Спам в грудні 2010 року, Безпека ПЗ, Security & Hack, статті

Грудень у цифрах



Огляд головних подій місяця


Суд над російським спамером


У грудні 2010 року боротьба з ботнетами на правовому рівні знову привернула увагу громадськості. Важливою подією стало слухання справи, заведеної в штаті Вісконсін (США) проти росіянина Олега Ніколаєнка, підозрюваного у створенні та використанні зомбі-мережі Mega-D (відомої також під назвою Ozdok).


Ботнет


Вважається, що ботнет Mega-D/Ozdok, імовірно організований Олегом Ніколаєнко, належав до числа найбільших ботнетів, що розсилають спам. За деякими оцінками ця мережа в період свого розквіту налічувала близько півмільйона заражених комп'ютерів. Експерти стверджують, що в деякі періоди інфіковані комп'ютери цієї мережі розсилали до 30-35% світового спаму. Боротьба з цим монстром почалася ще в 2008 р., проте, основні успіхи були досягнуті лише в кінці наступного року, – у листопаді 2009 р. було закрито багато командні центри зомбі-мережі. Це призвело до тимчасового падіння потужностей мережі, але вже до початку Грудень ботнет був відновлений.


З заражених комп'ютерів зловмисники розсилали партнерський спам з рекламою медикаментів і реплік елітних товарів.


Здали свої


До моменту закриття командних центрів Mega-D/Ozdok в листопаді 2009 р. москвич Олег Ніколаєнко вже був для ФБР підозрюваним номер один у створенні та використанні ботнету. Інформацію про нього слідчі отримали від одного з його "колег" – Джоді Сміта, який влітку 2009 року перебував під слідством і в серпні пішов на співпрацю з правоохоронними органами.


Однак затримати Ніколаєнко вдалося лише через рік, у листопаді 2010 року під час автомобільного шоу в Лас-Вегасі.


Суд іде


Росіянин звинувачується в порушенні американського закону проти спаму (CAN-SPAM Act of 2003), і в тому випадку, якщо його вина підтвердиться, йому загрожує три роки тюремного ув'язнення або штраф у розмірі 250 000 доларів.


Сам Ніколаєнко свою провину не визнає. Його адвокат намагався домогтися звільнення свого підзахисного під заставу, однак це прохання було відхилено судом, оскільки є обгрунтовані побоювання, що підсудний може сховатися за кордоном.


В даний момент рішення суду ще не винесено, слухання призначено на лютий 2011 року.


Тим часом, поки Олег Ніколаєнко перебуває в ув'язненні і не може керувати своїм ботнетом, за оцінками деяких дослідників обсяги спаму, розісланого за допомогою Mega-D, не перевищують 5% від усього світового спам-трафіку.


Закон проти спаму в Росії


Минулого місяця ми писали про те, що російські законотворчі органи працюють над тим, щоб законодавчо закріпити відповідальність за розсилку спаму. За повідомленнями ЗМІ підготовкою законопроекту повинні були займатися спільно депутати Держдуми і члени РАЕК (Російська Асоціація електронних комунікацій).


Зауважимо, що на наш погляд справа Олега Ніколаєнка демонструє необхідність введення відповідальності за розсилку спаму в Росії. Великий гравець спам-бізнесу не міг бути покараний за законами власної держави через недосконалість законів.


Wikileaks


Поширення витоків


Останнім часом портал Wikileaks, що спеціалізується на публікації інформаційних витоків з державних структур різних країн, опинився в центрі скандалу безперервного. Це не дивно: сайт опублікував тисячі документів конфіденційного характеру і вельми небайдужих для світової політичної ситуації. У політики Wikileaks, зрозуміло, з'явилися як супротивники, так і прихильники. Прихильники порталу в грудні почали вести агресивну кампанію з розповсюдження витоків.


