Обзор главных событий месяца
Много шума из Rustock’а
В середине марта было объявлено о том, что совместными усилиями
сотрудников компании Microsoft и правоохранительных органов США был
отключен крупный спам-ботнет Rustock.
Rustock просуществовал на просторах интернета около пяти лет (с 2006
года) и, по разным оценкам, был ответственен за 30-40% всего спама. О
закрытии ботнета было сообщено 17 марта. Сама операция была проведена
днем ранее — 16 числа.
Эксперты «Лаборатории Касперского» наблюдали некоторое уменьшение
объема спама с 17 по 21 марта. В этот период по сравнению со средним
показателем первой половины марта процент спама в почте уменьшился на
3%. Если же говорить о количестве спамовых писем, то их стало меньше
приблизительно на 15%.
Однако уже с 22 числа объем спам-трафика снова начал расти. Видимо,
несмотря на внушительные размеры и мощность закрытого ботнета, опыт
конца 2010 года позволил спамерам и владельцам ботсетей быстро
перераспределить свои мощности. Тем не менее, действия
правоохранительных органов по борьбе с ботнетами продолжают приносить
свои плоды и радовать борцов со спамом.
Мировые события в спаме
Трагедия в Японии — спамеры не остались равнодушными
Разрушительные землетрясения, цунами и последовавшая за ними
катастрофа на атомной электростанции привлекли тревожное внимание всех.
Люди во многих странах мира стремились помочь жителям Японии любыми
доступными методами — будь то продовольствие, медикаменты и предметы
первой необходимости или денежные средства для различных гуманитарных
организаций. В интернете появилось множество сайтов с информацией о том,
как и куда можно перечислить средства в помощь пострадавшим.
Спамеры, конечно, сразу попытались «вписаться в тему»
благотворительных инициатив. В спаме моментально появились мошеннические
сообщения, предлагающие перевести деньги якобы на счет Красного Креста и
других гуманитарных организаций.
Разумеется, пользователи, отправлявшие деньги на счета, указанные в подобного рода письмах, не помогали никому, кроме спамеров.
Активно эксплуатировалась тема событий в Японии и в спамовых письмах,
используемых для распространения вредоносного кода. Человеческое
любопытство, как обычно, работало на злоумышленников: пользователям
предлагалось ознакомиться с различными шокирующими подробностями или
посмотреть видео с места действия.
Ливия. Горячая точка — горячая тема
Ситуация в Ливии также активно обсуждается всеми. И спамеры стали
использовать тему вооруженного конфликта в мошеннических сообщениях. В
спаме все чаще встречаются «нигерийские» письма якобы от членов
правительства Ливии, стремящихся перевести свои миллионы из банков
бунтующей страны, и сообщения, в которых, как и в случае с катастрофой в
Японии, предлагается перечислить пожертвования для пострадавших.
Не пропустили возможности воспользоваться интересом пользователей к
драматическим событиям в Ливии и спамеры, распространяющие зловреды.
Используя уже наработанные схемы, они рассылали письма с вредоносными
ссылками якобы на «горячие» ливийские новости.
Самыми интересными, с нашей точки зрения, являются появившиеся в
марте политически мотивированные спамовые сообщения, касающиеся ситуации
в Ливии.
В таких письмах обычно цитируются посты из различных блогов или
статьи из прессы. Отметим, что написаны они на английском языке, а стало
быть, рассылки нацелены не на ливиийцев. Такой спам пытается привлечь
внимание к конфликту в Ливии пользователей за пределами воюющей страны —
в США и странах Европы — и может рассылаться как сторонниками
существующего в Ливии режима, так и его противниками.
Российские реалии
Некоторые события в России также нашли свое отражение в спамерских
сообщениях. В марте мы зафиксировали несколько рассылок, темой которых
стал нашумевший в последнее время проект rospil.
Письма в таких рассылках могли быть откровенно провокационного
содержания, а могли просто копировать информацию с сайта проекта.
Подчеркнем, что такие сообщения рассылались не в легитимных
рассылках, а именно в спаме. Например, анализ приведенного выше письма
показал следующее:
- Сообщение отправлено спам-ботом.
