям Android. По свидетельству экспертов, нелегитимная реклама чат-бота I-Girl и ссылки на сайт cowslab.com, обещающий «стабильный и регулярный доход», распространяются через системы мгновенного обмена сообщениями, социальные сети, комментарии в блогах и на форумах. Рекламируемая через спам Android-программа позволяет в реальном времени вести диалог с виртуальным собеседником, отображаемым на экране в виде симпатичной девушки, которую при желании можно даже раздеть. Как оказалось, общение с ботом влетает владельцу смартфона в копеечку. Продолжительные беседы могут стоить от нескольких сотен до нескольких тысяч рублей, при этом деньги списываются с абонентского счета, даже если «девушка» молчит. Дело в том, что каждое чат-сообщение оплачивается в виртуальной валюте ― «голосами». Этот виртуальный кошелек I-Girl пополняет без участия и ведома пользователя, рассылая платные SMS на премиум-номера. Бот также отсылает разработчикам идентификатор мобильного устройства. «Доктор Веб» отмечает, что платность услуг в данном случае оговорена пользовательским соглашением, однако его обычно мало кто читает, посему ощутимая утечка средств со счета может оказаться неприятным сюрпризом. Эксперты детектируют I-Girl как потенциально опасную программу, так как она составляет угрозу не для ОС, а для кошельков пользователей и распространяется с помощью спам-рассылок. Партнерская программа, запущенная разработчиками, представляет собой тривиальную схему сетевого маркетинга. Желающим подзаработать предлагают зарегистрироваться на cowslab.com, получить персональный идентификатор, а также демоверсию и полную версию I-Girl. Способы распространения чат-бота не ограничены, ибо доход агента напрямую зависит от количества загрузок. Основная часть средств, вырученных с помощью «Ай-девушки», оседает в карманах разработчиков, добровольные распространители получают лишь определенный процент. Однако последние могут привлечь к общему «делу» других участников и получать некий процент от их доходов. Источник: news.drweb.com Symantec об абьюзах на Dropbox За двое суток Symantec обнаружила в спаме свыше 1,2 тыс. URL, привязанных к веб-сервису Dropbox. По свидетельству экспертов, спамеры создали на Dropbox несколько учетных записей, подгрузили на сайт графическое изображение и простенький html-файл, а затем стали использовать рекламную «картинку» как редирект на интернет-аптеки сети Canadian Health & Care Mall. Symantec обнаружила также спам-сообщение, загружающее более опасный контент с ресурсов Dropbox. Некий отправитель, обращаясь к адресатам на португальском языке, предлагает разместить на Facebook 3 фотографии, якобы отобранные им из совместного альбома. Ссылки на «фото», приведенные в спам-письме, выглядят так, будто это имена jpg-файлов, созданных с помощью веб-камеры. Все они привязаны к ресурсам Dropbox; при активации любой из них на машину пользователя загружается троянец. «Облачное» хранилище данных Dropbox предоставляет пользователям возможность выкладывать файлы в общий доступ через папку «Public», т.е. использовать сервис как файлообменник. Эта функция очень привлекательна для злоумышленников, так как обеспечивает им бесплатный веб-хостинг для проведения кибератак. Dropbox также предоставляет услуги по сокращению ссылок, что тоже не лишне в криминальном «бизнесе». Источник: symantec.com Abuse.ch ― первые результаты мониторинга нью-Kelihos По наблюдениям участников швейцарского проекта Abuse.ch, новый ботнет Kelihos использует, в основном, ресурсы стран СНГ и бывшего соцлагеря. Больше трети IP-адресов, мобилизованных ботоводами, прописаны в Польше. Версия Kelihos/Hlux, послужившая основой для новоявленной бот-сети, была обнаружена экспертами ЛК вскоре после того, как Microsoft и ЛК объявили о взятии под контроль одноименного ботнета-спамера, на то время единственного. Обновленный зловред тоже специализируется на рассылке спама, но его функционал был дополнен и обеспечивает ботоводам широкий выбор мошеннических схем заработка. Старый ботнет в настоящее время заблокирован и не принимает участия в криминальной деятельности. Статистика Abuse.ch подтверждает, что новый Kelihos обосновался в TLD-зоне .eu. Активисты насчитали около 40 eu-доменов, ассоциированных с хостами fast-flux сети. Все они зарегистрированы через одну и ту же американскую компанию ― OnlineNIC. DNS-серверы, обслуживающие эти домены, тоже размещены на fast-flux ботнете; такой двойной заслон на базе технологии динамической перерегистрации IP-адресов сильно затрудняет выявление и блокировку ключевых узлов Kelihos. Доменное имя, используемое злоумышленниками для DNS-нужд, оформлено через регистратора Internet.bs (Багамы). Источник: abuse.ch Спам в Рунете: 5 — 11 марта 2012 года "Лаборатория Касперского" Объем и тематические особенности спама Средний показатель количества спама на прошедшей неделе равен 76,3% (на позапрошлой неделе он был незначительно выше, 76,6%). Тематики спама распределились почти так же, как и обычно, за одним исключением: на первое место рейтинга вышла не образовательная, а медицинская тематика, а реклама разнообразных семинаров и тренингов заняла лишь второе место. Популярные тематики № Тематика Описание Доля тематики Изменения за неделю 1   Медикаменты, товары и услуги для здоровья   Предложения приобрести лекарственные препараты, БАДы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров.   19,2%   +2,5   2   Образование   Реклама семинаров, тренингов, курсов.   16,1%   - 8,6%   3   Недвижимость   Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр.   16,1%  -5,7   4   Другие товары и услуги     12,9%   +2,5%   5   Коллекции фильмов на DVD   Предложения купить фильмы или другую информацию на DVD.   7,6%   Изменения незначительны   6   Реклама спамерских услуг   Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п.   6,8%   Изменения незначительны   7   Отдых и путешествия   Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий.   4,2%   +3,2   8   Реплики элитных товаров "   Копии часов, аксессуаров, обуви и других товаров известных марок. 3,6%   Изменения незначительны   9   Спам «для взрослых»   Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п.  2,4%   +1,4%   10   Полиграфия   Визитки, календари, печать, услуги типографии и пр.   2,2%   Изменения незначительны   Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2012