Активісти намагалися розміщувати посилання або витяги з Wikileaks всюди, де тільки могли. Дісталася частка сенсацій і спаму. У грудні в скриньки користувачів надходили повідомлення, що містять відповідні посилання, а також прохання поширити їх далі, наприклад, в ім'я демократії:


Крім таких повідомлень ми зустрічали і просто уривки компрометуючих текстів. Однак говорити про достовірність такого джерела, як спам, не доводиться: зафіксовані нами розсилки могли бути як спамом від прихильників Wikileaks, так і помилковими відомостями від їх супротивників.


Wikileaks – гаряча тема місяця


Дивно, але тема Wikileaks в грудні була настільки актуальна, що навіть прийдешні новорічні та різдвяні свята не отримали належної уваги спамерів.


Як відомо, спамери використовують гарячі теми для залучення уваги до своїх розсилках. Це можуть бути самі різні події: від подій зі знаменитостями до воєн, від політичних виборів – до щорічних свят. У грудні такими гарячими темами традиційно є Новий рік і Різдво, цього року в одному ряду з ними виявився Wikileaks.


Спамери вставляли згадки про цей ресурс в тексти, покликані створити зашумлення для обходу спам-фільтрів. В основному це були цитати з матеріалів порталу або з новин про нього. Цікаво, що часто слово Wikileaks вставляли і на заслання, очевидно, також з метою обдурити фільтри.


Чи є розповсюджувачі спаму фармацевтичного прихильниками або супротивниками Wikileaks – нам невідомо. Відомо лише те, що шум навколо порталу вони використовують для своїх цілей.


Статистичний огляд


Частка спаму в поштовому трафіку


Частка спаму в поштовому трафіку в порівнянні з листопадом збільшилася на 0,3% і склала в середньому 77,1%. Найнижчий показник місяця був зафіксований 6 грудня – 72%. Найбільше спаму було отримано користувачами 12 числа – 85,2%.


Частка спаму в поштовому трафіку в грудні 2010 року


Країни – джерела спаму


Лідером двадцятки країн – джерел спаму, як і в листопаді, стала Індія, з території якої було поширено 9,89% всього світового спаму (-0,55%).


Країни – джерела спаму в грудні 2010


Найпомітнішими змінами в двадцятці стали зміни в позиціях двох країн – Росії та В'єтнаму (вони помінялися другим і четвертим місцем).


Частка спаму, поширеного з території Росії в грудні, збільшилася на 2,9%, у той час як аналогічний показник для В'єтнаму зменшився на 4,11%.


Три з п'яти лідируючих в грудні поширення спаму країн минулого місяця піддавалися атакам зловмисників, що розсилають шкідливий код через пошту.


Відзначимо також зменшення частки спама, поширеного з території Великобританії, Франції та Німеччини.


Шкідливі вкладення в пошті


У грудні шкідливі файли містилися в 1,75% всіх електронних повідомлень, що на 0,15% більше, ніж минулого місяця.


Спрацьовування поштового антивірусу по країнах в грудні 2010


Як і в листопаді, велика частина шкідливих вкладень була виявлена ​​нашим поштовим антивірусом на території Індії, Росії та В'єтнаму. Європейські країни та США, які лідирували в цьому відношенні в минулі місяці, хоча і залишилися в першій десятці, але опинилися на нижчих рядках. Великобританія, до жовтня входила в трійку країн, в яких найчастіше спостерігалися спрацьовування поштового антивірусу, спустилася на 10 місце, у її поштовому трафіку було менше трьох відсотків шкідливих програм. Разом з тим, зловмисники відправили неабияку кількість шкідливих листів на Україну.


Такий перерозподіл цілей зловмисників, по всій видимості, пов'язано з розпочатим ними в листопаді переміщенням ботсетей із заходу, де боротьба з ними стала набувати загрозливих для цього бізнесу обертів, на схід, де така практично відсутня.