- Адрес, с которого пришло письмо, не имеет никакого отношения ни
к ресурсу rospil.info, ни к хостеру mediatemplate, предоставляющему
свои услуги проекту.
- Адрес для отписки является адресом хостера проекта rospil —
mediatemplate. Таким образом, отказы от рассылок, связанных с проектом,
будут идти напрямую в компанию, предоставляющую проекту свои
хостинг-услуги, что бесспорно может сказаться на отношениях между
администрациями веб-ресурса и крупного хостера.
Как всегда в подобных случаях, возникает вопрос: хотят ли сторонники
проекта таким сомнительным способом сделать ему рекламу, или мы имеем
дело с черным пиаром?
Статистический обзор
Доля спама в почтовом трафике
Доля спама в почтовом трафике по сравнению с февралем увеличилась на 0,9% и составила в среднем 79,6%.
Доля спама в почте в марте 2011
Самый низкий показатель месяца был зафиксирован 25 марта — 74,5%.
Больше всего спама было получено пользователями 13 числа — 86,9%.
Страны — источники спама
В марте лидером среди стран — источников спама снова стала Индия, с
территории которой было распространено 11,42% (+2,59%) всей мусорной
почты.
Страны — источники спама в марте 2011
Вторую строчку рейтинга, вытеснив Россию со второй позиции на третью,
заняла Бразилия с показателем 6,6% (на 2% больше, чем в феврале). Доля
спама, распространенного с территории России, как и в феврале, составила
4,8%. Также практически неизменными остались доли спама,
распространенного с территории Индонезии (4,3%) и Италии (4%), которые
заняли соответственно четвертое и пятое места в рейтинге.
На 0,8% уменьшился процент спама, распространенного из Южной Кореи
(3,3%). В рейтинге стран — источников спама эта страна в марте
опустилась с пятого на восьмое место. Как следствие, на одну строчку
вверх поднялись Великобритания (3,9%) и США (3,4%), которые заняли
соответственно шестое и седьмое места. При этом доля спама,
отправленного из этих стран, по сравнению с февралем изменилась
незначительно.
Вредоносные вложения в почте
В марте вредоносные файлы содержались в 3,23% всех электронных сообщений, что на 0,05% больше, чем в прошлом месяце.
По сравнению с февралем произошли значительные изменения в распределении по странам срабатываний почтового антивируса.
Распределение срабатываний почтового антивируса по странам в марте 2011 г.
Первое место по-прежнему осталось за Россией (12,7% вредоносных
вложений), но второе заняли США (12,5%, на 1,9% больше, чем в предыдущем
месяце). Процент срабатываний почтового антивируса в Штатах практически
сравнялся с российским.
На долю Великобритании, занявшей третье место, пришлось 6,2% всех
заблокированных писем с вредоносными вложениями — на 1,1% больше, чем в
феврале. Индия (4,35%) и Вьетнам (5,61%), попадавшие в последние месяцы
в TOP 5, в марте несколько сдали свои позиции. Индия сместилась с
четвертой на шестую строчку рейтинга, а Вьетнам — с третьей на
четвертую.
На одну позицию вверх перешла Германия (5,4%). Положение Австралии
(4,21%) в нашем рейтинге осталось неизменным. Италия (4,05%), которая в
феврале не попала в TOP 10, в марте оказалась на восьмом месте. Испания
(3,27%) поднялась с одиннадцатого места на девятое.
Рейтинг наиболее часто детектируемых в почте вредоносных программ в марте выглядит следующим образом:
ТОP 10 вредоносных программ, распространенных в почте в марте 2011 г.
Более половины ТОР 10 вредоносных программ представлено семейством
Trojan-Downloader.Win32.Deliver. Эти программы являются классическими
троянцами — загрузчиками, устанавливающими на зараженный компьютер
другие вредоносные программы без ведома пользователя.
Еще две программы в ТОР 10 являются представителями семейства
Trojan-Spy.Win32.SpyEyes. Зловреды этого семейства занимаются похищением
конфиденциальных данных пользователя. Одна из модификаций
Trojan-Spy.Win32.SpyEyes уже присутствовала в нашем рейтинге в феврале
этого года.
Первое место традиционно занимает Trojan-Spy.HTML.Fraud.gen. Подробнее об этом троянце можно прочитать здесь.