ТОP 10 шкідливих програм, поширених в пошті в грудні 2010


TOP 10 шкідливих програм, що поширювалися в пошті, з великим відривом очолив Trojan-Spy.HTMLFraud.gen. Ця шкідлива програма вже тривалий час входить в десятку. Її функціонал орієнтований на виманювання у користувачів відомостей особистого та фінансового характеру. Щоб обдурити користувачів, шкідлива програма зроблена у вигляді сторінки, нагадує інтернет-сторінку онлайн-банкінгу, або будь-якої платіжної системи. Не дивно, що цей зловредів в грудні лідирував з таким відривом: кінець року час великих фінансових витрат і передсвяткової суєти. У цей час середньостатистичний користувач ще має достатньо коштів на рахунку і вже досить захоплений передріздвяного лихоманкою, щоб попастися на вудку зловмисника. Відповідно, в кінці року шанси шахраїв на улов виявляються особливо високими.


Велика частина з решти дев'яти шкідливих програм також вже не один раз потрапляла в TOP 10 протягом року.


Так, черв'як Email-Worm.Win32.Mydoom.m практично постійно входив у десятку протягом останнього року. Це типовий поштовий хробак, скануючий систему в пошуках e-mail адрес і надалі розсилають себе по ним. Листи, що розсилаються цією шкідливою програмою, виглядають як повідомлення поштової системи про те, що пошта не була доставлена. У даному випадку основним функціоналом програми є збір поштових адрес. Зауважимо, що сигнатура цього черв'яка була додана в антивірусні бази Лабораторії Касперського ще в 2004 році. Детальніше про цю шкідливу програму можна почитати тут.


Поштовий хробак Email-Worm.Win32.NetSky.q також рідко випадає з TOP 10 розповсюджуваних у пошті шкідливих програм. В цілому, з десяти найпоширеніших в пошті грудня шкідливих програм п'ять є поштовими хробаками. У тому числі до цього сімейства, як видно з назви, належать Email-Worm.Win32.Agent.gnd та Email-Worm.Win32.Agent.gne, однак вони мають більш складним функціоналом, ніж черв'яки, описані вище. Крім збору електронних адрес і розсилки самих себе за коштами електронної пошти, вони, при попаданні на комп'ютер, інсталюють в систему інші шкідливі програми. В основному – Троянські програми-завантажувачі, які негайно намагаються отримати доступ до інтернет-ресурсів, з яких відбувається закачування інших шкідливих програм.


Тематичні напрямки в спам


Розподіл спаму за тематичними категоріями у грудні 2010


П'ятірка тематичних категорій в спамі:



  1. Освіта – 23,5% (-2,5%)

  2. Репліки елітних товарів – 10,1% (+2,8%)

  3. Відпочинок і подорожі – 9,9% (+6,3%)

  4. Реклама спамерських послуг – 9,4% (+1,1%)

  5. Медикаменти; товари / послуги для здоров'я – 9% (-3,5%)

У тематичному розподілі спаму і співвідношенні партнерського і замовного спаму знайшли своє продовження осінні тенденції.


Продовжилося "падіння віагри": середня частка фармацевтичного спаму в мережі скоротилася на 3,5% порівняно з листопадом, і в кінцевому підсумку опустилася нижче 10%. Відмова багатьох спамерів від розсилки фармацевтичного спаму та події навколо ботнетів, що спеціалізуються на розсиланні спаму такого, відбилися на розподіл та динаміці партнерського спаму різних тематичних напрямів:


Розподіл партнерського спаму за тематиками в грудні 2010


Як видно на графіку, в грудні відносна кількість спаму різної тематичної спрямованості продовжувало непередбачувано коливатися. Спамери розсилали спам, вдаючись то до однієї, то до іншої партнерської програмі. Найбільший підйом ми бачимо на кривій партнерського спаму, який рекламує репліки елітних товарів. Очевидно, спамери розраховували, що копії дорогих годин або сумок знайдуть збут у якості подарунків до Нового року. Завдяки цьому листи, що рекламують репліки елітних товарів, зайняли друге місце в п'ятірці.


Ще одна категорія партнерського спаму в грудні, що показала значні кількісні скачки, – це "Колекції фільмів на DVD". Збільшення кількості спаму з рекламою фільмів на DVD також пов'язане із спробою спамерів отримати віддачу від участі в партнерських програмах, запропонувавши такий товар як новорічних подарунків.