Выше мы рассказывали, что спамеры использовали темы катастрофы в
Японии и войны в Ливии в письмах, содержащих вредоносные ссылки или
вложения. Некоторые спамеры эксплуатировали обе темы в одной рассылке:
письма с «горячими новостями» о землетрясении в Японии и о проблемах в
Ливии содержали одинаковые ссылки и были разосланы в одно и то же время.
Трудно не заметить, что письма созданы по одному шаблону. Забавно
также, что после вредоносной ссылки в тексте следует «копирайт», который
меняется от письма к письму. В качестве обладателя «копирайта»
указываются различные крупные IT-компании и интернет-ресурсы. Возможно,
таким неуклюжим способом злоумышленники надеялись обойти простейшие
спам-фильтры.
На компьютер пользователя, прошедшего по ссылке, при помощи
Java-эксплойтов устанавливалось вредоносное программное обеспечение. В
нашем блоге эксперт «Лаборатории Касперского» Николя Бруле более
подробно описывает эту вредоносную рассылку.
Фишинг
Доля фишинговых писем в почтовом потоке по сравнению с февралем уменьшилась на 0,01% и составила 0,02%.
ТОР 10 организаций, атакованных фишерами
В марте в ТОР 10 наиболее часто атакованных фишерами организаций с
большим отрывом лидирует PayPal. За ним следует интернет-аукцион eBay.
Социальные сети Facebook, Habbo и популярная онлайн-игра World of Warcraft также остаются в числе любимых мишеней фишеров.
Половина рейтинга мишеней фишинг-атак опять представлена
онлайн-сервисами. При этом банки фишеры стали атаковать реже — системы
онлайн-банкинга располагаются в основном в нижней части нашего рейтинга.
Тематические направления в спаме
Распределение спама по тематическим категориям в марте 2011 г.
В марте в Рунете значительно возросла доля русскоязычного спама.
Такой спам большей частью представлен рассылками, рекламирующими товары и
услуги компаний малого и среднего бизнеса. Четыре из пяти лидирующих в
марте тематических категорий являются русскоязычными и представляют
собой рекламные объявления небольших компаний.
Пятерка лидирующих тематических категорий в спаме:
- Образование — 42,1% (+6,7%)
- Отдых и путешествия — 7,2 (+2,7%)
- Транспорт — 7% (+3,5%)
- Интерьер — 5,7% (+4%)
- Медикаменты; товары/услуги для здоровья — 4,9% (-7,1%)
Значительно увеличилась доля лидера нашего рейтига — рекламы
различных семинаров (+6,7%). Одновременно увеличилась и доля рассылок,
рекламирующих отдых и путешествия. Рост количества такого спама во
многом связан с приближением майских праздников.
Спамерские сообщения, рекламирующие различные медикаменты, в марте
заняли лишь пятую строчку рейтинга. Их доля значительно уменьшилась по
сравнению с февралем. Подавляющее большинство таких сообщений —
англоязычные.
Заключение
В марте правоохранительные органы США вновь нанесли удар по ботсетям,
что привело к кратковременному уменьшению объема спама. Несмотря на
это, средний процент спама в марте увеличился по сравнению с аналогичным
показателям февраля. Как мы и прогнозировали в январском отчете,
среднемесячный объем спама продолжает увеличиваться и имеет все шансы
достигнуть значений лета 2010 года.
Вопреки нашим ожиданиям, США не вошли в ТОР 5 стран — источников
спама. Доля спама, распространенного с территории этой страны,
практически не изменилась по сравнению с февралем. Однако интересно
отметить повышенный интерес к США как к цели для вирусных рассылок. Это
может означать, что усилия злоумышленников по-прежнему направлены на
воссоздание ботнетов в этой стране.
Отметим, что в марте в Рунете стало намного меньше англоязычного
спама. Возможно, российские спамеры решили, что в России значительно
эффективнее распространять русскоязычный спам, чем спам на английском
языке, рекламирующий товары, не пользующиеся у получателей спросом.
Однако такие изменения могут быть связаны и с закрытием ботнета Rustock,
с которого англоязычный партнерский спам распространялся по всему миру.
|