Решта три види спаму в п'ятірці – "Освіта", "Відпочинок і подорожі" і "Реклама спамерських послуг" – не пов'язані з партнерськими програмами. Треба сказати, що в грудні спаму, замовленого дрібним і середнім бізнесом, було більше, ніж спаму, поширеного в рамках партнерських програм. Це видно на графіку, наведеному нижче. Однак, як видно, обсяги прибуток ще не задовольняє спамерів: кількість листів, що рекламують їх послуги, продовжує зростати, що говорить про те, що вони як і раніше активно шукають клієнтів.


Співвідношення партнерського і замовного спаму в грудні 2010 року


Значно збільшилася частка спаму, який рекламує юридичні послуги та нерухомість. Це можна пов'язати з наближалися закінченням року. Так, юридичні послуги стають актуальними для багатьох компаній як раз в кінці року. Повідомлення ж з рекламою нерухомості найчастіше містили в собі пропозиції орендувати котедж на новорічні свята.


Третє місце серед лідируючих тематичних напрямків у спам займають повідомлення, що пропонують відпочинок і подорожі. Прогнозований нами зростання частки таких повідомлень також пов'язаний зі святами та новорічними канікулами, тобто, періодом, коли реклама таких послуг стає особливо актуальною. Частка таких листів у грудні зросла в три рази і досягла майже 10%.


Тема новорічних свят взагалі активно експлуатувалася. Вже на першому тижні грудня частка розсилок, в яких спамери використовували тему Нового року, або Різдва, перевищила 6% і далі продовжувала зростати. В цілому, в звітному місяці розсилки, так чи інакше експлуатували тему Різдва, в середньому склали від 20 до 25% від всього спаму.


Висновок


Наприкінці хотілося б знову відзначити результати успішної боротьби з ботнетами на Заході. Обсяги спаму, розповсюджуваного з території США, не відновилися, незважаючи на побоювання експертів про тимчасовості такого "провалу". Почала знижуватися частка спаму, поширеного з території Великобританії, Німеччини та Франції. Одночасно цікаво відзначити процеси, що відбуваються у Східній Європі та Азії. Країни, розташовані у цих регіонах, стають все більш цікавими для розсилки цілями в них шкідливого коду. Ми спостерігаємо, як зловмисники намагаються перемістити свої зомбі-мережі в регіони, де боротьба з кіберзлочинами ще не ведеться, або поки не так успішна.


Інтерес до контрафактним медикаментів, що розгорівся на Заході, а також справа Ігоря Гусєва, Заведена в Росії, також мають вплив на спам, на цей раз в частині його тематичного складу. Спамери продовжують шукати таку партнерську програму, яка була б для них не менш вигідна, ніж приносила раніше великі доходи, а нині непопулярна, фармацевтична продукція. Ті ж з них, хто вирішив перейти на розсилку реклами дрібних і середніх компаній, продовжують шукати клієнтів, про що говорить зростання частки самореклами спамерів.


Ймовірно, в січні ми не побачимо стабілізації ситуації в спамі. Відносна кількість спаму різних тематичних напрямів буде і далі перерозподілятися. Справа в тому, що в перший місяць року купівельна спроможність населення, як правило, невисока. У цій ситуації жодна партнерська програма не зможе повністю задовольнити фінансові інтереси спамерів, які відмовилися від розсилки спаму фармацевтичного, що змусить їх вести пошук найбільш ефективних напрямків діяльності і міняти тактику і стратегію.


Замовники спаму також не проявлять великої активності в січні, оскільки на початку року ділова активність ще не на максимумі. Відповідно самореклами спамерів стане ще більше.


Очікується, що спаму в січні стане менше, тому що на святах знижується користувальницька активність, і велика кількість інфікованих комп'ютерів просто вимкнено. Проте це, швидше за все, не дуже помітно відіб'ється на частці спаму, по відношенню до поштової трафіку, оскільки в перші дні після Нового року поштовий трафік також скорочується.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*